Show TOC

Berechtigungen, Aktionen und UME-RollenLocate this document in the navigation structure

Definition

Das Berechtigungskonzept wird innerhalb der User Management Engine (UME) über die Objekte Berechtigungen, Aktionen und Rollen umgesetzt.

Anwendungen definieren UME-Berechtigungen intern innerhalb ihres Java-Codes und verwenden sie für die Zugriffskontrolle. Bei UME-Berechtigungen handelt es sich um Implementierungen von Java-Berechtigungen.

Eine Aktion ist eine Sammlung von Berechtigungen. Jede Anwendung definiert einen eigenen Satz von Berechtigungen und gibt die den Aktionen zugeordneten Berechtigungen, in einer XML-Datei oder (seltener) dynamisch im Code an. Die Aktionen sind in der Administrationskonsole der Benutzerverwaltung aufgeführt. Dort können Sie diese in Rollen gruppieren.

UME-Rollen gruppieren Aktionen aus einer oder mehreren Anwendungen. Die Zuordnung von Rollen zu Benutzern erfolgt in der Administrationskonsole der Benutzerverwaltung. Durch die Zuordnung von Rollen zu Benutzern definieren Sie, über welche Berechtigungen die Benutzer verfügen.

Struktur

Die folgende Grafik veranschaulicht die Beziehung zwischen Berechtigungen, Aktionen und Rollen.

Die Unterteilung in Aktionen und Berechtigungen bietet folgende Vorteile:

  • Entwickler von Anwendungen können Berechtigungen feingranular, bis ins kleinste Detail definieren, die Komplexität jedoch mindern, indem sie nur wenige Aktionen definieren.
  • Da Aktionen in der Regel in XML-Dateien definiert werden, können Sie bei Installation des Services, entsprechend Ihren Anforderungen angepasst werden.
  • Administratoren können in der Administrationskonsole der Aktionen zu Rollen zuordnen. Berechtigungen werden in der Administrationskonsole nicht angezeigt.
Beispiel

Die Administrationskonsole der Benutzerverwaltung ist eine Anwendung, die auf der UME ausgeführt wird. In der Anwendung sind Berechtigungen für Aktivitäten, wie das Ändern eines Benutzerprofils oder einer Rolle, im Code definiert. In der XML-Datei ist eine Aktion Rollen_verwalten (Manage_Roles) definiert, die alle Berechtigungen zusammenfasst, die ein Benutzer zur Rollenverwaltung benötigt. Diese Aktion beinhaltet Berechtigungen zum Anzeigen, Bearbeiten und Löschen von Rollen.

Sie können beispielsweise ein Rolle namens Rollenadministrator anlegen und dieser die Aktion Rollen_verwalten (Manage_Roles) zuordnen. Sie können dann jeden Administrator, der Berechtigungen zur Rollenverwaltung benötigt, der Rolle Rollenadministrator zuordnen.

Schnittstellen

Die entsprechenden UME-Schnittstellen sind in diesen Paketen enthalten:

  • com.sap.security.api
  • com.sap.security.api.acl
  • com.sap.security.api.logon
  • com.sap.security.api.ticket