Sicherheitsverwaltung

Dieser Artikel enthält die folgenden Themen:
casm173
Dieser Artikel enthält die folgenden Themen:
-Sicherheit
Bevor Sie Benutzern den Zugriff auf CA APM (ITAM) erlauben, müssen Sie die Sicherheitseinstellungen einrichten, um den Zugriff auf das Produkt zu steuern, Ihr Repository vor nicht autorisierten und fehlerhaften Änderungen zu schützen und den Benutzern erforderliche Daten bereitzustellen. Sie können z. B. einem Anwender den Zugriff auf Modelle und Assets und einem anderen Anwender den Zugriff auf Rechtsdokumente gewähren.
Die Einrichtung der Sicherheitseinstellungen umfasst folgende Aufgaben:
  1. Anwender. Definieren Sie die Anwender, die auf das Produkt zugreifen können.
  2. Benutzerrollen. Legen Sie Gruppen von Benutzern fest, die ähnliche Aufgaben ausführen.
  3. Authentifizierung. Legen Sie fest, wie Anwender authentifiziert werden, wenn sie sich anmelden.
  4. Suchen. Legen Sie fest, welche Anwender Suchen durchführen können.
  5. Konfiguration. Verhindern Sie, dass Anwender nicht autorisierte Aufgaben durchführen.
Ein oder mehrere Systemadministratoren führen diese Sicherheitsaufgaben in CA APM durch. Ein Systemadministrator mit den Anwender-ID
uapmadmin
agiert als globaler Systemadministrator. Er hat die vollständige Kontrolle über alle Sicherheitsaspekte des Produkts.
Sie fördern die Sicherheit im gesamten Unternehmen, indem Sie die Web-Schnittstelle verwenden. Zur Durchführung dieser Aufgaben sind nur minimale Datenbankkenntnisse erforderlich.
Anwender
Sie richten die Anwendersicherheitseinstellungen ein, wenn Sie neue Anwender zum Produkt hinzufügen und eine Anwender-ID und ein Kennwort zuweisen. Wenn ein Anwender über keine gültige Anwender-ID und kein gültiges Kennwort verfügt, können er sich nicht anmelden. Für jede Person wird ein Anwender-Datensatz erstellt, und der Datensatz wird mit einem Kontakt in der Tabelle "ca_contact" verknüpft.
Sie können dem Produkt auf folgende Weise Anwender hinzufügen:
  1. Importieren Sie sie.
  2. Legen Sie sie manuell fest.
Wenn Sie die Anwender manuell festlegen, können Sie sie sofort autorisieren, um das Produkt zu nutzen. Wenn Sie die Anwender jedoch importieren, müssen Sie sie erst importieren, und dann können Sie sie autorisieren.
Wenn Sie einen Anwender manuell festlegen, wird auch ein entsprechender CA EEM-Anwender erstellt. CA EEM überprüft den Anwendernamen und das Kennwort, wenn sich der Anwender bei CA APM anmeldet.
Nachdem Sie alle CA APM-Anwender festgelegt haben, weisen Sie jedem Anwender eine
Anwenderrolle
und der gesamten Rolle Zugangsrechte zu, um zu bestimmen, was der einzelne Anwender sieht und auf was er zugreifen kann, wenn er sich anmeldet.
Best Practices (Anwender und Rollen)
Verwenden Sie die folgenden Best Practices, um Anwender und Rollen effektiv zu verwalten:
  • Ein Anwender muss eine gültige Anwender-ID und ein gültiges Kennwort haben und autorisiert sein, um sich anzumelden.
  • Entfernen Sie einen Anwender aus einer Rolle, bevor Sie dem Anwender eine neue Rolle zuweisen.
    Das Produkt lässt nicht zu, dass Sie einem Anwender mehrere Rollen zuweisen.
  • Stellen Sie vor dem Löschen einer Rolle sicher, dass der Rolle keine Anwender zugewiesen sind.
  • Löschen Sie Anwender, bevor Sie eine Rolle löschen.
Importieren und Synchronisieren von Benutzern
Überprüfen Sie, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, für die der Zugriff auf die Anwenderverwaltung aktiviert ist.
Sie können über CA EEM eine Liste von Anwendern aus einem externen Anwenderspeicher, wie z. B. einem aktiven Verzeichnis, importieren und diese Anwender synchronisieren, damit sie als Kontakte in CA APM gespeichert werden. Das Importieren von Benutzern spart Zeit beim Festlegen von Benutzern und gewährleistet die Genauigkeit der Benutzerinformationen. Nachdem Sie die Anwender importiert und gespeichert haben, autorisieren Sie sie, auf das Produkt zuzugreifen.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Benutzerverwaltung".
  3. Klicken Sie auf "LDAP Data Import and Sync".
  4. Wenn die Mandantenfähigkeit aktiviert ist, wählen Sie in der Dropdown-Liste einen Mandanten aus.
  5. Klicken Sie auf "LDAP Data Import and Sync starten".
    Der Importvorgang wird gestartet, und die Anwender werden aus dem externen Speicher importiert. Wenn die Mandantenfähigkeit aktiviert ist, werden die Anwender für den ausgewählten Mandanten als Kontakte in die Tabelle "ca_contact" importiert. Sie können dann die importierte Anwender autorisieren, das Produkt zu nutzen.
Die Funktion "LDAP Data Import and Sync" funktioniert bei Benutzernamen, die mit einem Buchstaben oder einer Zahl beginnen. Benutzernamen, die mit einem Sonderzeichen beginnen, werden nicht importiert.
Festlegen eines Benutzers
Überprüfen Sie, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, für die der Zugriff auf die Anwenderverwaltung aktiviert ist.
Sie legen alle Anwender von CA APM fest und gewähren ihnen Zugriff auf das Produkt. Nachdem Sie einen Anwender festgelegt haben, weisen Sie ihm eine Rolle zu.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Benutzerverwaltung".
  3. Klicken Sie auf "Neuer Anwender".
  4. Geben Sie die Informationen für den neuen Anwender und die Kontaktdaten ein.
  5. (Optional) Geben Sie an, ob Sie dem Anwender Zugriff auf das Produkt gewähren möchten.
  6. Klicken Sie auf Speichern.
    Der Anwender ist festgelegt.
Autorisieren eines Benutzers
Überprüfen Sie, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, für die der Zugriff auf die Anwenderverwaltung aktiviert ist.
Sie können einen Anwender autorisieren, sodass er sich anmelden und das Produkt verwenden kann. Bevor Sie einen Anwender autorisieren kann, speichern Sie den Anwender als Kontakt.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Benutzerverwaltung".
  3. Klicken Sie auf "Anwender autorisieren".
  4. Suchen Sie nach der Liste der verfügbaren Anwender.
  5. Wählen Sie den zu autorisierenden Anwender aus, und klicken Sie auf "OK".
    Der Anwender wird in der Liste der autorisierten Anwender angezeigt.
  6. Klicken Sie auf das Symbol "Bearbeiten" neben dem Benutzernamen.
  7. (Optional) Wählen Sie einen Kontakt, um einem Anwender Kontaktdetails zuzuweisen.
    Wenn Sie keinen Kontakt auswählen, wird ein neuer Kontakt für den Anwender erstellt.
  8. (Optional) Wählen Sie eine Rolle aus, die dem Anwender zugewiesen wird.
  9. Klicken Sie auf "Autorisieren".
    Der ausgewählte Anwender ist berechtigt, sich beim Produkt anzumelden.
Verweigern eines Benutzerzugriffs
Überprüfen Sie, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, für die der Zugriff auf die Anwenderverwaltung aktiviert ist.
Sie können einem Anwender den Zugriff verweigern und verhindern, dass er sich beim Produkt anmelden kann. Beispiel: Sie stellen einen neuen Asset-Techniker ein und möchten verhindern, dass er das Produkt verwendet, bis er richtig geschult wurde. Wenn Sie einem Anwender den Zugriff verweigern, werden die Kontaktdaten für den Anwender nicht aus dem Produkt gelöscht.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Benutzerverwaltung".
  3. Klicken Sie auf "Anwender autorisieren".
  4. Wählen Sie den Anwender, dem Sie den Zugang verweigern wollen, in der Liste der autorisierten Anwender aus.
  5. Klicken Sie auf "Autorisierung aufheben".
    Der Anwender wird daran gehindert, sich beim Produkt anzumelden.
Benutzerrollen
Eine
Benutzerrolle
ist der primäre Datensatz, der die Sicherheit und die Benutzeroberflächennavigation im Produkt steuert. Jede Rolle definiert eine Detailansicht des Produkts, indem nur die Funktionen angezeigt werden, die die Anwender zum Ausführen der Aufgaben benötigen, die ihrer Rolle in der Geschäftsorganisation zugewiesen wurden. Die Standardrolle für einen Anwender und die zugehörige Konfiguration der Anwenderoberfläche bestimmen, welche Daten und Funktionen den Anwendern zur Verfügung stehen. Ein Anwender kann nur zu einer einzigen Rolle gehören.
Definieren Sie Benutzerrollen, um funktionale und feldebenenspezifische Repository-Zugriffsrechte anzuwenden. Sie können die Zugriffsebenen, die für jede Rolle benötigt werden, festlegen und zuweisen. Gruppieren Sie Anwender mit derselben Jobfunktion und weisen Sie denen die entsprechende Rolle zu. Durch die Rollenzuweisung wird verhindert, dass Anwender nicht autorisierte Aufgaben durchführen, wie z. B. das Hinzufügen oder Löschen von Daten. Anwender mit der Rolle "Administrator" benötigen z. B. vollständigen Zugriff auf alle Datensätze, während Anwender mit der Rolle "Asset-Techniker" beschränkten Zugriff auf weniger Datensätze benötigen.
Das Produkt enthält vordefinierte Systemadministrator- und Benutzerrollen, die Sie als Grundlage für die Benutzerverwaltung verwenden können.
Sie können mehrere Aufgaben durchführen, um Benutzerrollen einzurichten und zu verwalten:
  • Definieren Sie eine Rolle.
  • Weisen Sie einem Anwender eine Rolle zu.
  • Entfernen Sie einen Anwender aus einer Rolle.
  • Aktualisieren Sie eine Rolle.
  • Löschen Sie eine Rolle.
  • Weisen Sie einer Rolle eine Konfiguration zu.
Vordefinierte Rollen
Das Produkt bietet eine Systemadministrator-Rolle, die vollständige Kontrolle und Zugriff auf alle Objekte und Mandantendaten hat. Diese Rolle ist mit dem Systemadministrator-Kontakt verknüpft und kann nicht gelöscht werden. Ein Anwender in dieser Rolle kann Objekte definieren, aktualisieren und löschen und darüber hinaus weitere Rollen definieren und aktualisieren, um Ihre Geschäftsanforderungen zu erfüllen. Sie können der Rolle 'Systemadministrator' keine Konfigurationen zuweisen.
Das Produkt stellt auch die folgenden vordefinierten Anwender-Rollen bereit, die Ihnen bei der Verwaltung von Anwendern helfen:
  • CA APM-Asset-Techniker: gewährt nur Zugriff auf Daten und Funktionen, die für das Arbeiten mit Asset-Informationen erforderlich sind.
  • CA APM-Vertragsmanager: gewährt nur Zugriff auf Daten und Funktionen, die für das Arbeiten mit Rechtsdokumenten und den Vertragsverwaltungsprozess erforderlich sind.
  • CA APM-Standardbenutzer: gewährt schreibgeschützten, beschränkten Zugriff auf die angezeigten Daten des Produkts. Ein Anwender mit dieser Rolle kann sich die meisten Produktdaten ansehen. Ein Anwender mit dieser Rolle kann jedoch die Produktdaten nicht ändern.
  • CA APM-Abwickler: gewährt nur Zugriff auf Daten und Funktionen, die für die Asset-Abwicklungsaufgaben erforderlich sind.
  • CA APM-Annahme: gewährt nur Zugriff auf Daten und Funktionen, die für das Aktualisieren der Assets, die von einem Abwicklungsprozess empfangen werden, erforderlich sind.
Jede vordefinierte Benutzerrolle verfügt über zugehörige Konfigurationen, die Zugriff auf die Daten gewähren, die zur Durchführung einer bestimmten Funktion erforderlich sind. Sie können die Konfigurationen ändern, die jeder vordefinierten Rolle zugeordnet sind. Die vordefinierten Rollen sind nur nach einer neuen Installation verfügbar.
Definieren von Benutzerrollen
Stellen Sie sicher, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, in der der Rollenverwaltungszugriff aktiviert ist.
Sie können benutzerdefinierte Benutzerrollen festlegen, die Ihren standortspezifischen Geschäftsanforderungen entsprechen. Zum Beispiel können Sie eine Rolle mit Zugriff auf die Daten und Funktionen der Abgleichsverwaltung und eine andere Rolle mit Zugriff auf die Daten und Funktionen des Asset-Abwicklungsprozesses definieren.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Rollenverwaltung".
  3. Klicken Sie auf "Neue Rolle".
  4. Geben Sie die Informationen für die Rolle ein.
    • Zugriff auf Anwenderverwaltung
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Anwenderverwaltungsfunktion (Verwaltung, Anwender-/Rollenverwaltung, Anwenderverwaltung) zugreifen kann. Die Unterregisterkarte "Anwender-/Rollenverwaltung" ist nur verfügbar, wenn die Rolle Zugriff auf die Anwenderverwaltungsfunktion, die Rollenverwaltungsfunktion oder auf beide Funktionen gestattet.
    • Zugriff auf Rollenverwaltung
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Rollenverwaltungsfunktion (Verwaltung, Anwender-/Rollenverwaltung, Rollenverwaltung) zugreifen kann. Die Unterregisterkarte "Anwender-/Rollenverwaltung" ist nur verfügbar, wenn die Rolle Zugriff auf die Anwenderverwaltungsfunktion, die Rollenverwaltungsfunktion oder auf beide Funktionen gestattet.
    • Zugriff zur Systemkonfiguration
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Systemkonfigurationsfunktionen (Verwaltung, Systemkonfiguration) zugreifen kann.
    • Zugriff auf Webservices
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Dokumentation der CA APM Webdienste und WSDL (Verwaltung, Webdienste) zugreifen kann. Wenn dieses Kontrollkästchen nicht aktiviert ist und ein Anwender mit dieser Rolle versucht, von einer externen Client-Anwendung aus auf die Webdienste zuzugreifen, wird dem Anwender ein Anmeldefehler angezeigt.
    • Zugriff auf Filterverwaltung
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Filterverwaltungsfunktion (Verwaltung, Filterverwaltung) zugreifen kann.
    • Konfigurationszugriff zu weiteren Informationen
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Funktion "Konfigurationszugriff zu weiteren Informationen" zugreifen kann. Diese Funktion ermöglicht es dem Anwender, auf weitere zugehörige Informationen zu den ausgewählten Objekten zuzugreifen. Der Anwender kann diese Zusatzinformationen zugreifen, indem er Menüpunkte unter "Beziehungen" auf der linken Seite der Seite auswählt.
    • Anwenderzugriff auf Data Importer
      Wählen Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Data Importer-Funktion (Verwaltung, Data Importer) mit Anwenderberechtigungen zugreifen kann. Anwender können Importe erstellen und ihre eigenen Importe ändern oder löschen. Anwender können auch einen Import anzeigen, der von einem anderen Anwender erstellt wurde.
    • Administratorzugriff auf Data Importer
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Data Importer-Funktion (Verwaltung, Data Importer) mit Administratorberechitungen zugreifen kann. Administratoren können Importe erstellen und jeden Import, der von einem Anwender erstellt wurde, ändern oder löschen.
    • Zugriff auf Abgleichsverwaltung
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Funktion zur Abgleichsregelverwaltung (Verwaltung, Abgleichsverwaltung) zugreifen kann.
    • Zugriff auf Asset-Bereitstellung
      Aktivieren Sie dieses Kontrollkästchen, damit ein CA Service Catalog-Anwender, der dieser Rolle zugewiesen ist, Asset-Abwicklungsprozesse mit CA Service Catalog ausführen kann.
    • Zugriff auf Mandantenadministration
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Mandantenfähigkeit-Verwaltungsfunktion zugreifen kann, um die Mandantenfähigkeit zu aktivieren sowie Mandanten, untergeordnete Mandanten und Mandantengruppen (Verwaltung, Mandantenverwaltung) zu definieren.
    • Zugriff auf Normalisierung
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Funktion zur Normalisierungsregelverwaltung (Verzeichnis, Listenverwaltung, Normalisierung) zugreifen kann.
    • Zugriff auf Hilfsprogramme für Massenänderungen
      Aktivieren Sie dieses Kontrollkästchen, damit ein dieser Rolle zugewiesener Anwender auf die Funktion "Hilfsprogramme für Massenänderungen" zugreifen kann. Diese Funktion ermöglicht es dem Anwender, die Asset-Familie für ein Modell zu ändern und das Modell für ein Asset zu ändern.
  5. (Optional) Spezifizieren Sie die Lese-/Schreibberechtigungen für Mandanten. Die Mandantenfähigkeit erweitert den Aufgabenbereich der Rolle, um den Mandanten oder die Mandantengruppe zu steuern, auf den bzw. die ein Anwender mit der Rolle zugreifen kann. Wenn die Mandantenfähigkeit aktiviert ist, enthält der Abschnitt "Mandanten-Informationen" die Dropdown-Listen "Mandanten-Lesezugriff" und "Mandanten-Schreibzugriff".
    Der Abschnitt "Mandanten-Informationen" wird nur angezeigt, wenn die Mandantenfähigkeit aktiviert ist. Weitere Informationen zum Aktivieren der Mandantenfähigkeit finden Sie unter Implementieren von mehreren Mandanten. Anwender, die einem Mandanten zugeordnet sind, bei dem es sich nicht um den Service Provider handelt, können nur mit ihrem eigenen Mandanten verbundene Objekte erstellen oder aktualisieren. Nur Anwender, die dem Service Provider zugeordnet sind, dürfen Objekte erstellen oder aktualisieren, die fremden Mandanten gehören.
    • Alle Mandanten
      Enthält keine Mandantenbeschränkungen. Ein Anwender mit dieser Rolle und dieser Zugriffsberechtigung kann sich ein beliebiges Objekt in der Datenbank (einschließlich öffentlicher Objekte) ansehen. Darüber hinaus kann ein mit dem Service Provider verknüpfter Anwender Objekte aktualisieren oder erstellen, die mit einem beliebigen Mandanten verknüpft sind. Wenn ein Service Provider-Anwender mit dieser Zugriffsberechtigung ein Objekt erstellt, muss der Anwender den Mandanten des neuen Objekts auswählen.
    • Mandant des Kontakts
      (Standardwert) Verknüpft die Rolle mit dem Mandanten des Kontakts. Das Produkt beschränkt einen Anwender in einer Rolle mit dieser Zugriffsberechtigung dahingehend, dass der Anwender nur die Objekte, die mit seinem eigenen Mandanten verknüpft sind, anzeigen, erstellen und aktualisieren (und öffentliche Objekte anzeigen) kann. Wenn ein Anwender mit dieser Zugriffsberechtigung ein Objekt erstellt, kann der Anwender keinen Mandanten auswählen. Der Mandant wird automatisch als der Mandant für den Kontakt festgelegt.
    • Mandantengruppe des Kontakts
      Verknüpft die Rolle mit der Mandantengruppe des Kontakts. Das Produkt beschränkt einen Anwender in einer Rolle mit dieser Zugriffsberechtigung dahingehend, dass er nur die Objekte, die mit den Mandanten in seiner Mandantengruppe verknüpft sind, anzeigen, erstellen und aktualisieren (und öffentliche Objekte anzeigen) kann. Wenn ein Anwender mit dieser Zugriffsberechtigung ein Objekt erstellt, kann der Anwender einen beliebigen Mandanten aus der Mandantengruppe auswählen.
    • Einzelner Mandant
      Verknüpft die Rolle mit einem genannten Mandanten. Wenn Sie diese Option auswählen, wählen Sie einen bestimmten Mandanten im Feld "Mandanten-Schreibzugriff" oder "Mandanten-Lesezugriff" aus. Das Produkt beschränkt einen Anwender in einer Rolle mit dieser Zugriffsberechtigung dahingehend, dass er nur die Objekte, die mit dem von Ihnen ausgewählten Mandanten verknüpft sind, anzeigen, erstellen und aktualisieren (und öffentliche Objekte anzeigen) kann. Wenn ein Anwender mit dieser Zugriffsberechtigung ein Objekt erstellt, kann der Anwender keinen Mandanten auswählen. Der Mandant wird automatisch dem Mandanten zugeordnet, den Sie auswählen.
      Nur ein Service Provider-Anwender kann Daten für einen fremden Mandanten erstellen oder von einem fremden Mandanten aktualisieren. Ein Mandanten-Anwender mit einer Rolle mit Einzelmandanten-Zugriff auf einen anderen Mandanten hat nur Lesezugriff.
    • Mandantengruppe
      Verknüpft die Rolle mit einer genannten Mandantengruppe. Wenn Sie diese Option auswählen, wählen Sie eine bestimmte Mandantengruppe im Feld "Mandantengruppe-Schreibzugriff" oder Mandantengruppe-Lesezugriff" aus. Das Produkt beschränkt einen Anwender in einer Rolle mit dieser Zugriffsberechtigung dahingehend, dass er nur die Objekte anzeigen kann, die zu einem beliebigen Mandanten in der Mandantengruppe gehören. Darüber hinaus kann ein mit dem Service Provider verknüpfter Anwender Objekte aktualisieren oder erstellen, die mit einem beliebigen Mandanten in der Gruppe verknüpft sind. Wenn ein Service Provider-Anwender mit dieser Zugriffsberechtigung ein Objekt erstellt, muss der Anwender den Mandanten für das neue Objekts auswählen.
    • Öffentlich aktualisieren (Kontrollkästchen)
      Nur verfügbar, wenn Sie "Alle Mandanten" auswählen. Aktivieren Sie dieses Kontrollkästchen, um einen Anwender zu autorisieren, mandantenspezifische öffentliche Daten zu erstellen oder zu löschen.
  6. Klicken Sie auf Speichern.
    Die Rolle ist definiert, und Sie können der Rolle Anwender zuweisen.
Zuweisen eines Benutzers zu einer Rolle
Stellen Sie sicher, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, in der der Rollenverwaltungszugriff aktiviert ist. Wenn Sie einem Anwender keine Rolle zuweisen, wird die Registerkarte "Verwaltung" für den Anwender nicht angezeigt.
Sie können einem Anwender eine Rolle zuweisen, um eine Detailansicht des Produkts zu definieren und zu bestimmen, was dem Anwender bei seiner Anmeldung angezeigt wird. Weisen Sie einen Administrator z. B. die Systemkonfigurationsrolle zu. Sie können einem Anwender nur eine einzelne Rolle zuweisen. Speichern Sie einen Anwender als Kontakt, bevor Sie den Anwender einer Rolle zuweisen.
Entfernen Sie einen Anwender aus seiner zuvor zugewiesenen Rolle, bevor Sie dem Anwender eine neue Rolle zuweisen.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Rollenverwaltung".
  3. Klicken Sie auf "Rolle suchen".
  4. Klicken Sie im Bereich "Rollenkontakt" der Seite auf "Kontakt zuweisen".
    Alle Anwender, die keiner Rolle zugewiesen sind, werden angezeigt.
  5. Wählen Sie den Anwender, dem Sie eine Rolle zuweisen möchten.
  6. Klicken Sie auf OK.
  7. Klicken Sie auf Speichern.
    Die Rolle wurde dem Anwender zugewiesen.
Entfernen eines Benutzers aus einer Rolle
Stellen Sie sicher, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, in der der Rollenverwaltungszugriff aktiviert ist.
Sie können die Zugriffsrechte für einen Anwender beschränken, indem Sie ihn aus einer Rolle entfernen. Beispiel: Ein Administrator wird in eine andere Abteilung versetzt und Sie müssen ihn aus der Systemkonfigurationsrolle entfernen. Entfernen Sie den Anwender aus einer Rolle, bevor Sie ihm eine andere Rolle zuweisen oder wenn er nicht mehr an Ihrem Standort oder für Ihre Organisation arbeitet.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Rollenverwaltung".
  3. Klicken Sie auf "Rolle suchen".
  4. Klicken Sie auf das Löschsymbol neben dem Anwender, den Sie aus der Rolle entfernen möchten.
  5. Klicken Sie auf Speichern.
    Der Anwender wird aus der Rolle entfernt.
Aktualisieren einer Benutzerrolle
Stellen Sie sicher, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, in der der Rollenverwaltungszugriff aktiviert ist.
Sie können eine Anwenderrolle jederzeit aktualisieren, um zu ändern, was dem Anwender bei der Anmeldung beim Produkt angezeigt wird. Zum Beispiel führen die Anwender in einer bestimmten Rolle nicht länger Mandantenverwaltungsfunktionen aus. Entfernen Sie in diesem Fall den Zugriff auf die Mandantenverwaltungsfunktionen aus der Rolle.
Sie können eine Rolle löschen, die an Ihrem Standort oder in Ihrer Organisation nicht mehr aktiv ist oder wenn die Funktionen der Rolle nicht mehr erforderlich sind. Sie können die vordefinierte Systemadministrator-Rolle nicht löschen.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Rollenverwaltung".
  3. Klicken Sie auf "Rolle suchen".
  4. Suchen Sie nach einer Rolle und wählen Sie sie aus.
  5. Um die Rolle des Benutzers zu aktualisieren, ändern Sie die Informationen für die Rolle und klicken Sie auf "Speichern".
    Die Rolle wird aktualisiert.
  6. Um die Benutzerrolle zu löschen, klicken Sie auf "Löschen".
    Die Rolle wird gelöscht.
Zuweisen einer Konfiguration zu einer Rolle
Stellen Sie sicher, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, in der der Rollenverwaltungszugriff aktiviert ist.
Sie können die Anwenderoberfläche konfigurieren, um zu vereinfachen, wie Anwender Daten eingeben, verwalten und nach Daten suchen. Wenn Sie einer Rolle eine Konfiguration zuweisen, können Sie sicherstellen, dass jeder der Rolle zugewiesene Anwender das Produkt sieht, das er laut Ihrer Konfiguration sehen soll.
Beispiel: Zuweisen einer Konfiguration zu einem Asset-Manager
In diesem Beispiel muss ein Asset-Manager schnell die wichtigsten Informationen anzeigen und überwachen können, die für ein Asset in das Produkt eingegeben wurden. Diese Informationen werden für die Berichterstellung, Kostenanalyse und Bestandskontrolle verwendet. Der Administrator konfiguriert die Suchergebnisse so, dass der Asset-Name, der Modellname, die Menge, die Seriennummer, das Betriebssystem, die Bestellnummer und die Kostenstelle angezeigt werden. Der Administrator speichert die Konfiguration und weist sie der Asset-Verwaltungsrolle zu. Wenn sich ein Asset-Manager bei dem Produkt anmeldet, wird die Konfiguration für die Asset-Manager-Rolle ausgewählt und angezeigt.
Weitere Informationen zu Konfigurationen finden Sie unter So konfigurieren Sie die Benutzeroberfläche.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Anwender-/Rollenverwaltung".
  2. Erweitern Sie im linken Bereich das Menü "Rollenverwaltung".
  3. Klicken Sie auf "Rolle suchen".
  4. Suchen Sie nach einer Rolle und wählen Sie sie aus.
  5. Klicken Sie auf "Rollenkonfiguration".
  6. Klicken Sie auf "Neue Auswahl".
    Die Liste der gespeicherten Konfigurationen wird angezeigt.
  7. Wählen Sie die Konfiguration, die Sie der Rolle zuweisen möchten.
  8. Klicken Sie auf OK.
  9. Klicken Sie auf Speichern.
    Die Konfiguration wird die Rolle zugewiesen. Der der Rolle zugewiesene Anwender sieht die Konfiguration, wenn er sich bei dem Produkt anmeldet.
Authentifizierung
Authentifizierung
wird der Prozess genannt, bei dem die Indentifikationsinformationen, wie z. B. der Anwendername und das Kennwort, eines Anwenders abgerufen werden, um die Anmeldeinformationen zu validieren und sicherzustellen, dass der Anwender existiert. Wenn die Anmeldeinformationen gültig sind, wird der Anwender authentifiziert. Nachdem ein Anwender authentifiziert worden ist, wird beim Genehmigungsprozess festgestellt, ob sich der Anwender bei dem Produkt anmelden darf.
CA APM verwendet CA EEM, um die Benutzerauthentifizierung zu verarbeiten.
Die folgenden Authentifizierungstypen werden unterstützt:
  • Formularauthentifizierung. Ein Anwender wird zur Eingabe eines Anwendernamens und Kennworts aufgefordert, um sich für das Produkt anzumelden.
    Die Formularauthentifizierung ist der standardmäßige Authentifizierungstyp.
  • Integrierte Windows-Authentifizierung. Ein Anwender, der bereits bei der Windows-Domäne angemeldet ist, kann auf das Produkt zugreifen, ohne zusätzliche Anmeldeinformationen angeben zu müssen.
Sie können für zusätzliche Sicherheit sorgen, indem Sie eine Registerkarten- und Menükonfiguration im Produkt festlegen, die den Zugriff eines Benutzers auf Seiten und Registerkarten beschränkt.
Konfigurieren der Formularauthentifizierung
Stellen Sie sicher, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, in der der Systemkonfigurationszugriff aktiviert ist.
Sie können die Formularauthentifizierung konfigurieren, damit ein Anwender bei der Anmeldung aufgefordert wird, einen Anwendernamen und ein Kennwort einzugeben.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Verwaltung", "Systemkonfiguration"
  2. Klicken Sie auf der linken Seite auf "EEM".
  3. Wählen Sie "Formular" aus der Dropdown-Liste "Authentifizierungstyp" aus.
  4. Klicken Sie auf Speichern.
    Die Formularauthentifizierung wird aktiviert.
Konfigurieren der integrierten Windows-Authentifizierung
Stellen Sie sicher, dass der Anwender, der diesen Task durchführt, einer Rolle angehört, in der der Systemkonfigurationszugriff aktiviert ist.
Sie können die integrierte Windows-Authentifizierung konfigurieren und den CA EEM-Server auf das aktive Verzeichnis verweisen, das zur Authentifizierung verwendet wird. Ist die integrierte Windows-Authentifizierung aktiviert, kann ein bereits bei der Windows-Domäne angemeldete Anwender auf das Produkt zugreifen, ohne zusätzliche Anmeldeinformationen angeben zu müssen.
Sie können die integrierte Windows-Authentifizierung auch mit CA EEM und CA SiteMinder konfigurieren. CA SiteMinder verwendet das aktive Verzeichnis zur Authentifizierung. Informationen zu dieser Konfiguration finden Sie in der CA EEM-Produktdokumentation.
Damit die integrierte Windows-Authentifizierung funktioniert, müssen der CA EEM-Server, das aktive Verzeichnis und der Client-Computer, der die Authentifizierungsanforderung stellt, zur selben Domäne gehören.
Wenn Sie darüber hinaus einen Anwender im lokalen CA EEM-Speicher mit einem Anwendernamen erstellen und autorisieren, der im Active Directory vorhanden ist, wird der entsprechende Active Directory-Anwender automatisch autorisiert.
Gehen Sie folgendermaßen vor:
  1. Konfigurieren Sie den CA EEM-Server auf dem Computer, auf dem CA EEM installiert ist, um auf Ihr aktives Verzeichnis oder das LDAP-System zu verweisen.
    Informationen über die Verwendung dieser Funktionen finden Sie in der CA EEM-Produktdokumentation.
  2. Klicken Sie in CA APM auf "Verwaltung" und dann auf "Systemkonfiguration".
  3. Klicken Sie auf der linken Seite auf "EEM".
  4. Wählen Sie in der Dropdown-Liste "Authentifizierungsmethode" die Option "Windows integriert" aus.
  5. Klicken Sie auf Speichern.
    Die integrierte Windows-Authentifizierung ist aktiviert.
Single Sign-On
Single-Sign-on
bezeichnet einen Authentifizierungsprozess, bei dem der Anwender durch die Eingabe einer Anwender-ID und eines Kennworts auf eine Reihe von Ressourcen innerhalb der Organisation zugreifen kann. Durch Single-Sign-on erübrigt sich die Eingabe weiterer Authentifizierungsanmeldeinformationen, wenn Sie von einer Lösung zu einer anderen wechseln.
Mit "Single Sign-On" können sich die Anwender automatisch mit ihren Windows-Anmeldeinformationen beim Produkt anmelden. Nachdem Sie die Anwender-ID zu einer Rolle hinzugefügt haben, überprüft das Produkt die Anmeldeinformationen und es zeigt die entsprechende Startseite für den Anwender an.
Damit "Single Sign-on" ordnungsgemäß funktioniert, müssen Sie die Windows-Benutzerkonten als Domänenbenutzerkonten und nicht als lokale Anwenderkonten einrichten.
Nachdem Sie die NTLM-Authentifizierung aktiviert haben, wird möglicherweise eine Browser-Aufforderung in den Browsern IE/Chrome/Firefox angezeigt, um Benutzernamen und Kennwort für die Anmeldung bei APM zu erhalten. Führen Sie die folgenden Schritte basierend auf dem von Ihnen verwendeten Browser (IE, Chrome und Firefox) aus: Führen Sie die folgenden Schritte basierend auf dem von Ihnen verwendeten Browser (IE, Chrome und Firefox) aus:
Einrichten der Windows-Authentifizierung im Browser IE und Chrome
  1. Öffnen Sie
    Systemsteuerung
    ,
    Netzwerk und Internet
    ,
    Internetoptionen
    .
  2. Klicken Sie auf die Registerkarte
    Sicherheit
    , und wählen Sie
    Lokales Intranet
    aus.
  3. Klicken Sie auf
    Stufe anpassen
    .
  4. Scrollen Sie nach unten und, und wählen Sie die Option
    Benutzerauthentifizierung
    . Setzen Sie die Anmeldung auf
    Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort
    .
  5. Klicken Sie auf OK.
  6. Klicken Sie auf "
    Sites
    ".
  7. Klicken Sie auf "
    Erweitert
    ". Fügen Sie die CA APM-Web-URL-Verknüpfung hinzu.
    Geben Sie das richtige Website-Zugangsprotokoll an (http oder https).
  8. Klicken Sie auf "
    Schließen
    ". Klicken Sie auf "
    OK
    ", um "Internetoptionen" zu schließen.
  9. Starten Sie das Browserfenster neu, und greifen Sie auf die CA APM-URL zu.
Einrichten der Windows-Authentifizierung in Firefox
  1. Öffnen Sie Firefox.
  2. Geben Sie in der Adressleiste des Browsers
    About:Config
    ein.
  3. Es wird eine Sicherheitswarnung angezeigt. Befolgen Sie die Anweisungen in der Eingabeaufforderung aus, um fortzufahren.
  4. Suchen Sie nach den untenstehenden Einstellungen, indem Sie die Liste durchsuchen oder einzeln danach suchen. Suchen Sie jede Einstellung, und aktualisieren Sie den Wert wie folgt:
    Einstellung
    Wert **
    network.negotiate-auth.delegation-uris
    Geben Sie den vollständig qualifizierten Namen Ihres IIS-Servers ein.
    network.automatic-ntlm-auth.trusted-uris
    Geben Sie den vollständig qualifizierten Namen Ihres IIS-Servers ein.
    network.automatic-ntlm-auth.allow-proxies
    Wahr
    network.negotiate-auth.allow-proxies
    Wahr
  5. Starten Sie Firefox erneut.
Sicherheit suchen
Mithilfe von Standardsuchen können Sie Objekte im Repository finden. Verwenden Sie zum Beispiel die Standardsuchen, um Assets, Modelle, Kontakte usw. zu finden. Dank der Sicherheitseinstellungen für die Standardsuchen sind sie für alle Anwender und Konfigurationen verfügbar. Sie können diese Suchen verwenden, um zusätzliche Suchen zu erstellen.
Im Gegensatz dazu können Sie Sicherheitseinstellungen auf die von Ihnen erstellten Suchen anwenden, um zu begrenzen, wer sie verwenden kann. Wenn Sie eine konfigurierte Suche speichern, können Sie bestimmte Benutzerrollen und Konfigurationen (auf Administratoren beschränkt) auswählen. Standardmäßig sind ist die Sicherheit für die von Ihnen erstellten Suchen so eingestellt, dass die Suchen für alle Anwender und Konfigurationen verfügbar sind. Indem Sie individuelle Sicherheitseinstellungen auf Ihre Suchen anwenden, können Sie sicherstellen, dass bestimmte Anwender keine vertraulichen Informationen anzeigen können, die von einer Suche ausgegeben werden.
Beachten Sie die folgende Informationen, wenn Sie Sicherheitseinstellungen auf Suchen anwenden:
  • Sie können auf alle Suchen (Standard- und benutzerdefinierte Suchen) zugreifen, d. h. Sie können die Suchen für die Anwender konfigurieren und etwaige Probleme mit Suchen beheben.
  • Sie können auf alle geplanten Suchen und Exporte zugreifen, d. h. Sie können geplante Suchen und Exporte für Anwender konfigurieren und etwaige Probleme damit beheben.
  • Alle Anwender, die einer Rolle und einer Konfiguration zugewiesen werden, können auf die Standardsuchen und benutzerdefinierten Suchen zugreifen, die der Rolle und der Konfiguration zugewiesen sind. Die Suchergebnisse, die den Benutzern für die Standardsuchen angezeigt werden, beinhaltet jedoch keine Informationen und Felder, die sich ausblenden und schützen.
  • Wenn eine Standardsuche oder benutzerdefinierte Suche aufgrund von Konfigurationsänderungen ungültig wird, benötigen Sie die Suche möglicherweise nicht mehr. Sie können jede Standardsuche oder benutzerdefinierte Suche in CA APM löschen.
Beheben von Problemen mit der Suchsicherheit
Tipps zur Fehlerbehebung in Zusammenhang mit der Suchsicherheit helfen Ihnen bei der Verwendung konfigurierter Suchen.
Eine Rolle kann keiner konfigurierten Suche zugewiesen werden
Gültig für alle unterstützten Betriebsumgebungen.
Symptom:
Beim Versuch, eine Rolle mit Zugriff auf eine konfigurierte Suche auszustatten, wird ein ähnlicher Fehler wie einer der folgenden angezeigt:
Sie können die Rolle nicht zur Suche zuweisen, da die Rolle nicht auf folgende(s) Feld(er) zugreifen kann: mit dem Asset-Typ
Sie können die Rolle nicht zur Suche zuweisen, da die Rolle nicht auf den Asset-Typ zugreifen kann
Sie können die Rolle nicht zur Suche zuweisen, da die Konfiguration nicht auf folgende(s) Feld(er) zugreifen kann: ,
Lösung:
Wenden Sie eine der folgenden Lösungen an, um diesen Fehler zu beheben:
  1. Aktualisieren Sie die Konfiguration, und gewähren Sie der Rolle oder dem Anwender Zugriff auf die Suche.
  2. Aktualisieren Sie die Konfiguration, und entfernen Sie das verborgene Feld aus der Suche.
  3. Gestatten Sie der Rolle nicht, auf die Suche zuzugreifen.
  4. Entfernen Sie die Konfiguration aus der Rolle.
Eine Konfiguration kann keiner konfigurierten Suche zugewiesen werden
Gültig für alle unterstützten Betriebsumgebungen.
Symptom:
Beim Versuch, eine globale oder lokale Konfiguration mit Zugriff auf eine konfigurierte Suche auszustatten, wird ein ähnlicher Fehler wie einer der folgenden angezeigt:
Sie können die Konfiguration nicht zur Suche zuweisen, da die Konfiguration nicht auf folgende(s) Feld(er) zugreifen kann: mit dem Asset-Typ
Sie können die Konfiguration nicht zur Suche zuweisen, da die Konfiguration nicht auf den Asset-Typ zugreifen kann
Sie können die Konfiguration nicht zur Suche zuweisen, da die Konfiguration nicht auf folgende(s) Feld(er) zugreifen kann: ,
Lösung:
Wenden Sie eine der folgenden Lösungen an, um diesen Fehler zu beheben:
  1. Aktualisieren Sie die Konfiguration, und machen Sie das verborgene Feld für die Suche verfügbar.
  2. Aktualisieren Sie die Konfiguration, und entfernen Sie das verborgene Feld aus der Suche.
  3. Gestatten Sie der Konfiguration nicht, auf die Suche zuzugreifen.