In openUTM-Anwendungen realisieren Teilprogramme die Services, die von Terminal-Benutzern oder Client-Programmen angefordert werden. Diese Teilprogramme enthalten die openUTM-Aufrufe sowie ggf. Datenbankzugriffe. Innerhalb einer Anwendung können die Zugriffsrechte differenziert festgelegt werden.
openUTM bietet dazu zwei Zugriffskontrollverfahren, die gleiche Differenzierungsmöglichkeiten bieten, sich aber in der Sichtweise auf die Objekte der Anwendung unterscheiden:
das benutzerorientierte Lock-/Keycode-Konzept und
das rollenorientierte Access-List-Konzept
Lock-/Keycode-Konzept
Mit dem Lock-/Keycode-Konzept können Sie erreichen, dass nur besonders autorisierte Benutzer oder Client-Programme bestimmte Services der UTM-Anwendung verwenden dürfen. Sie können auch vereinbaren, dass die Anmeldung unter einer Benutzerkennung nur über bestimmte LTERM-Partner (Anschlusspunkte) möglich ist oder dass bestimmte Services nur über spezielle LTERM-Partner gestartet werden können.
Die zu schützenden Objekte - das sind zum Beispiel LTERM-Partner und den Services zugeordnete Transaktionscodes - können mit einem Lockcode versehen werden.
Für Benutzerkennungen und LTERM-Partner werden Keycodes definiert. Wenn ein Keycode mit dem Lockcode eines gesicherten Objekts übereinstimmt, ist der Zugriff auf dieses Objekt erlaubt.
In der Regel hat eine Benutzerkennung oder ein LTERM-Partner Zugriff auf mehrere Services und verfügt deshalb über mehrere Keycodes. Die einzelnen Keycodes sind daher jeweils zu Keysets zusammengefasst.
Das Lock-/Keycode-Konzept hat folgende Effekte:
Die Anmeldung eines Terminals oder eines Client-Programms ist nur möglich, wenn der angegebenen Benutzerkennung ein Keycode zugeordnet ist, der mit dem Lockcode des zugeordneten LTERM-Partners übereinstimmt.
Ein Terminal-Benutzer oder ein Client-Programm kann einen Service nur dann aufrufen, wenn sowohl das Keyset der jeweiligen Benutzerkennung als auch das des LTERM-Partners einen Keycode enthalten, der mit dem Lockcode des Transaktionscodes übereinstimmt.
Access-List-Konzept
Bei der Nutzung des Access-List-Konzepts werden Benutzer nach Rollen oder Funktionen im Unternehmen zusammengefasst (Pförtner, Sachbearbeiter, Personalbearbeiter, Abteilungsleiter, Administrator, Controller, Geschäftsführer, ...), wobei ein Benutzer natürlich mehrere Rollen haben kann. Jede Rolle wird auf einen Keycode abgebildet.
Jedem Benutzer einer UTM-Anwendung ordnet der Administrator eine oder mehrere Rollen zu (z.B. Sachbearbeiter, Abteilungsleiter, ...).
Für die zu schützenden Objekte - Services und TAC-Queues - wird dann anhand einer Access-List festgelegt, welche Benutzergruppen (Sachbearbeiter, Controller...) Zugriff haben.
Haben Sie zum Beispiel Personalbearbeiter als Rolle 2 definiert, und Geschäftsführer als Rolle 1, so können Sie festlegen, dass nur diese Benutzergruppen Zugriff auf den Service Personal haben sollen, indem Sie dem Service eine Access-List zuweisen, die die Codes 1 und 2 enthält.
Den betreffenden Benutzern wiederum wird ein Keyset zugewiesen, das alle Rollen (Keycodes) enthält, die der Benutzer wahrnehmen darf.
Wollen Sie außerdem festlegen, dass der Zugriff auf sicherheitsrelevante Daten nur über bestimmte LTERM-Partner erfolgen darf, weisen Sie den LTERM-Partnern ebenfalls geeignete Keysets zu.
Der Zugriff auf einen Service setzt dann voraus, dass sowohl für den Benutzer als auch für den LTERM-Partner, über den der Benutzer angemeldet ist, mindestens jeweils eine Rolle definiert ist, die in der Access-List des Services enthalten ist.
Auswirkung auf UDS/SQL
Unabhängig von dem verwendeten Zugriffskontrollverfahren bilden alle openUTM-Benutzer, die den gleichen Keyset (KSET) bei openUTM haben, eine Benutzergruppe bezüglich der Datenbank-Rechte. Für jede dieser Benutzergruppen, die mit der Datenbank über UTM-Transaktionscodes arbeiten, müssen die Rechte in den UDS/SQLDatenbanken mit dem Dienstprogramm BPRIVACY definiert werden.
Weitere Informationen zu den Zugriffskontrollen in openUTM entnehmen Sie den Handbüchern zu openUTM.