Auf Berechtigung prüfen
Regeltypen - Kurzfassung
Zweck: Gilt als "bestanden", wenn im Kontext der Rolle der Session mindestens eine der in der Konfiguration der Regel statisch definierten Berechtigungen vorliegt.
Die Auf Berechtigung prüfen-Regel gilt als "bestanden", wenn im Kontext der Rolle der Session mindestens eine der in der Konfiguration der Regel statisch definierten Berechtigungen vorliegt.
Jede einzelne Berechtigung kann wahlweise absolut (z. B. /businessObjects/shipment/workingState/create) oder relativ (z .B. update oder workingState/create) notiert werden (Details s. "Konfiguration").
►WICHTIG◄ Die Regel überprüft nur, ob die Rolle der Session eine "Rollenberechtigung" gewährt und nicht etwa, ob diese Berechtigung auf ein ggf. vorliegendes konkretes Bezugsobjekt im Kontext der Firma der Session (unter Berücksichtigung von Besitz und Firmenfreigaben) auch angewendet werden kann.
Konfiguration
|
Der Parameter Berechtigungen ist ein Textfeld, das Zeilenwechsel unterstützt. Jede Textzeile definiert eine bestimmte Berechtigungsprüfung, die entweder als "bestanden" oder "nicht bestanden" gewertet wird. Die Regel insgesamt gilt als "bestanden", wenn mindestens eine Berechtigungsprüfung als "bestanden" gilt. Eine einzelne Berechtigungsprüfung kann entweder absolut (durch einen "Pfad" ab der Wurzel des Berechtigungsbaums) oder relativ (durch einen "Pfad" ausgehend von dem Berechtigungsknoten für einen gegebenen Kontext) notiert werden. Eine Berechtigungsprüfung in der relativen Notation kann nur "bestanden" werden, wenn der Datenkontext eine konkrete Entität als Bezugsobjekt oder mindestens einen Typhinweis (entityClass) liefert (s. Typprüfung).
Der Button Auswählen öffnet einen Editor (s. rechts oben), über den Element des Berechtigungsbaums interaktiv ausgewählt werden können. Beim Klick auf Übernehmen wird die bestehende Auswahl in das Textformat für Berechtigungen umgewandelt und in das Textfeld eingefügt. Die Einträge können danach bearbeitet werden, z. B. um absolute Pfade in relative umzuwandeln. |
Das folgende Beispiel zeigt drei absolute Pfade gefolgt von drei relativen:
|
absolute Pfade für System-Werkzeuge:
|
|
Ein absoluter Berechtigungspfad beginnt immer mit einem Schrägstrich ("/") und verweist auf einen konkrete Berechtigung oder einen bestimmten Knoten im Berechtigungsbaum. Die Berechtigungsprüfung für einen absoluten Pfad gilt als "bestanden", wenn die Rolle der Session die konkrete Berechtigung bzw. mindestens eine Berechtigung unterhalb des adressierten Knotens gewährt. |
Im Beispiel oben adressiert die erste Zeile den Berechtigungsknoten für den Dateimanager, der diverse Berechtigungen bündelt. Die beiden nachfolgenden Zeilen betreffen konkrete Berechtigungen für den Abfragekonfigurator sowie das "Erstellen" von Allgemeinen Geschäftsobjekten des Typs "MEMO". |
absoluter Pfad für einen vorbestimmten Enitätstyp:
|
|
Ein relativer Berechtigungspfad beginnt immer mit dem Namen eines Knotens, der entweder eine konkrete Berechtigung oder einen Berechtigungsknoten adressierten sollte, der im Kontext des zur Laufzeit ermittelten Entitätstyps existiert. Die Berechtigungsprüfung für einen relativen Pfad gilt als "bestanden", wenn die Rolle der Session die konkrete Berechtigung bzw. mindestens eine Berechtigung unterhalb des adressierten Knotens gewährt. ►WICHTIG◄ Die relative Notation ist nur in Verbindung mit geeigneten Entitätstypen wirksam. Im Kontext von Portalen und Datenobjekten, die keine Entitäten sind, sind nur absolute Berechtigungsprüfungen sinnvoll. |
Im Beispiel oben betreffen die Zeilen 4 und 5 konkrete Berechtigungen ("Lesen", "Löschen") für einen aus Sicht der Konfiguration beliebigen Entitätstyp. Die letzte Zeile definiert eine Prüfung, die als "bestanden" gilt, wenn für diesen Entitätstyp die Berechtigung zum "Drucken" von Trackingstatus-Einträgen in einem beliebigen Druckformat vorliegt. ►HINWEIS◄ Die Baumdarstellung rechts soll hier nur schematisch die Kriterien für die relativen Berechtigungsprüfungen im Beispiel wiedergeben. Der Editor kann nicht direkt verwendet werden, um relative Pfade ohne Bezug zu einem Entitätstyp auszugeben. Allerdings können absolute Pfade erzeugt und anschließend in relative umgewandelt werden. |
relativer Pfad für eine "beliebige" entityClass:
|
ACHTUNG
Beispiel
Einfaches Beispiel
Ein Zuordnungskriterium soll als "bestanden" gelten, wenn der angemeldete Benutzer über die Berechtigung verfügt, die Aktuelle Sprache über die Einstellungen für die Sitzung (Sprache ändern) selbst zu wählen.
Konfiguration:
|
Die Regel für das Zuordnungskriterium wird wie rechts abgebildet konfiguriert:
►HINWEIS◄ Das System setzt nicht voraus, dass ein Konfigurator den kompletten Berechtigungsbaum und die internen Namen aller enthaltenen Knoten auswendig kennt und beim Konfigurieren einer Auf Berechtigung prüfen-Regel fehlerfrei eintippt. Der Button Auswählen öffnet stattdessen einen Editor (s. u.), über den die Angabe von absoluten Berechtigungspfaden über eine Auswahl im Baum anstelle der Texteingabe erfolgen kann. |
|
|
Der Editor zum Auswählen von Berechtigungen beinhaltet - wie gewohnt (s. Rollen) - eine Suchfunktion, die verwendet werden kann, um den ggf. recht umfangreichen Inhalt gezielt zu filtern. Im Beispiel rechts sind nach der Eingabe des Texts "Sprach" im Suchfeld nur noch eine überschaubare Anzahl von Berechtigungsknoten sichtbar, so dass die gesuchte Berechtigung zum Sprache ändern schnell und zuverlässig erkannt und per Übernehmen in das Textfeld der Konfiguration übertragen werden kann. |
|
Komplexeres Beispiel
Ein Zuordnungskriterium soll immer dann als "bestanden" gelten, wenn die Rolle der Session im Kontext einer beliebigen Entität ...
... ENTWEDER die Berechtigung zum "XML ansehen" UND mindestens eine der Berechtigungen "Details anzeigen" ODER "Ändern" vorsieht,
ODER Zugriff auf den Abfragekonfigurator gewährt UND das "Lesen" für den Entitätstyp erlaubt.
Konfiguration:
