Wie Multi-Tenancy funktioniert

Dieser Artikel enthält die folgenden Themen:
casm173
Dieser Artikel enthält die folgenden Themen:
Wenn in CA SDM "Mandantenfähigkeit" aktiviert ist, können Sie jedem Kontakt auf die folgenden Elemente Zugriff geben: auf alle Mandanten, (öffentlich), auf einen einzelnen Mandanten oder auf eine Gruppe von Mandanten (benutzerdefiniert oder produktverwaltet). Eine Rolle Kontakte steuert den Zugriff und gibt an, die Lese-/ Schreibzugriff unabhängig voneinander sind. Da der Mandantenzugriff rollenabhängig ist und ein Kontakt während einer Sitzung verschiedene Rollen einnehmen kann, kann sich der Kontaktmandantenzugriff auch ändern.
Die meisten CA SDM-Objekte, wenn die Mandantenfähigkeit installiert ist, enthalten ein Mandantenattribut, um den Besitzer des Objekts anzugeben. Objekte fallen in drei Gruppen. Die jeweilige Gruppe hängt vom Mandantenattribut und seiner Verwendung ab:
Ohne Mandant
Definiert Objekte ohne ein Mandantenattribut. Alle Daten in diesen Objekten sind öffentlich.
Beispiele:
Priorität und Dringlichkeit.
Mandant erforderlich
Definiert Objekte mit einem Mandantenattribut, das nicht NULL sein kann (wird von CA SDM und nicht von DBMS durchgesetzt). Alle Daten in diesen Objekten sind mit individuellen Mandanten verbunden. Es gibt keine öffentlichen Daten.
Beispiele:
Tickettabellen (Request, Issue und Change)
Mandant optional
Definiert Objekte mit einem Mandantenattribut, das NULL sein kann. Einige der Daten in diesen Objekten sind öffentlich, andere sind mit bestimmten Mandanten verknüpft. Mandanten sehen Objekte als eine Zusammenführung öffentlicher Daten und deren zugeordneten mandantenspezifischen Daten.
Beispiele:
Kategorie und Lokation
Wenn ein Anwender die Datenbank abfragt, schränkt CA SDM die Ergebnisse auf Objekte ein, die zu Mandanten gehören. Der Anwender ist berechtigt, auf diese Mandanten zuzugreifen. Diese Beschränkung gilt zusätzlich zu den geltenden Beschränkungen in Bezug Datenpartitionen.
Wenn ein Anwender, der ein Objekt erstellt, Aktualisierungszugriff auf mehrfache Mandanten hat, muss der Anwender den Mandanten explizit angeben.
Manche SREL-Referenzen (wie z. B. der Zuständige eines Incidents) dürfen sich auf Objekte beziehen, die zu Mandanten in der Mandantenhierarchie ihres Objekts gehören. Solche Referenzen werden im CA SDM-Objektschema (Majic) als SERVICE_PROVIDER_ELIGIBLE bezeichnet. Das Flag SERVICE_PROVIDER_ELIGIBLE wirkt sich nur dann aus, wenn sich der Service Provider-Mandant in der Mandantenhierarchie nicht über dem Mandantenobjekt befindet. Wenn sich der Service Provider-Mandant in der Hierarchie befindet, erlauben die Mandantenvalidierungsregeln das Erstellen von Service Provider-Referenzen.
Wenn das CA SDM einen Anwender bei der Aktualisierung von Mandantendaten beschränkt, kann eine Fehlermeldung eine Beschränkung der Datenpartition ankündigen. Wenn Sie diese Fehlermeldung erhalten, bestehen entweder Datenpartitions- oder Mandantenfähigkeits-Beschränkungen.
Die Option "Mandantenfähigkeit".
Sie aktivieren die Mandantenfähigkeit durch Installieren einer der folgenden Mandantenfähigkeits-Optionen:
  • Off
    -- Die Mandantenfähigkeit wird nicht verwendet. Mandantenfähigkeits-Merkmale sind nicht verfügbar, und Objekte haben kein Attribut "Mandant". Diese Option ist die Standardeinstellung in einer neuen CA SDM-Installation.
  • Aufbau
    -- Mandantenfähigkeits-Merkmale bestehen für Administratoren, so dass mandantenbezogene Objekte und Attribute sichtbar und editierbar sind. CA SDM setzt allerdings keine Mandantenbeschränkung durch, und Anwender ohne Administratorrechte sehen keine Änderungen. Diese Einstellung ermöglicht es Administratoren, sich auf die Mandantenfähigkeit einzurichten, indem Sie z. B. Mandanten definieren oder Objekte zu Mandanten zuordnen ohne den normalen Gebrauch von CA SDM zu beeinträchtigen.
  • Aktiviert
    -- Die Mandantenfähigkeit ist voll einsatzbereit. Alle Anwender sehen die für Sie geltenden Änderungen der Anwenderoberfläche, und CA SDM erzwingt Mandantenbeschränkungen.
Informationen für Mandanten
Sie erstellen und aktualisieren Mandanten wenn Sie die Mandantenfähigkeit installieren (entweder im Aufbaumodus oder im Modus "vollständige Durchsetzung"). Informationen, die für einen Mandaten verwaltet werden, ähneln den Informationen über Organisationen, mit Ausnahme der folgenden zwei Attribute:
  • Logo
    Fügt einer Bilddatei eines Mandanten mit einem Logo eine URL hinzu. Das Logo wird auf der Mandantendetailseite selbst sowie als ein Ersatz für das CA-Logo auf Webformularen, die von Mandantenbenutzern aufgerufen werden, angezeigt. Es kann auch ein dem Mandantenbenutzer zugeordnetes Objekt angezeigt werden.
  • Service Provider
    Zeigt an, ob ein Mandant der Service Provider ist. Der Service Provider-Mandant ist immer der erste hinzugefügte Mandant. Wenn der Administrator den ersten Mandanten hinzugefügt:
    • Der erste Mandant wird der Service Provider. Dieses Zuordnung kann nicht geändert werden.
    • Für den berechtigten Anwender (meist ServiceDesk) und alle Systemkontakte (z. B. System_AHD_Generated) wird festgelegt, dass sie dem neuen Service Provider-Mandanten angehören
      Der Systembenutzer "Administrator" wird nur in Windows hinzugefügt und ihm wird kein Mandant zugewiesen. Der privilegierte Anwender muss einen Mandanten einem Administrator manuell zuweisen.
Mandantenzugriff
Die Rolle eines CA SDM-Anwenders bestimmt sowohl die Zugriffsautorisierung als auch die Anwenderschnittstelle. Der Satz an Rollen, die Anwendern zur Verfügung stehen, hängt von deren Zugriffstyp ab. Mit Mandantenfähigkeit können Sie den Mandanten oder die Mandantengruppe steuern, auf die ein Anwender innerhalb der Rolle zugreifen darf.
Die Seite "Rolle - Detail" verfügt über die Dropdown-Listen "Mandantenzugriff" und "Mandantenschreibzugriff" auf der Registerkarte "Autorisierung". Mandantenzugriff ist schreibgeschützt, und Mandantenschreibzugriff ermöglicht zusätzlich die Erstellung und Aktualisierung.
Sie können Rollen folgende Zuordnungen zuweisen:
  • Identisch mit Mandantenzugriff (Nur Mandantenschreibzugriff)
    Legt fest, dass der Mandantenschreibzugriff identisch mit der Einstellung "Mandantenzugriff" ist. Standard für Mandantenschreibzugriff und nur gültig für Mandantenschreibzugriff.
  • Alle Mandanten
    Entfernt Mandanteneinschränkungen. CA SDM erlaubt einem Anwender in einer Rolle mit diesem Zugriff, ein beliebiges Objekt in der Datenbank anzuzeigen (Lesezugriff) oder ein beliebiges Objekt mit Mandanten zu erstellen und zu aktualisieren (Schreibzugriff). Wenn Anwender mit Zugriff auf alle Mandanten ein Objekt erstellen, erfordert CA SDM, dass er den Mandanten des neuen Objekts auswählt.
  • Einzelner Mandant
    Legt den Mandantenzugriff einer Rolle auf einen benannten Mandanten fest. Wenn diese <Option ausgewählt wird, erscheint ein zweites Feld auf der Web-Oberfläche, mit dem ein bestimmter Mandant ausgewählt werden kann. CA SDM beschränkt einen Anwender in einer Rolle mit diesem Zugriff darauf, nur solche Objekte anzuzeigen (Lesezugriff) oder zu erstellen und zu aktualisieren (Schreibzugriff), die dem benannten Mandanten zugeordnet sind. Diese Auswahl ist für Mandantenzugriff oder Mandantenschreibzugriff gültig.
  • Mandantengruppe
    Legt den Mandantenzugriff einer Rolle auf eine anwenderspezifische oder vom System gepflegte Mandantengruppe fest. Wenn die Mandantengruppen-Möglichkeit ausgewählt ist, erscheint ein zweites Feld auf der Web-Oberfläche, mit eine bestimmte Mandantengruppe ausgewählt werden kann. CA SDM beschränkt einen Anwender mit der Rolle darauf, nur solche Objekte anzuzeigen (Lesezugriff) oder zu erstellen und zu aktualisieren (Schreibzugriff), die einer der Mandanten in der Gruppe zugeordnet sind. Wenn ein Anwender mit Zugriff auf Mandantengruppen ein Objekt erstellt, erfordert CA SDM, dass er den Mandanten für das neue Objekt auswählt. Diese Auswahl ist für Mandantenzugriff oder Mandantenschreibzugriff gültig.
  • Mandant des Kontakts
    Legt den Mandantenzugriff einer Rolle auf den Mandanten des benutzenden Kontakts fest. CA SDM beschränkt einen Anwender in einer Rolle mit diesem Zugriff darauf, nur solche Objekte anzuzeigen (Lesezugriff) oder zu erstellen und zu aktualisieren (Schreibzugriff), die ihrem eigenen Mandanten zugeordnet sind. Diese Auswahl ist für Mandantenzugriff oder Mandantenschreibzugriff gültig.
  • Mandantengruppe des Kontakts (Nur Analyst)
    Legt den Rollzugriff eines Analysten auf die Mandantengruppe fest, mit der der Analyst arbeitet, wie auf dem Kontaktdatensatz des Analysten angegeben. Wenn der Anwender mit der Rolle kein Analyst ist, hat diese Auswahl die gleiche Wirkung wie Mandant des Kontakts. Sie gilt sowohl für Mandantenzugriff als auch für Mandantenschreibzugriff.
  • Untergeordnete Mandantengruppe des Kontakts
    Legt den Mandantenzugriff einer Rolle zur untergeordneten Mandantengruppe des benutzenden Kontakts fest. CA SDM beschränkt einen Anwender in einer Rolle mit diesem Zugriff darauf, nur solche Objekte anzuzeigen (Lesezugriff) oder zu erstellen und zu aktualisieren (Schreibzugriff), die ihrer eigenen untergeordneten Mandantengruppe zugeordnet sind. Diese Auswahl ist für Mandantenzugriff oder Mandantenschreibzugriff gültig.
  • Untergeordnete Mandantengruppe des Kontakts
    Legt den Mandantenzugriff einer Rolle zur untergeordneten Mandantengruppe des benutzenden Kontakts fest. CA SDM beschränkt einen Anwender in einer Rolle mit diesem Zugriff darauf, nur solche Objekte anzuzeigen (Lesezugriff) oder zu erstellen und zu aktualisieren (Schreibzugriff), die ihrer eigenen übergeordneten Mandantengruppe zugeordnet sind. Diese Auswahl ist für Mandantenzugriff oder Mandantenschreibzugriff gültig.
  • Verwandte Mandantengruppe des Kontakts
    Legt den Mandantenzugriff einer Rolle zur verwandten Mandantengruppe des benutzenden Kontakts fest. CA SDM beschränkt einen Anwender in einer Rolle mit diesem Zugriff darauf, nur solche Objekte anzuzeigen (Lesezugriff) oder zu erstellen und zu aktualisieren (Schreibzugriff), die ihrer eigenen verwandten Mandantengruppe zugeordnet sind. Diese Auswahl ist für Mandantenzugriff oder Mandantenschreibzugriff gültig.
Alle Anwender können öffentliche Daten ungeachtet der Zugriffsrechte ihrer gegenwärtigen Rolle anzeigen. Das Kontrollkästchen "Öffentlich aktualisieren" steuert, ob ein Anwender des Service Providers in der Rolle öffentliche Daten erstellen oder aktualisieren darf. Mandantenanwender (Anwender, die einem anderen Mandanten angehören als dem Service Provider) können unabhängig von ihrer Rolle keine öffentliche Daten aktualisieren.
Bearbeiten des Mandantenzugriffs für eine Rolle
Die Rolle eines CA SDM-Anwenders bestimmt sowohl die Zugriffsautorisierung als auch die Anwenderschnittstelle. Der Satz an Rollen, die Anwendern zur Verfügung stehen, hängt von deren Zugriffstyp ab. Mit Mandantenfähigkeit können Sie den Mandanten oder die Mandantengruppe steuern, auf die ein Anwender innerhalb der Rolle zugreifen darf.
Die Seite "Rolle - Detail" verfügt über die Dropdown-Listen "Mandantenzugriff" und "Mandantenschreibzugriff" auf der Registerkarte "Autorisierung". Mandantenzugriff ist schreibgeschützt, und Mandantenschreibzugriff ermöglicht zusätzlich die Erstellung und Aktualisierung.
Sie können den Mandantenzugriff für eine Rolle zuweisen oder bearbeiten.
Gehen Sie folgendermaßen vor
  1. Navigieren Sie zu "Sicherheits- und Rollenmanagement" > "Rollenmanagement" > "Rollenliste".
  2. Klicken Sie auf eine Rolle, und klicken Sie auf Bearbeiten.
  3. Wählen Sie die Optionen für "Mandantenzugriff" und "Mandantenschreibzugriff" aus.
    Hinweis:
    Gehen Sie mit Vorsicht vor, wenn Sie unterschiedliche Optionen für diese Einstellungen auswählen.
  4. Klicken Sie auf Speichern.
    Die aktualisierten Optionen für den Mandantenzugriff werden für die Rolle gespeichert.
Mandanten-Nutzungsbedingungen
Ein Endanwender wird mit einem Begriff der Nutzungserklärung bei der Protokollierung in der CA SDM-Anwendung dargestellt. Der Zweck der Nutzungserklärung ist die korrekte Verwendung und die Bedingungen der Verwendung des Produkts durch den Endbenutzer. Der Anwender muss die Bedingungen akzeptieren, bevor er sich in CA SDM einloggt. Nach jedem Anmeldungsversuch werden in das Standardprotokoll und das Benutzerereignisprotokoll geschrieben.
Für die Nutzungsbedingungen können Sie folgende Aktionen ausführen:
  • Sie können Nutzungsbedingungen erstellen, aktualisieren und löschen.
  • Sie können Nutzungsbedingungen mit einem Mandanten verknüpfen.
    Sie müssen die Mandantenfähigkeit aktivieren und mindestens einen Mandanten konfigurieren, bevor Sie einem Mandanten Nutzungsbedingungen zuordnen können.
  • Sie können die Annahme der Nutzungsbedingungen durch den Endbenutzer bei jeder Anmeldung erzwingen.
  • Sie können die erste Seite leer lassen, so dass der Endbenutzer die Nutzungsbedingungen ignoriert.
Weitere Informationen zum Erstellen von Begriffen der Nutzungserklärung finden Sie unter Einrichten von Bedingungen der Verwendung.
Konfigurieren von Nutzungsbedingungen
Wenn sich der Endbenutzer bei CA SDM anmeldet, wird zunächst eine Seite mit den Nutzungsbedingungen angezeigt. Die Nutzungsbedingungen weisen den Anwender auf die ordnungsgemäße Nutzung des Produkts hin. Der Anwender muss den Bedingungen zustimmen, bevor er mit der Anmeldung CA SDM bei fortfahren kann. Wenn der Endbenutzer die Nutzungsbedingungen akzeptiert, fährt CA SDM mit der Anmeldung fort und zeigt das Hauptformular an. Wenn der Anwender die Nutzungsbedingungen nicht akzeptiert, weist CA SDM die Anmeldung zurück. Nach jedem Anmeldungsversuch werden in das Standardprotokoll und das Benutzerereignisprotokoll geschrieben.
I. d. R. konfigurieren Sie den Kontakt als Mandanten der Nutzungsbedingungen. Wenn der Kontakt als Mandant mit inaktiven Nutzungsbedingungen konfiguriert wird oder wenn in der Dropdownliste "Nutzungsbedingungen" der Wert ausgewählt wird, zeigt CA SDM die Nutzungsbedingungen der direkt und indirekt übergeordneten Elemente des Mandanten an. Wenn auf diese Weise keine Nutzungsbedingungen gefunden werden, fährt CA SDM mit der Anmeldung fort. Wenn Sie einen Mandanten mit leeren Nutzungsbedingungen konfigurieren, fährt CA SDM mit der Anmeldung fort und zeigt das Hauptformular an.
Sie können Nutzungsbedingungen folgendermaßen konfigurieren: