Zugriffsberechtigungen für Benutzer definieren

[Start]  [Zurück]  [Vorwärts]  

HAN beschränkt den Zugriff zu einzelnen Ressourcen über Berechtigungen.

 

explain Berechtigungen legen die Bedingung fest, die ein Benutzer erfüllen muss, um Zugriff auf eine HAN Ressource zu erhalten. Werden die Bedingungen nicht erfüllt, wird eine frei definierte Fehlerseite (oder ggf. eine neue Login-Seite) gezeigt.

 

Zugriffsrechte können sich aus folgenden Prüfungen zusammensetzen:

Hostname

IP-Adresse

Variable

Globale Berechtigung

LDAP (Gruppe oder OU)

AD-Benutzer

AD-Benutzergruppe

Benutzer-OU

 

Um eine entsprechende Prüfung durchzuführen, muss der jeweils entsprechende Authentifizierungsdienst konfiguriert und aktiviert sein. Bei der Anmeldung speichern die Authentifizierungsdienste in Abhängigkeit ihrer Funktion benutzerspezifische Variablen und schreiben diese in das Environment. Beim Aufruf eines E-Skripts wird die Berechtigung dahingehend geprüft, ob die Werte der Definition der Berechtigung entsprechen. Ist dies der Fall, wird der Zugriff gewährt, ansonsten wird die definierte Fehlerseite ausgegeben. Wie Sie Authentifizierungsdienste konfigurieren, lesen Sie im Kapitel „Authentifizierungsdienste konfigurieren". Das vorliegende Kapitel beschreibt, wie Sie Berechtigungen erstellen und zuweisen.

Berechtigungen erstellen:

Berechtigungen erstellen, bearbeiten und verwalten Sie im Dateneditor. Sie starten den Dateneditor über die Desktopverknüpfung HAN Tools:

 

1. Öffnen Sie die HAN Tools und wählen Sie HAN Dateneditor.

 

2. Im Dateneditor wählen Sie die Seite Berechtigungen:

 

rights_conf02

 

3. Klicken Sie im Menüband die Schaltfläche Neu, um eine neue Berechtigung zu erstellen.

 

4. Im Abfragedialog wählen Sie, ob Sie eine Berechtigung oder eine globale Berechtigung erstellen. Globale Berechtigungsobjekte können Sie später in weitere Berechtigungen einfügen.

 

5. Im Dialog HAN Berechtigungen definieren Sie die neue Berechtigung:

 

rights_conf08

 

6. Bestätigen Sie mit OK. Die neue Berechtigung wird in die Liste der Berechtigungen eingetragen. Sie können die Berechtigung einem E-Skript zuweisen.

 

Berechtigungen zuweisen:

Nach dem Erstellen können Sie eine Berechtigung jedem beliebigen E-Skript zuweisen. Berechtigungen weisen Sie in den E-Skripteigenschaften zu. Die E-Skripteigenschaften öffnen Sie, indem Sie in der E-Skriptverwaltung ein E-Skript markieren und im Menüband die Schaltfläche Eigenschaften klicken:

 

rights_conf10

 

Die Verwendung einer Berechtigung aktivieren Sie, indem Sie auf der Seite Bereitstellung das Kontrollkästchen Berechtigung aktivieren. Im Eingabefeld dahinter tragen Sie manuell eine Berechtigung ein oder klicken die Auswählen-Schaltfläche, um per Dialog eine vorhandene Berechtigung zu wählen. Mit der Bearbeiten-Schaltfläche bearbeiten Sie eine eingetragene Berechtigung:

 

rights_conf09

 

Beispiel:

Die nachfolgende Anleitung beschreibt exemplarisch das Erstellen einer Berechtigung. Dieses Recht gewährt ausschließlich Benutzern, die sich in der Bibliothek befinden (IP-Bereich), Zugriff. Ausnahme bildet die LDAP-Gruppe „HAN Admins". Mitglieder dieser Gruppe dürfen standortunabhängig zugreifen:

 

1. Zuerst muss geklärt werden, welche Authentifizierungsdienste diese Informationen beschaffen. Im Beispiel sind dies die Module „auth_ip.dll" und „auth_ldap.dll".

 

2. Überprüfen Sie, ob diese Authentifizierungsdienste konfiguriert sind. Ist dies nicht der Fall, müssen beide Dienste eingerichtet werden. Wie Sie Authentifizierungsdienste konfigurieren, lesen Sie im Kapitel „Authentifizierungsdienste konfigurieren".

 

3. Öffnen Sie den Dateneditor, wählen Sie die Seite Berechtigungen und klicken Sie die Schaltfläche Neu.

 

4. Wählen Sie die Art der Berechtigung. Im Beispiel erstellen wir eine einfache Berechtigung.

 

5. Im Dialog HAN Berechtigungen vergeben Sie zunächst unter Berechtigung einen Namen für das Zugriffsrecht (hier „Bibliothek"). Optional vergeben Sie unter Beschreibung eine Beschreibung (hier: „Nutzung nur in Bibliothek gestattet, Ausnahme: Mitarbeiter"):

 

rights_conf03

 

6. Oberhalb der Tabelle Berechtigungen klicken Sie die Schaltfläche Neu und wählen die Bedingung, aus der sich das Zugriffsrecht zusammensetzt. Zunächst wählen wir IP-Adresse, um einen IP-Bereich zu definieren:

 

rights_conf04

 

7. Im Dialog IP-Adressenüberprüfung geben wir den entsprechenden IP-Bereich ein, für den unser Zugriffsrecht gilt und bestätigen mit OK:

 

rights_conf05

 

8. Auf die gleiche Weise definieren wir als weiteres Kriterium eine AD-Benutzergruppe, indem wir die Schaltfläche Neu klicken und LDAP wählen.

 

warning Um eine Autorisierung durch einen LDAP-Server durchzuführen, muss dieser in den HAN Einstellungen auf der Seite LDAP-Konfiguration eingerichtet sein. Wie Sie einen LDAP-Server einrichten, lesen Sie im Kapitel „HAN Komponenten/HAN Einstellungen/Anmeldung/LDAP-Konfiguration".

 

9. Im Dialog LDAP-Gruppenauswahl wählen Sie die entsprechende LDAP-Gruppe und bestätigen über OK.

 

10. Sie können die unterschiedlichen Bedingungen abschließend mit einer „und"- oder einer „oder"-Bedingung verknüpfen. Sie haben auch die Möglichkeit, eine Bedingung zu negieren, indem sie „gleich" oder „ungleich" einstellen. Klicken Sie in die entsprechende Zeile und Spalte, um eine Verknüpfung oder Bedingung zu bearbeiten. Im Beispiel verknüpfen wir die beiden Bedingungen mit „oder":

 

rights_conf06

 

11. Abschließend hinterlegen Sie unter Fehlerseite eine adäquate Fehlerseite. Hier wurde die Seite „newlogin.html" gewählt, die nach einer fehlgeschlagenen Anmeldung die Möglichkeit einer erneuten Anmeldung bietet. Abhängig vom jeweiligen Zugriffsrecht kann ein erneuter Login mit Hinweisen auf die Art der Anmeldung sinnvoll sein.

 

tip Fehlerseiten befinden sich im Verzeichnis \HH\HAN\Bin\System\web\htdocs_user\haninfo.

 

Beispiel: In einem Beispiel aus der Praxis wird allen Benutzern der Bibliothek uneingeschränkter Zugriff auf Bibliotheksressourcen gewährt, solange sie sich in der Bibliothek befinden. Die Bestimmung erfolgt IP-basiert anhand der IP der Bibliotheksstationen. Beim Zugriff von außerhalb der Bibliothek ist eine Authentifizierung über LDAP erforderlich. Eine entsprechende LDAP-Berechtigung gewährt nur Mitarbeitern der Bibliothek den Zugriff auf Bibliotheksressourcen von außen. Die Anmeldung von außen erfolgt für alle zentral am System, so dass von vorneherein klar ist, ob es sich um Mitarbeiter oder Studenten handelt. Daher ist es in unserem Beispiel nicht sinnvoll, eine Anmeldeseite auszugeben. Jeder Person, die von außen zugreift und nicht als Mitarbeiter authentifiziert wird, wird der Zugriff verweigert. Es empfiehlt sich deshalb, eine Informationsseite auszugeben, die mitteilt, dass man sich für den Zugriff auf Bibliotheksressourcen in der Bibliothek befinden muss. Es wurde eine Informationsseite (accessOnlyInLibrary.html.de) erstellt, die diese Informationen enthält.

 

warning Fügen Sie Ihrer Informationsseite immer eine Sprachendung an (z.B. error.html.en). HAN findet die Seite sonst nicht.