Mandantenfähigkeit in ACMP
Allgemein
ACMP ist mandantenfähig konzipiert und erlaubt den parallelen Betrieb mehrerer organisatorisch und logisch voneinander getrennter Mandanten innerhalb einer einzigen ACMP-Installation auf demselben Server. Ein Mandant stellt dabei eine abgeschlossene Umgebung zur Verwaltung von IT-Systemen dar und kann beispielsweise ein gesamtes Unternehmen, eine einzelne Abteilung, eine Organisationseinheit oder einen Kunden repräsentieren.
Diese strikte Trennung ermöglicht eine sichere Abgrenzung von Daten und Zuständigkeiten.
Auswahl der angelegten Mandanten beim Einloggen
Mandantenfähige Elemente in ACMP
In ACMP sind nicht automatisch alle Funktionen oder ACMP Plugins mandantenfähig. D.h., dass einige Elemente entweder ausschließlich einsehbar für den Mandanten-Administrator sind oder einige Elemente mandantenspezifisch angelegt werden können.
Hinweis:
Nicht-mandantenfähige Elemente sind Plugins, Solutions oder Einstellungen, die der normale Benutzer von ACMP nicht einsehen kann bzw. generell dann für ihn ausgeblendet sind.
| Mandantenfähige Elemente | Nicht-mandantenfähige Elemente |
| ACMP Kiosk (Inhalt/Aussehen des Kiosks) | ACMP Update |
| Clients | Lizenz Management |
| Container | Plugin „Mandanten“ |
| Geplante Reports | Benutzerverwaltung in den Systemeinstellungen |
| Asset Management | |
| Helpdesk | |
| Windows Update Management |
Alle anderen Plugins sind global und können von Clients, die keine spezifische Mandantenrolle haben, eingesehen und genutzt werden. Die Sichtbar- und Bearbeitbarkeit von ACMP Plugins hängt daher allerdings weniger von der Mandantenzugehörigkeit als von der Rolle des Benutzers/Gruppen ab, welche vom Mandanten-Administrator vergeben werden.
Diese Aufteilung bedeutet, dass in ACMP zwei Rollen möglich sind, die ein Benutzer einnehmen kann:
| Mandanten-Administrator | Ein Mandanten-Administrator besitzt Zugriff auf alle Mandanten. Er ist berechtigt, Mandanten anzulegen, zu ändern und zu löschen. Außerdem sieht er alle Plugins, egal ob global oder mandantenspezifisch. Er ist in der Lage, Rechte an andere Benutzer zu vergeben. |
| ACMP-Benutzer ohne Administratorberechtigungen | Dieser Benutzer kann sich nur an dem Mandanten anmelden, dem ihm vom Mandanten-Administrator zugewiesen worden ist. Er hat i.d.R. nur Zugriff auf mandantenspezifische Inhalte. |
Rolle des Benutzers / der Gruppe
Es besteht die Möglichkeit, einem Benutzer oder einer ganzen Mandantengruppe Rechte und Rollen in ACMP zu vergeben.
Dabei kann nur ein Mandanten-Administrator selbst das Recht eines Benutzers für eine Gruppe oder die Sichtbarkeiten von unterschiedlichen ACMP Plugins für einen Benutzer vergeben. D.h., dass Berechtigungen über eine Checkbox vergeben werden, welche Plugins dem speziellen Benutzer angezeigt werden und in welche Gruppen er eingeordnet wird.
Diese werden unter System > Benutzerverwaltung eingestellt.
Hinweis:
Dieser Bereich ist nur für Mandanten-Administratoren oder für Benutzer mit dem spezifischen Recht dazu sichtbar.
Mandanten und Mandantengruppen anlegen
Um die Mandantenfähigkeit vollumfänglich nutzen zu können, müssen zunächst Mandanten und Mandantengruppen angelegt werden.
Mandantenfähigkeit aktivieren
Erst wenn Sie diese angelegt haben, sollte die Mandantenfähigkeit unter System > Einstellungen > ACMP Server > Mandantenfähigkeit aktiviert werden.
Mandanten und Container
Nach Aktivierung der Mandantenfähigkeit gelten besondere Regeln für Container und die darin enthaltenen Clients. Ein Client kann nur Containern zugeordnet werden, die den gleichen Mandanten haben. Eine Ausnahme bilden globale Container. Hier können alle Clients, unabhängig von deren Mandantenzugehörigkeit, reinfallen. Dies betrifft sowohl statische als auch dynamische Clientzuweisungen, da Mandanten automatisch die Filterbedingungen dynamischer Container einschränken.
Ändert sich der Mandant eines Clients, wird dieser Client aus allen bisherigen Containern entfernt, selbst wenn zuvor eine statische Zuordnung bestand. Auch hier gilt die Ausnahme bei globalen Containern. Der Mandant eines Containers kann ausschließlich auf der Root-Ebene frei gewählt werden. Alle untergeordneten Container erben den Mandanten automatisch vom übergeordneten Container, wobei diese Vererbung nicht aufgebrochen werden kann. Beachten Sie dazu die Besonderheiten bei dem Export von Containern.
Bei der Ausführung von Jobs gilt eine mandantenübergreifende Priorisierungslogik. Jobs aus globalen Containern werden stets vor Jobs aus mandantenspezifischen Containern ausgeführt, unabhängig von der konfigurierten Priorität. Eine Sonderregel besteht für File Repositories, bei denen zunächst Container berücksichtigt werden, die die Vererbung aufbrechen. Da ein Client immer nur einem Mandanten zugeordnet sein kann, ist eine Priorisierung zwischen verschiedenen Mandanten nicht erforderlich.