Benutzer- und Berechtigungskonfiguration
Verwalten Sie die Zugriffsrechte Ihres Teams präzise mit dem RBAC-System
KaliaOps bietet ein rollenbasiertes Zugriffskontrollsystem (RBAC) mit 4 Systemrollen und über 90 granularen Berechtigungen. Laden Sie Mitarbeiter per E-Mail ein, weisen Sie ihnen passende Rollen zu und definieren Sie Zugriffsbereiche (gesamter Tenant, Organisation, Team oder persönliche Daten). Die Zwei-Faktor-Authentifizierung ist für Administratoren obligatorisch.
RBAC-Übersicht
KaliaOps verwendet ein rollenbasiertes Zugriffskontrollsystem (Role-Based Access Control), um präzise zu verwalten, wer auf was in Ihrer Instanz zugreifen kann. Dieses System basiert auf drei Schlüsselkonzepten:
- Benutzer
- Personen, die sich bei KaliaOps anmelden. Jeder Benutzer hat eine eindeutige E-Mail, ein Passwort und kann mit einem Mitarbeiter in Ihrer Organisation verknüpft werden.
- Rollen
- Sammlungen von Berechtigungen, die definieren, was ein Benutzer tun kann. Einem Benutzer wird eine Rolle zugewiesen, die seine Zugriffsrechte bestimmt.
- Berechtigungen
- Elementare Aktionen, die erlaubt oder verweigert werden: Anzeigen, Erstellen, Bearbeiten, Löschen. Jede Berechtigung ist mit einer Ressource verknüpft (Assets, Vorfälle, Verträge usw.).
Dieses System ermöglicht das Prinzip der minimalen Rechte: Jeder Benutzer hat nur Zugriff auf die für seine Arbeit unbedingt erforderlichen Funktionen.
Systemrollen
KaliaOps bietet 4 vordefinierte Systemrollen, die die häufigsten Anforderungen abdecken. Diese Rollen können nicht gelöscht werden, aber Sie können bei Bedarf benutzerdefinierte Rollen erstellen.
Administrator
Vollzugriff auf alle Instanzfunktionen. Administratoren können:
- Alle Benutzer, Rollen und Berechtigungen verwalten
- Tenant-Einstellungen konfigurieren (SSO, Webhooks, API)
- Auf alle CMDB- und ITSM-Module zugreifen
- Audit-Protokolle einsehen
- Alle Daten exportieren
Standardbereich: Gesamter Tenant
Manager
Erweiterter Zugriff mit organisatorischen Verwaltungsfunktionen:
- CMDB- und ITSM-Entitäten erstellen, bearbeiten und löschen
- Mitarbeiter und Teams in ihrer Organisation verwalten
- Änderungen genehmigen und Vorfälle schließen
- Auf Berichte und Dashboards zugreifen
Standardbereich: Organisation
Techniker
Operativer Zugriff für die tägliche Arbeit:
- CMDB-Entitäten anzeigen und bearbeiten
- Zugewiesene Vorfälle, Probleme und Anfragen verwalten
- Wissensdatenbank-Artikel erstellen
- Auswirkungsanalyse-Tools verwenden
Standardbereich: Team
Betrachter
Nur-Lese-Zugriff:
- CMDB- und ITSM-Entitäten anzeigen
- Auf Dashboards zugreifen
- Wissensdatenbank durchsuchen
Standardbereich: Persönliche Daten
Benutzer einladen
Benutzerverwaltung aufrufen
Klicken Sie im Seitenmenü auf Einstellungen → Benutzer. Die Liste der vorhandenen Benutzer wird mit Rolle, Status und letztem Anmeldedatum angezeigt.
Einladung erstellen
Klicken Sie auf die Schaltfläche «Benutzer einladen». Geben Sie folgende Informationen ein:
- E-Mail-Adresse: Die berufliche E-Mail des Mitarbeiters
- Rolle: Wählen Sie die passende Rolle
- Verknüpfter Mitarbeiter (optional): Verknüpfen Sie den Benutzer mit einem vorhandenen Mitarbeiterdatensatz
Benutzer erhält die Einladung
Eine Einladungs-E-Mail wird automatisch gesendet. Sie enthält einen sicheren Einmal-Link, der 7 Tage gültig ist. Der Benutzer klickt auf diesen Link, um sein Passwort festzulegen und sein Konto zu aktivieren.
Kontoeinrichtung
Der Benutzer legt sein Passwort fest und konfiguriert bei Bedarf (für Administratoren obligatorisch) oder nach Wunsch die Zwei-Faktor-Authentifizierung. Sein Konto ist dann aktiv und er kann auf KaliaOps zugreifen.
Berechtigungsverwaltung
KaliaOps bietet über 90 granulare Berechtigungen, die nach Kategorien organisiert sind. Jede Berechtigung folgt dem Format ressource.aktion.
Verfügbare Aktionen
| Aktion | Beschreibung |
|---|---|
view | Liste und Details anzeigen |
create | Neue Entität erstellen |
edit | Bestehende Entität bearbeiten |
delete | Entität löschen |
Berechtigungskategorien
- CMDB
- assets, applications, contracts, vendors, clients, vlans, racks, network_flows
- ITSM
- incidents, problems, changes, service_requests, sla, workflows
- Organisation
- organizations, teams, employees, sites, projects
- Administration
- users, roles, api_tokens, webhooks, imports, exports, audit_logs
Spezielle Berechtigungen
Einige Berechtigungen steuern erweiterte Funktionen:
dependencies.view: Abhängigkeiten zwischen Entitäten anzeigenimpact_analysis.view: Auswirkungsanalyse-Tool verwendenpredictive_analytics.view: Auf prädiktive Analysen zugreifensso.manage: SSO-Authentifizierung konfigurierencloud_connections.sync: Cloud-Synchronisierung auslösen
Zugriffsbereiche
Bereiche definieren den Datenperimeter, auf den für jede Berechtigung zugegriffen werden kann. Ein Benutzer kann die Berechtigung haben, Assets anzuzeigen, aber nur die seines Teams.
Die 4 Bereichsebenen
- all - Gesamter Tenant
- Zugriff auf alle Instanzdaten. Reserviert für Administratoren und globale Überwachungsrollen.
- organization - Organisation
- Zugriff auf Daten der Organisation des Benutzers und ihrer Unterorganisationen. Ideal für Abteilungs- oder Tochtergesellschaftsleiter.
- team - Team
- Zugriff auf Daten des Benutzerteams. Geeignet für Techniker und Projektteammitglieder.
- own - Persönliche Daten
- Zugriff nur auf Entitäten, die vom Benutzer erstellt oder ihm explizit zugewiesen wurden.
Praktisches Beispiel
Ein Support-Techniker mit «Team»-Bereich für Vorfälle:
- Kann anzeigen: Vorfälle, die seinem Team zugewiesen sind
- Kann bearbeiten: Vorfälle, die seinem Team zugewiesen sind
- Kann nicht anzeigen: Vorfälle anderer Teams
Schutz sensibler Daten
KaliaOps enthält ein System zum Schutz sensibler Felder (FieldGuard), das bestimmte Informationen basierend auf Benutzerberechtigungen automatisch maskiert.
Geschützte Felder nach Ressource
| Ressource | Sensible Felder | Erforderliche Berechtigung |
|---|---|---|
| Verträge | Jahreskosten, Gesamtkosten, Stückpreis | contracts.field.cost |
| Lieferanten | Bankkonto (IBAN) | vendors.field.bank |
| Lieferanten | Handelsregisternummer, USt-IdNr. | vendors.field.legal |
Verhalten
Wenn ein Benutzer keine Berechtigung hat, ein sensibles Feld anzuzeigen:
- In Detailansichten: Das Feld zeigt
*** - In Exporten: Das Feld wird ausgelassen oder maskiert
- In der API: Das Feld ist nicht in der Antwort enthalten
Dieser Schutz wird automatisch angewendet, ohne zusätzliche Konfiguration.
Best Practices
Prinzip der minimalen Rechte
Weisen Sie immer die Rolle mit den minimal erforderlichen Berechtigungen zu. Es ist einfacher, Rechte hinzuzufügen, als sie nach einem Sicherheitsvorfall zu widerrufen.
Zwei-Faktor-Authentifizierung
2FA ist obligatorisch für Administratoren, aber wir empfehlen dringend, es für alle Benutzer zu aktivieren. KaliaOps unterstützt Standard-TOTP-Apps (Google Authenticator, Authy, Microsoft Authenticator).
Regelmäßige Zugriffsüberprüfung
Planen Sie eine vierteljährliche Überprüfung der Benutzer und ihrer Rollen:
- Deaktivieren Sie Konten von Mitarbeitern, die das Unternehmen verlassen haben
- Überprüfen Sie, ob Rollen noch den aktuellen Verantwortlichkeiten entsprechen
- Prüfen Sie Audit-Protokolle auf Anomalien
Verwendung von Bereichen
Bevorzugen Sie restriktive Bereiche (Team, Organisation) gegenüber «gesamter Tenant». Dies begrenzt die Auswirkungen eines kompromittierten Kontos.
Benutzer-Mitarbeiter-Verknüpfung
Verknüpfen Sie Benutzerkonten systematisch mit Mitarbeiterdatensätzen. Dies erleichtert:
- Identifizierung von Personen in Audit-Protokollen
- Automatische Deaktivierung beim Ausscheiden eines Mitarbeiters
- Zuweisung von Vorfällen und Anfragen an die richtigen Personen
- 4 vordefinierte Systemrollen: Administrator, Manager, Techniker, Betrachter
- Über 90 granulare Berechtigungen für alle Module
- Zugriffsbereiche: gesamter Tenant, Organisation, Team oder persönliche Daten
- E-Mail-Einladungen mit sicherem Einmal-Link (7 Tage gültig)
- 2FA obligatorisch für Administratoren, empfohlen für alle