Abmischfunktion der Berechtigungsdaten von
PFCG-Rollen
Nachdem Sie das Rollenmenü geändert haben, passen Sie mit der Abmischfunktion die in einer Rolle enthaltenen Berechtigungsvorschläge automatisch an. Als Quelle der Vorschlagswerte dienen die in Transaktion SU24 gepflegten Feldwerte für die mit dem Prüfkennzeichen Prüfen/Pflegen versehenen Berechtigungsobjekte.
Gegenstand des Abmischvorgangs sind die in Transaktion SU24 definierten Berechtigungsvorschläge, die in der Berechtigungsliste den Pflegestatus Standard haben und daher auch als Standardberechtigungen bezeichnet werden. Sämtliche Berechtigungen anderer Pflegestatus (Gepflegt, Verändert, Manuell) ändern sich während des Abmischens nicht (einzige Ausnahme: siehe unter Transaktionen entfernen, Punkt 2).
Bei jedem Abmischvorgang sammelt der Profilgenerator alle zu den Transaktionen im Rollenmenü gehörenden Berechtigungsvorschläge und prüft, welche in die Berechtigungsliste aufgenommen werden müssen. Das Ergebnis hängt von den zuvor durchgeführten Menüänderungen sowie von bereits vorhandenen Berechtigungen ab.
Im Folgenden werden die Funktionen zur Aktualisierung der Berechtigungen nach Menüänderungen vorgestellt.
Transaktionen hinzufügen
Wenn Sie Transaktionen in das Rollenmenü aufnehmen, wirkt sich dies wie folgt auf die Berechtigungen aus.
· Sofern die Berechtigungsvorschläge Objekte enthalten, die bisher überhaupt nicht oder nur als Berechtigungen im Status Verändert oder Manuell existierten, fügt das Programm neue Standardberechtigungen für diese Objekte hinzu.
· Falls vor dem Abmischen bereits Berechtigungen im Status Gepflegt (aktiv oder inaktiv) oder Inaktiv Standard vorhanden waren, prüft das Programm durch Vergleich der Werte und der Pflegestatus aller Berechtigungsfelder, ob neue Standardberechtigungen ergänzt werden müssen. Eine neue Standardberechtigung wird nicht aufgenommen, wenn die Berechtigungsfelder im Status Standard in beiden Berechtigungen identische Werte enthalten und die in der alten Berechtigung gepflegten Felder in der neuen Standardberechtigung leer sind.
· Sofern beide Kriterien erfüllt sind, stammen die Vorschlagswerte der alten und neuen Berechtigung mit hoher Wahrscheinlichkeit aus der gleichen Transaktion. Damit ist das Einfügen einer neuen Standardberechtigung nicht erforderlich, weil die Daten bereits vorhanden sind.
Im ersten Beispiel eines beliebigen Berechtigungsobjekts aus drei Feldern wird die neue Standardberechtigung nicht hinzugefügt, da beide Kriterien erfüllt sind.
Beispiel 1: Berechtigungsstatus vor und nach dem Abmischen
Feld |
Feldwerte und ‑status des alten Berechtigungsobjekts mit Status Gepflegt |
Feldwerte und ‑status des neuen Berechtigungsobjekts mit Status Standard |
Feld 1 |
A, B, Status: Standard |
A, B, Status: Standard |
Feld 2 |
C, D, Status: Standard |
C, D, Status: Standard |
Feld 3 |
1, 2, 3, Status: Gepflegt |
(leer), Status: Standard |
Im Gegensatz dazu wird im zweiten Beispiel die neue Standardberechtigung übernommen, obwohl alle Felder identische Werte enthalten. Wegen der unterschiedlichen Pflegestatus in Feld 3 ist jedoch das zweite Kriterium nicht erfüllt und damit der Ursprung beider Berechtigungen ungleich.
Beispiel 2: Berechtigungsstatus vor und nach dem Abmischen
Feld |
Feldwerte und ‑status des alten Berechtigungsobjekts mit Status Gepflegt |
Feldwerte und ‑status des neuen Berechtigungsobjekts mit Status Standard |
Feld 1 |
A, B, Status: Standard |
A, B, Status: Standard |
Feld 2 |
C, D, Status: Standard |
C, D, Status: Standard |
Feld 3 |
1,2, 3, Status: Gepflegt |
1, 2, 3, Status: Standard |
Der Pflegestatus einzelner Felder wird in der Berechtigungsliste nicht explizit angegeben. Nur der Status der gesamten Berechtigung wird angezeigt. Allerdings haben Felder mit gepflegtem oder geändertem Inhalt eine dunklere Hintergrundfarbe als Felder im Status Standard (siehe auch Funktion Legende)
Transaktionen entfernen
Wenn Sie Transaktionen aus dem Rollenmenü entfernen, wirkt sich dies wie folgt auf die Berechtigungen aus:
· Eine Standardberechtigung, deren zugehörige Transaktion aus dem Rollenmenü entfernt wurde, wird beim Abmischen gelöscht, es sei denn, mindestens eine weitere im Menü verbliebene Transaktion verwendet den gleichen Berechtigungsvorschlag. Dies gilt sowohl für aktive als auch für inaktive Standardberechtigungen.
· Berechtigungen im Status Gepflegt werden nur dann gelöscht, wenn zuvor die letzte Transaktion mit Vorschlagswerten zum entsprechenden Objekt aus dem Rollenmenü entfernt wurde.
· Berechtigungen im Status Verändert und Manuell sind vom Abmischen nicht betroffen. Sie bleiben daher immer erhalten.
Berechtigungen zusammenfassen
Nicht für jede im Menü enthaltene Transaktion muss eine eigene Standardberechtigung in die Berechtigungsliste aufgenommen werden, da eine Reihe von Transaktionen identische oder zumindest sehr ähnliche Berechtigungsvorschläge haben. Es ist daher sinnvoll, nur die tatsächlich notwendigen Berechtigungen zu berücksichtigen, um die Speicherung überflüssiger Daten in der Rolle und im daraus zu generierenden Profil zu vermeiden.
Zu diesem Zweck enthält der Profilgenerator eine Komprimierungsfunktion, die gemäß den folgenden Regeln Berechtigungen zusammenfasst:
· Berechtigungen müssen sowohl im Aktivstatus (Aktiv oder Inaktiv) als auch im Pflegestatus (Standard, Gepflegt, Verändert oder Manuell) übereinstimmen.
Ausnahme:
Veränderte Berechtigungen können mit manuellen zusammengefasst werden, sofern der Aktivstatus identisch ist.
· Zwei Berechtigungen, die die im obigen Punkt genannten Voraussetzungen erfüllen, werden zusammengefasst, wenn
¡ eine Berechtigung bezogen auf alle Felder in der anderen enthalten ist (Dazu zählt auch die Identität als Spezialfall.)
¡ sich die Werte beider Berechtigungen in genau einem Feld unterscheiden, in allen anderen jedoch identisch sind
Ausnahme:
Berechtigungen, die offene Felder enthalten, werden nicht mit anderen zusammengefasst, es sei denn, die Inhalte aller Felder sind völlig identisch.