Benutzer und Rollen¶
Hier erfahren Sie, wie Sie in TCM365 weitere Benutzer anlegen, ihnen Rollen zuweisen und Gruppen verwalten, um den Zugriff auf die Plattform zu steuern.
Rollenkonzept¶
TCM365 verwendet ein hierarchisches Rollenmodell mit vier Stufen. Jede Rolle erbt die Berechtigungen der darunterliegenden Rolle:
| Rolle | Berechtigungen |
|---|---|
| Super Admin | Vollzugriff auf alle Funktionen, Benutzerverwaltung, Systemeinstellungen, Audit-Logs, Datenbankansicht |
| Tenant Admin | Tenant-Verwaltung, Snapshots erstellen und vergleichen, Rollbacks ausführen, Baselines konfigurieren, Berichte erstellen |
| Workflow Manager | Snapshots erstellen und vergleichen, Drift-Monitore verwalten, Workflows ausführen, Berichte erstellen |
| Viewer | Lesezugriff auf Snapshots, Vergleiche, Drift-Ergebnisse, Compliance-Auswertungen und Berichte |
Hinweis
Die Rollen sind hierarchisch aufgebaut: Ein Super Admin kann alles, was ein Tenant Admin kann, und so weiter. Ein Viewer hat ausschliesslich Lesezugriff.
Benutzer anlegen¶
Um einen neuen Benutzer anzulegen, benötigen Sie die Rolle Super Admin oder Tenant Admin.
- Navigieren Sie zu Administration > Benutzer
- Klicken Sie auf Neuer Benutzer
- Füllen Sie das Formular aus:
- E-Mail-Adresse -- wird als Login-Name verwendet
- Vorname und Nachname
- Rolle -- wählen Sie die passende Rolle aus der Dropdown-Liste
- Passwort -- vergeben Sie ein initiales Passwort
- Klicken Sie auf Speichern
Tipp
Teilen Sie dem neuen Benutzer das initiale Passwort auf sicherem Weg mit und weisen Sie ihn an, das Passwort bei der ersten Anmeldung zu ändern.
Benutzer bearbeiten¶
- Navigieren Sie zu Administration > Benutzer
- Klicken Sie auf den gewünschten Benutzer in der Liste
- Ändern Sie die gewünschten Felder (Name, Rolle, Status)
- Klicken Sie auf Speichern
Benutzer deaktivieren¶
Anstatt einen Benutzer zu löschen, können Sie ihn deaktivieren:
- Öffnen Sie den Benutzer in der Benutzerverwaltung
- Setzen Sie den Status auf Inaktiv
- Speichern Sie die Änderung
Der Benutzer kann sich danach nicht mehr anmelden, seine bisherigen Aktionen bleiben im Audit-Log erhalten.
Gruppen verwalten¶
Gruppen ermöglichen es, Benutzer zu organisieren und gemeinsame Berechtigungen zu verwalten.
Gruppe erstellen¶
- Navigieren Sie zu Administration > Gruppen
- Klicken Sie auf Neue Gruppe
- Vergeben Sie einen Gruppennamen (z.B.
Security Team,Compliance Auditoren) - Fügen Sie optional eine Beschreibung hinzu
- Klicken Sie auf Speichern
Benutzer zu einer Gruppe hinzufügen¶
- Öffnen Sie die gewünschte Gruppe
- Klicken Sie auf Mitglieder verwalten
- Wählen Sie die Benutzer aus, die der Gruppe hinzugefügt werden sollen
- Klicken Sie auf Speichern
Berechtigungen im Detail¶
Neben der Rollenzuweisung können granulare Berechtigungen vergeben werden. Berechtigungen folgen dem Format Ressource:Aktion:
| Berechtigung | Beschreibung |
|---|---|
tenants:read |
Tenant-Informationen einsehen |
tenants:write |
Tenants erstellen und bearbeiten |
tenants:connect |
Neue Tenants verbinden |
snapshots:read |
Snapshots einsehen und vergleichen |
snapshots:write |
Neue Snapshots erstellen |
snapshots:delete |
Snapshots löschen |
snapshots:rollback |
Rollback-Operationen ausführen |
workflows:read |
Workflows einsehen |
workflows:execute |
Workflows ausführen |
users:read |
Benutzerliste einsehen |
users:write |
Benutzer anlegen und bearbeiten |
users:delete |
Benutzer löschen |
audit:read |
Audit-Logs einsehen |
settings:read |
Systemeinstellungen einsehen |
settings:write |
Systemeinstellungen ändern |
Tipp
In den meisten Faellen reicht die Rollenzuweisung aus. Die granularen Berechtigungen sind für Spezialfaelle gedacht, in denen ein Benutzer einzelne Rechte erhalten soll, die nicht seiner Standardrolle entsprechen.
Best Practices¶
- Prinzip der geringsten Rechte -- Vergeben Sie nur die minimal notwendige Rolle
- Viewer als Standard -- Neue Benutzer sollten zunaechst als Viewer angelegt werden und bei Bedarf höhere Rollen erhalten
- Gruppen nutzen -- Organisieren Sie Benutzer in Gruppen, um den Ueberblick zu behalten
- Regelmäßig prüfen -- Überprüfen Sie regelmäßig, ob die zugewiesenen Rollen noch angemessen sind
- Deaktivieren statt löschen -- Deaktivieren Sie ausgeschiedene Mitarbeiter, anstatt sie zu löschen, um die Audit-Historie zu erhalten