Tutorial: Organisieren von Benutzer/Benutzergruppen/Mandanten und Zugriffsverwaltung
Die RSP Benutzerverwaltung erlaubt es mehreren Benutzern gleichzeitig im und mit dem Portal zu arbeiten.
Da das Portal eine Vielzahl von Funktionen und Anwendungen bietet, ist es sinnvoll einzelnen Benutzern individuelle Rechte zuzuweisen.
Ein Mitarbeiter, der z. B. den Austoß oder die Betriebsdaten einer Anlage überwacht, braucht nicht zwingend Zugriff auf die Verbindungs-, Firewall- oder Interneteinstellungen für das mit der Anlage verbundene Gerät
Ein Benutzer wird einer Benutzergruppe zugeordnet. In der Benutzergruppe werden die Zugriffsrechte für Funktionen, Geräte etc. festgelegt.
5. Zugriff auf LAN-Komponenten beschränken
6. Zugriffe auf am Router angeschlossene Komponenten einschränken
1. Mandantenverwaltung
Sie können auch einzelne Mandanten strikt voneinander getrennt verwalten und in jedem Mandanten eine, in sich geschlossene, Benutzerverwaltung betreiben.
Die einzelnen Mandanten können separat verwaltet werden, ohne dass ein Mandant von der Existenz eines anderen Mandanten (inkl. dessen Projekte, Geräte, Visualisierungen etc.) weiß.
Hinweis
Ungeachtet der Struktur oder Konfiguration der Benutzer-/Zugriffsverwaltung hat der Accountadministrator immer uneingeschränkten Zugriff auf alle Mandanten, Projekte und Geräte.
2. Benutzerberechtigungen
Ein Benutzer erhält seine Rechte über die Zuordnung zu einer Benutzergruppe
- direkt über die Zuordnung zu einer Benutzergruppe - Zugriffsrechte = "Globale Benutzergruppe"
- indirekt über die Zwischenstufe Mandant => Benutzergruppe, die in dem gewählten Manddanten verfügbar ist - Zugriffsrechte = "Spezielle Berechtigungen"
- durch Vererbung der Zugriffsrechte eines anderen Benutzers - Zugriffsrechte = "Von Benutzer Erben"
Beispiel:
Benutzer 1 ist direkt der Benutzergruppe 1 zugeordnet. Benutzergruppe 1 wiederrum ist in allen Mandanten verfügbar. Somit ist Benutzer 1, mit den Rechten aus Benutzergruppe 1, auch in allen Mandaten verfügbar.
Benutzer 2 ist über "Spezielle Berechtigungen" über Mandant 3 der Benutzergruppe 1 zugeordnet. Somit ist Benutzer 2 mit den Rechten aus Benutzergruppe 1 nur in Mandant 3 verfügbar.
Benutzer 3 erhält seine Zugriffsrechte durch "Vererben" von Benutzer 1. D. h.: Benutzer 3 hat die selben Zugriffsrechte wie Benutzer 1.
3. Benutzerverwaltung
Dieses Video zeigt die Benutzerverwaltung und Zugriffssteuerung sowie die Verwendung von Mandanten und die Erstellung von Benutzergruppen in diesem Kontext.
4. Projektzugriff
Wenn ein Benutzer Zugriff auf ein bestimmtes Projekt benötigt, muss der jeweilige Benutzer oder der dem Benutzer angehörige Mandant im Projekt unter "Zugriff" eingestellt sein.
5. Zugriff auf LAN-Komponenten beschränken
Außerdem gibt es die Möglichkeit den Zugriff auf bestimmte LAN-Netzwerkkomponenten zusätzlich einzuschränken. Hierzu benötigen Sie die Lizenz "Erweiterte Benutzerzugriffskontrolle" (Art.-Nr. 7.100.006.00.00).
Um den Zugriff einzuschränken, gehen Sie bitte wie folgt vor:
- Öffnen Sie die jeweilige Geräte "Verwaltung".
- Klicken Sie bei "System" auf den "Bearbeiten" Button.
- Setzen Sie einen Haken bei "Eingeschränkter Zugriff" um den Zugriff auf die LAN-Komponenten einzuschränken und bestätigen Sie diese Einstellungen mit "Speichern".
- Nun legen Sie unter "Schnittstellen" -> "LAN" eine neue "Netzwerkkomponente" an (mit dem + Symbol, oben rechts) und konfigurieren Sie diese mit der jeweiligen IP-Adresse. Falls die jeweilige Netzwerkkomponente bereits angelegt haben, fahren Sie mit Punkt 5 fort.
- In den Einstellungen der Netzwerkkomponenten müssen Sie unter dem Reiter "Zugriff" auswählen, welche Benutzer oder Mandanten auf diese Netzwerkkomponente zugreifen dürfen. In dem nachfolgenden Screenshot ist der Gerätezugriff eingeschränkt. Nur ausgewählte Benutzer/Mandanten dürfen zugreifen:
Wenn Sie mehrere Netzwerkkomponenten haben, müssen Sie jede Netzwerkkomponente einzeln anlegen und die Zugriffsrechte entsprechend konfigurieren, ansonsten kann auf die jeweilige Netzwerkkomponente nicht zugegriffen werden.
6. Zugriffe auf am Router angeschlossene Komponenten einschränken
Dieses How-to beschreibt, wie der Zugriff auf bestimmte Komponenten über die VPN Verbindung durch das mbCONNECT24 Portal eingeschränkt werden kann.
Hinweis
Um nachfolgende Komponenteneinstellungen vorzunehmen, ist die Lizenz „Benutzer/Geräte Komponenteneinstellungen (Firewall hinter dem Gerät)" notwendig:
Ausgangssituation 1 - Blacklist
Wenn eine VPN-Verbindung zum Router aufgebaut wird, so hat der User Zugriff auf alle angeschlossenen Komponenten.
Zugriff einschränken für einzelne Benutzer
In der Ausgangssituation 1 kann der Zugriff auf einzelne Komponenten eingeschränkt werden, indem diese Komponente bspw. unter LAN angelegt wird und im Menü „Zugriff“ ein User eingetragen wird, der dann keinen Zugriff mehr auf diese Komponente hat:
Wie im Text beschrieben, kann somit jeder auf diese Komponente zugreifen außer die hinterlegten Benutzer. Wenn sich dieser User mit dem Router verbindet, kann er diese Komponente netzwerktechnisch nicht mehr erreichen.
Ausgangssituation 2 - Whitelist
Wenn eine VPN-Verbindung zum Router aufgebaut wird, so hat der User keinen Zugriff auf angeschlossene Komponenten.
Zugriff freigeben für einzelne Benutzer
In der Ausgangssituation 2 kann der Zugriff auf einzelne Komponenten freigegeben werden, indem diese Komponente bspw. unter LAN angelegt wird und im Menü „Zugriff“ ein User eingetragen wird, der dann Zugriff auf diese Komponente hat:
Nur hier eingetragene Benutzer können diese Komponente dann erreichen, alle anderen Komponenten können netzwerktechnisch nicht erreicht werden. Ein Ping führt ins Leere.
Revision: V1.0 |
---|