Ansichten verstecken, wenn man mehrere Rollen/Rechte gleichzeitig hat

[Jérôme]

Ich weiß nicht, ob das knifflig ist, aber ich hoffe, nicht allzu sehr

Also, ich muss Ansichten in meiner Datenbank schützen, falls jemand zu viele Rechte und Rollen besitzt. Z.B. darf der DBAdmin der Datenbank nicht gleichzeitig die Rechte der Personalabteilung haben (über Rollen gesteuert) und ein DBAdmin darf nicht gleichzeitig Manager der DB sein (sonst könnte er sich ja die Rollen so verteilen, wie er das gerne möchte).

Ich habe in das QueryOpen der Datenbank eine Formel geschrieben, mit der ich das Öffnen in einem der oben genannten Fälle unterbinden kann. Auch die Gliederungseinträge schütze ich so (damit sie auch nicht angezeigt werden können). Dennoch kann ja jemand auf die Ansichten der Datenbank zugreifen, wenn sie/er einen Rechtsklick auf die DB-Kachel im Arbeitsbereit macht und dann "Gehe zu..." wählt.

In den Ansichtseigenschaften kann man einstellen, wer alles die Ansicht verwenden darf, aber es gibt keine Steuerung von Kombinationen aus Rollen.
Ich kann natürlich was ins QueryOpen jeder Ansicht schreiben, aber dann kann man die Ansichtsnamen ja noch sehen, und das möchte ich gerne verhindern.

Wisst Ihr da Rat?
- Jérôme

[Till_21]

In den Ansichtseigenschaften kann man einstellen, wer alles die Ansicht verwenden darf, aber es gibt keine Steuerung von Kombinationen aus Rollen.
Wisst Ihr da Rat?

Wieso nicht ?
Kannst doch den Rollen, die die Ansicht verwenden duerfen, Rechte dafuer geben, oder seh ich da was falsch...
mit kombinieren meinst du doch eine log. und-verknuepfung oder ?
fuer die outline gilt gleiches

gruss

[ata]

... die Einschränkung der Verwendbarkeit von Ansichten ist kein Sicherheitsfeature - daß heißt, wenn er einigermaßen gut drauf ist, dann kann er sich private Ansichten bauen und entsprechende Einblicke erhalten - die Möglichkeit muß man auf jeden Fall in der ACL deaktivieren...

... in deinem Fall mußt du die Variationen der Zugriffsmöglichkeiten in Rollen verpacken, die dazugehörigen User in ihren Kombinationen in Gruppen berechnet zuweisen und dann nur den Gruppen die entsprechenden Rollen geben....

ata

[Jérôme]

Das verstehe ich irgendwie nicht. Es ist doch möglich, dass ein Benutzer grundsätzlich beide Rollen zugewiesen bekommen hat (aus Versehen oder aus Absicht).

In den Ansichten kann ich definieren, wer die jeweilige Ansicht verwenden darf. Wenn ich da mehrere Namen/Rollen anklicke, dann bedeutet das doch, dass man entweder die eine oder die andere Rolle benötigt, um die Ansicht verwenden zu dürfen.

Aber man soll die Ansicht eben nicht sehen dürfen, wenn man eine Kombination aus beiden Rollen besitzt. Das heißt konkret:

Wer die Rolle "[PV]" besitzt, darf die Ansicht A benutzen. Wer die Rolle "[PV]" und die Rolle "[DBAdmin]" bestitzt, soll die Ansicht nicht verwenden dürfen.

Ich kann zwar über die Dokumentberechtigungen einstellen, dass ein nicht befugter Benutzer in der Ansicht keine Dokumente sieht, aber ich will, dass der Benutzer nicht mal die Ansichten sieht, wenn er über "Gehe zu..." die Ansichten anzeigen lassen kann.

[Axel]

Hi,

eine Idee, die mir dazu einfällt wäre die folgende.

Verstecke die Ansichten, in dem du die Namen der Ansichten in Klammern setzt, z.B. (Ansicht A). Damit sieht man die Ansichten, auch unter Gehe zu, nicht mehr.

Erstelle dann eine Gliederung mußt du dann für jede Ansicht einen Eintrag erstellen. In der Auswahlliste, auf welches Element du zugreifen willst, erscheinen auch die versteckten Ansichten. In der Hide-When-Formel für den Gliederungseintrag kannst du dann mit einer Formel festlegen wer den Eintrag sehen darf.


Axel
 

[Jérôme]

SUPER!!! Das probier ich gleich mal aus!! Das ist genau das, was ich brauche, so wie sich das anhört.

[ata]

... die Ansicht ist dann aber nur scheinbar versteckt - die versteckten Ansichten kannst du mit "Gehe zu" und gedrückter STRG+Shift wieder sichtbar machen...

ata

[Jérôme]

*schnüff*  

Und wie mach ich das denn dann?

[Axel]

Hi,

ich glaube alle Eventualitäten kannst du nicht abfangen. Es wird immer einen Weg aussenrum geben.

Ich bin mir nicht sicher ob dieses Tastenkombination überall bekannt ist.

Meines Erachtens sollte ein Administrator überall Rechte haben, sonst ist er in meine Augen kein Admin. Ausserdem sollten nur vertrauenswürdige Personen Adminrechte auf Datenbanken bekommen und auf den Datenschutz festgenagelt werden.

Axel

[Jérôme]

Ich glaube, du hast recht. Ich werde mich dann mal um wichtigere Aspekte meiner Datenbank  kümmern

Danke schön!!