Benutzerverwaltung
Im Bereich Benutzerverwaltung können Sie Benutzer und Benutzergruppen anlegen, bearbeiten und entfernen. Damit können Sie einerseits z.B. Benutzer für Zweigstellen einrichten, um die Aufgaben von ACMP besser zu verteilen. Andererseits können Sie innerhalb der Benutzerverwaltung über die Rechte für Benutzergruppe und Benutzer auch steuern, wer bestimmte Solutions in ACMP sehen und bestimmte Aktionen durchführen darf.
Rechte und Berechtigungen in ACMP
Das Rechte-Management in ACMP ist indirekter Teil der Benutzerverwaltung. Die Steuerung von Rechten für Benutzer und Gruppen setzt sich dabei aus zwei Bestandteilen zusammen: Den grundlegenden Rechten und den komponenten-spezifischen Berechtigungen.
| Bestandteile des Rechte-Managements | Beschreibung |
|---|---|
| Grundlegende Rechte | Mit den grundlegenden Rechten sind die Rechte gemeint, die Benutzern und Gruppen direkt bei der Erstellung bzw. in der Benutzerverwaltung zugeteilt werden und die gesamte ACMP Console übergreifend betreffen. Sie können über diese Rechte beispielsweise Regeln, welche ACMP Solutions ein Benutzer sehen darf und welche Aktionen er innerhalb einer Solution durchführen darf. Für weitere Informationen können Sie in den Abschnitt Rechte des Benutzers festlegen springen. |
| Komponenten-spezifische Berechtigungen | Mit den komponenten-spezifischen Berechtigungen können Sie für einzelne Systemkomponenten und Elemente, wie zum Beispiel Reports, Client Commands oder Ordner, festlegen, welche Nutzer die einzelne Komponente sehen und ggf. bearbeiten darf. Diese Berechtigungen sind über einzelne Access Lists der jeweiligen Komponente geregelt. Weitere Informationen zu den Berechtigungen finden Sie im Abschnitt Access Lists. |
Standard-Benutzer und -Gruppen
Eng verknüpft mit den grundlegenden Rechten und spezifischen Berechtigungen sind der Standard-Benutzer ADMINISTRATOR und die Standard-Gruppe Privileged users. Das Benutzerkonto ADMINISTRATOR verfügt über alle existierenden Rechte und Berechtigungen in der ACMP Console und kann nicht bearbeitet oder gelöscht werden. Bei der Gruppe Privileged users handelt es sich hingegen um eine Standard-Gruppe nicht über die allgemeine Benutzerverwaltung bearbeitet werden kann. Diese Gruppe wird dynamisch und individuell für jede einzelne Access List in ACMP erzeugt. Das bedeutet, dass in dieser Gruppe alle Benutzer enthalten sind, die über das grundlegende Recht verfügen, die jeweilige Solution, in der die spezifische Access List enthalten ist, sehen zu können. So kann mit der Gruppe Privileged users gesteuert werden, welche einzelnen Komponenten die Benutzer innerhalb einer bestimmten Solution sehen und nutzen können. Weitere Informationen zum Umgang mit Access List finden Sie im Abschnitt Access Lists in ACMP.
Benutzer und Gruppen in ACMP verwalten
In der Übersicht sehen Sie die beiden Tabs Benutzer und Gruppen, unter denen die jeweiligen Elemente angezeigt werden. Beim ersten Öffnen ist der Fokus auf die Benutzer gelegt.
Benutzerverwaltung
Je nachdem, welche Auswahl Sie getroffen haben (Benutzer oder Gruppen), ändern sich die Befehle in der Ribbonleiste. Von beiden Tabs aus können Sie allerdings jederzeit AD-Benutzer importieren. Innerhalb der linken Ansicht sehen Sie eine Liste aller angelegten Benutzer, aus der Sie beispielsweise auf einem Blick heraus erkennen können, welche Rollenzuweisungen diese haben und ob die Multifaktor-Authentifizierung (MFA) aktiviert ist. Auf der rechten Seite ist die Detailansicht zu dem jeweils ausgewählten Benutzer.
Legende
| Symbol | Beschreibung |
Helpdesk | Der Benutzer kann Bearbeiter von Tickets sein |
Mandanten | Der Benutzer kann alle Clients unabhängig von ihren Mandantenbeziehungen sehen und verwalten |
Multifaktor-Authentifizierung | Die Multifaktor-Authentifizierung ist für den Benutzer aktiviert |
Multifaktor-Authentifizierung | Die Multifaktor-Authentifizierung wird für den Benutzer erzwungen und muss, falls noch nicht geschehen, mit dem nächsten Login eingerichtet werden (siehe Use Case: Zwangseinrichtung der Multifaktor-Authentifizierung für einen anderen Benutzer) |
Note:
Sofern Sie als Administrator für die Benutzer eine Zwangseinrichtung der Multifaktor-Authentifizierung vorsehen, können innerhalb der Spalte MFA auch beide Symbole sichtbar sein: Das bedeutet, dass eine Zwangseinrichtung (gelbes Schild) für den Benutzer vorgesehen ist und dieser sie bei sich bereits aktiviert hat (grünes Schild), indem er die Konfiguration durchlaufen hat (siehe Use Case: Zwangseinrichtung der Multifaktor-Authentifizierung für einen anderen Benutzer).
Benutzer verwalten
Im Tab Benutzer haben Sie die Möglichkeit, neue Benutzer hinzuzufügen, bestehende Benutzer zu bearbeiten oder sie zu löschen. Außerdem können Sie direkt über die Ribbonleiste das Passwort eines Benutzers ändern und zusätzlich die Multifaktor-Authentifizierung für den Benutzer zurücksetzen, sollte dies für den Benutzer eingerichtet sein.
Benutzer hinzufügen
Klicken Sie in der Ribbonleiste auf den Button Hinzufügen, um ein neues Benutzer-Profil anzulegen. Vergeben Sie im sich öffnenden Wizard nun zuerst einen Benutzernamen. Sie können außerdem optional eine Beschreibung sowie eine E-Mail-Adresse eintragen.
Note:
Das Hinzufügen einer E-Mail-Adresse ist in diesem Schritt optional. Falls der Benutzer allerdings für die Mitarbeit im Helpdesk angelegt wird, ist eine E-Mail-Adresse zwingend nötig.
Es ist möglich, für den neuen Benutzer eine E-Mail-Adresse anzugeben, die bereits von einem bestehenden Nutzer verwendet wird.
Warning:
Die Doppelnutzung ist mit einigen Einschränkungen verbunden und muss deshalb manuell bestätigt werden.
Wenn Sie die doppelte Verwendung bestätigen, stimmen Sie den folgenden Einschränkungen zu:
- Beide Benutzer können sich ein vergessenes Passwort vom Helpdesk Webinterface nicht zuschicken lassen
- Beide Benutzer können sich nicht über die AD-Anmeldung am Helpdesk Webinterface anmelden
- Es wird nicht möglich sein Tickets und Kommentare im Helpdesk einem Kontakt zuordnen zu können
- Es kann zu Problemen beim Import von Kontakten mit dem Contacts Adapter kommen
Vergeben Sie zum Schluss ein Passwort für die ACMP Console. Zusätzlich kann direkt ein Passwort für die Nutzung des Webinterfaces gesetzt werden. Überprüfen Sie mittels der Ansicht Passwortstärke, wie geeignet und stark Ihr ausgewähltes Passwort ist.
Benutzereigenschaften festlegen
Gruppenzuweisung vornehmen
Geben Sie im zweiten Schritt die Gruppenzugehörigkeit an. In den meisten Fällen verfügen Gruppen über unterschiedliche Rechte. Ein Benutzer kann dabei mehreren Gruppen zugeordnet werden. Der Zwang der Verteilung in eine Gruppe besteht nicht. Einige Gruppen werden Ihnen bereits bei der Installation von ACMP mitgeliefert (u.a. AD Login, Full access oder Secured by MFA).
Warning:
Aus Gründen der Sicherheit wird es nicht empfohlen, einen Benutzer mehreren Gruppen zuzuordnen. Stattdessen können Sie beispielsweise eine eigene Gruppe für den Benutzer anlegen.
Zuordnung des Benutzer zu einer oder mehreren Gruppen
Rechte des Benutzers festlegen
Im dritten Schritt können Sie die Rechte des Benutzers festlegen. Wenn Sie den Benutzer im vorherigen Schritt einer Gruppe zugewiesen haben, wird Ihnen auf der folgenden Seite angezeigt, über welche Rechte der Benutzer verfügen wird. Haben Sie keine Gruppe angegeben, dann können Sie die Rechte des Benutzers individuell festzulegen. Wählen Sie dafür die Solutions aus, die für den Benutzer sichtbar sein sollen. Wenn Sie eine der Solutions ausgewählt haben, können Sie im rechten Feld angeben, welche Rechte ein Benutzer für die Solution besitzen soll.
Sichtbarkeit von Solutions aktivieren und Benutzerrechte vergeben
Rollen und Mandanten auswählen
Legen Sie nun Rollen und Mandanten für den Benutzer fest. Sie haben die Möglichkeit festzulegen, ob der Benutzer eine Helpdesk-Rolle erhalten soll, mit der dieser dann Bearbeiter von Tickets werden kann. Außerdem können Sie festlegen, ob der Benutzer alle, nur ausgewählte oder keine Mandanten sehen und verwalten kann. Wenn Sie die Mandantenfähigkeit in ACMP verwenden wollen, müssen Sie dem Benutzer zwingend alle oder zumindest ausgewählte Mandanten freigeben.
Achtung:
Wenn Sie keinen Mandanten auswählen, kann sich der neue Benutzer später nicht an der ACMP Console anmelden.
Rollen und Mandanten festlegen
ACMP Kontakt festlegen
Im letzten Schritt können Sie dem Benutzer einen bestehenden Kontakt aus dem Helpdesk zuordnen oder einen neuen Kontakt für den Benutzer erstellen
Note:
Dieser Schritt ist nur möglich, wenn der Helpdesk als Solution installiert ist.
Klicken Sie zum Schluss auf Fertig, um die Zuordnung zu bestätigen bzw. den neuen Kontakt anzulegen und die Erstellung des Benutzers abzuschließen.
Benutzer editieren
Markieren Sie einen Benutzer und klicken Sie in der Ribbonleiste auf den Button Bearbeiten. Es öffnet sich der gleiche Dialog wie zum Anlegen eines Benutzers. Alle Eigenschaften sind bereits eingetragen und können beliebig geändert werden.
Falls Sie einen Benutzer nur umbenennen möchten, so können Sie dies auch mit einem Rechtsklick über das Schnellwahlmenü.
Benutzer löschen
Markieren Sie einen Benutzer und klicken Sie das Icon Benutzer löschen in der Schnellwahlleiste an. Beantworten Sie die Sicherheitsabfrage mit Ja um den Benutzer zu löschen.
Passwort ändern
Um das Passwort eines Benutzers zu ändern markieren Sie diesen und klicken auf das Icon Passwort ändern. Geben Sie das neue Passwort ein und bestätigen Sie es.
Gruppen verwalten
Im Tab Gruppen haben Sie die Möglichkeit, neue Gruppen hinzuzufügen und bestehende Gruppen zu bearbeiten, zu löschen oder zu duplizieren.
Gruppenübersicht in der Benutzerverwaltung
Gruppe hinzufügen
Klicken Sie in der Ribbonleiste auf den Button Hinzufügen, um eine neue Gruppe anzulegen. Vergeben Sie im sich öffnenden Wizard nun zuerst den Namen sowie optional eine Beschreibung für die Gruppe.
Gruppe mit Benutzern füllen
Im zweiten Schritt können Sie der Gruppe einen oder mehrere Benutzer zuzuordnen oder die Gruppe erst einmal leer lassen. Dazu markieren Sie einfach die entsprechenden Benutzer aus der Liste. Diese Benutzer werden damit zu Mitgliedern der Gruppe.
Rechte der Gruppe festlegen
Anschließend geben Sie im dritten Schritt die Rechte der Gruppe an. Wählen Sie dazu zuerst die Solutions aus, welche für die Gruppe sichtbar sein sollen. Wenn Sie eine der Solutions ausgewählt haben, können Sie im rechten Feld angeben, welche Rechte die Mitglieder der Gruppe für die Solution besitzen soll.
Sichtbarkeit von Solutions aktivieren und Gruppenrechte vergeben
Rollen und Mandanten auswählen
Legen Sie nun Rollen und Mandanten für die Gruppe fest. Sie haben die Möglichkeit festzulegen, ob Mitglieder dieser Gruppe eine Helpdesk-Rolle erhalten sollen, mit der diese dann Bearbeiter von Tickets werden können. Ein Mitglied dieser Gruppe kann somit als Helpdesk-Mitarbeiter Tickets aufnehmen, editieren und bearbeiten. Außerdem können Sie festlegen, ob Mitglieder dieser Gruppe alle, nur ausgewählte oder keine Mandanten sehen und verwalten können. Wenn Sie die Mandantenfähigkeit in ACMP verwenden wollen, müssen Sie dem Benutzer zwingend alle oder zumindest ausgewählte Mandanten freigeben.
Active Directory Gruppenzuordnung
Dieser Schritt dient dem Abgleich von Benutzern einer Active Directory-Gruppe mit der ACMP Gruppe, die gerade von Ihnen erstellt wird. Dadurch ist es möglich, dass Benutzer nur noch über das AD verwaltet werden, anstatt alle Benutzer nochmals manuell in der ACMP anzulegen. Damit diese Funktion sinnvoll genutzt werden kann, muss in der Plattform-Konfiguration eine Login-Gruppe angegeben werden, in welcher alle Benutzer eingetragen sind, die auf die ACMP zugreifen dürfen (siehe Login).
Note:
Wenn Sie diese Funktion nicht nutzen möchten, können Sie diesen Schritt überspringen und die Erstellung der Gruppe abschließen.
Konfigurieren Sie die Gruppe nun so, dass eine AD-Gruppe zugeordnet ist. Dadurch wird ein Benutzer der AD-Gruppe bei seinem ersten Login im ACMP automatisch angelegt und dieser Gruppe zugeordnet. Existiert der Benutzer bereits, wird er dieser Gruppe zugeordnet, falls dies nicht schon geschehen ist. Ebenso können über die Funktion Importiere alle neuen AD Benutzer aus der AD Zugangsgruppe der Benutzerverwaltung die Benutzer manuell abgeglichen werden, wodurch ACMP Benutzer auch aus der Gruppe entfernt werden, wenn Sie nicht mehr Teil der zugeordneten AD-Gruppe sind. ACMP Benutzer werden jedoch nicht automatisch gelöscht. Ebenso können ACMP Benutzer weiterhin manuell angelegt und der Gruppe zugewiesen werden, wodurch sie bei einem manuellen Abgleich über die bereits erwähnte Funktion nicht in den Abgleich mit einbezogen werden.
Active Directory-Gruppe hinzufügen
Um dieser ACMP Gruppe eine korrespondierende AD-Gruppe zuzuordnen, klicken Sie auf Hinzufügen und wählen in dem neuen Fenster die Domäne aus, in welcher sich die zuzuordnende Gruppe befindet. Geben Sie einen Gruppennamen bzw. einen Teil davon ein und klicken Sie auf Name prüfen um sich alle passenden Gruppen anzeigen zu lassen. Wählen Sie die zuzuordnende Gruppe aus. Sie können einer ACMP Gruppe mehrere AD-Gruppen zuordnen.
Note:
Damit über den Dialog Domänen ausgewählt werden können, muss ein Benutzer mit Domänen-Leserechten in den ACMP-Einstellungen (siehe Login) eingetragen sein.
Multifaktor-Authentifizierung
Im letzten Schritt können Sie für die Benutzer der Gruppe noch die Multifaktor-Authentifizierung konfigurieren.
Wenn Sie die Nutzung und die Konfiguration für die Zweifaktor-Authentifizierung beim Login des Benutzers der neu erstellten Gruppe erzwingen wollen, müssen Sie die Checkbox aktivieren („Erzwinge die Konfiguration der Multifaktor-Authentifizierung für Benutzer dieser Gruppe beim Login“).
Es ist möglich, einen individuellen Text als Hilfenachricht zu erstellen, die dem Benutzer beim Login angezeigt wird und mehr Hilfestellungen geben kann. Dabei stehen Ihnen die gängigen Werkzeuge zum Bearbeiten des Textes (verschiedene Schriftarten und -größen, Absatzvorlagen, Links etc.) zur Verfügung. Der konfigurierte Text lässt sich dabei u.a. in der Login-Maske über den Button „Ich benötige Hilfe“ abrufen.
Beenden Sie Ihre Arbeiten, indem Sie auf Fertig klicken und damit eine Gruppe anlegen.
Konfigurationsmöglichkeiten für die Multifaktor-Authentifizierung
Note:
Lesen Sie im Anwendungsfall „Zwangseinrichtung der Multifaktor-Authentifizierung für einen Benutzer“ nach, wie die Einrichtung für andere Benutzer aussieht.
Note:
Sollten Sie nachträglich den Text zur Multifaktor-Authentifizierung anpassen wollen, Gruppeneigenschaften ändern oder die Benutzer und Rechte der Gruppe konfigurieren wollen, können Sie das über die Bearbeiten Funktion innerhalb der Ribbonleiste machen. Wählen Sie dafür die gewünschte Gruppe aus und editierten Sie alle Angaben.
Note:
Für die mitgelieferte „Securd by MFA“-Gruppe ist bereits ein allgemein gültiger Text hinterlegt, der auf die Onlinehilfe verweist. Dieser lässt sich ebenso anpassen.
Klicken Sie auf Fertig, um die Gruppe anzulegen.
Gruppe bearbeiten
Bearbeiten Sie eine Gruppe, indem Sie diese aus der Liste auswählen und markieren und in der Ribbonleiste auf den gleichnamigen Button Bearbeiten (
) klicken. Es öffnet sich ein Fenster, wo Sie sämtliche Informationen nachträglich ändern können, die Sie beim neu erstellen der Gruppe festgelegt haben. Die aktuellen Werte sind bereits eingetragen und lassen sich beliebig editieren. Hierdurch ist es also auch möglich, nachträglich die Gruppeneigenschaften zu ändern, eine andere Auswahl an Rechten für die Benutzer oder die Gruppe selbst festzulegen oder den Hilfetext für die Multifaktor-Authentifizierung anzupassen. Sollten Sie lediglich die Gruppe umbenennen wollen, können Sie das auch per Rechtsklick über das Schnellwahlmenü.
Gruppe löschen
Markieren Sie eine Gruppe und klicken Sie auf das Icon Gruppe löschen. Bestätigen Sie die Sicherheitsabfrage um die Gruppe zu löschen. Der Gruppe zugeordnete Benutzer bleiben selbstverständlich bestehen.
Gruppe duplizieren
Um eine bereits vorhandene Gruppe mit allen bereits vorhandenen Benutzern zu duplizieren markieren Sie die gewünschte Gruppe. Wählen Sie nun in der Ribbonleiste Gruppe duplizieren aus.
In einem neuen Fenster öffnen sich die Eigenschaften der neuen Gruppe. Sie können für die duplizierte Gruppe nun einen Namen vergeben sowie über die verfügbaren Reiter die Gruppe individuell anpassen.
Note:
Wenn Sie nicht alle Benutzer aus der ursprünglichen Gruppe auch in der neuen haben wollen, können Sie auf dem Reiter Benutzer in Gruppe im Kontextmenü die Auswahl aufheben. Zusätzlich können Sie hier auch Alles auswählen, wodurch Sie auch beim Hinzufügen mehrerer Benutzer zeiteffizienter arbeiten können.
Bestätigen Sie Ihre Angaben mit Speichern.
MFA für Benutzer zurücksetzen
Um die Multifaktor-Authentifizierung für einen Benutzer zurückzusetzen, können Sie den gleichnamigen Button in der Ribbonleiste nutzen (
). Bestätigen Sie die Eingabe und es werden alle Faktoren für die Multifaktor-Authentifizierung des ausgewählten Benutzers gelöscht. Das Passwort des Benutzers bleibt unverändert. Sollte eine Zwangseinrichtung für den Benutzer eingerichtet worden sein, wird die verpflichtende Einrichtung der Authentifizierung automatisch mit dem nächsten Login erfolgen.
Active Directory-Benutzer importieren
Einer Gruppe lassen sich in ACMP eine oder mehrere AD-Gruppen zuordnen, welche mit „oder“ verknüpft sind. Eine Zuordnung wird über ein entsprechendes Symbol angezeigt. Alle Mitglieder dieser Gruppen können sich an der ACMP Console anmelden und besitzen die entsprechenden Rechte, die ihrer Gruppe zugeordnet sind. Voraussetzung hierfür ist, dass sie auch Mitglied in der jeweiligen Zugangsgruppe sind, die unter AD-Anmeldung angegeben sind. Ein manuelles Hinzufügen von Benutzern entfällt in diesem Fall, ist jedoch auch weiterhin möglich, sodass die Benutzer komplett im Active Directory verwaltet werden können.
Meldet sich ein Benutzer auf diese Weise an, so wird er automatisch vom System in die ACMP Datenbank eingetragen. Alternativ können auch alle Benutzer manuell über die Funktion Importiere alle neuen AD Benutzer aus der AD Zugangsgruppe in die Datenbank übernommen werden. Dabei findet keine Synchronisation der Benutzer statt, sodass bestehende Benutzer weder in die AD übernommen, noch aus ihr gelöscht werden. Benutzer, die aus dem Active Directory gelöscht oder aus einer Gruppe entfernt wurden, werden nicht aus der ACMP Datenbank gelöscht, sondern lediglich aus den entsprechenden ACMP Gruppen entfernt.
Note:
Deaktivierte Benutzer werden nicht beim Benutzerimport berücksichtigt.
Schema des Login-Prozesses