Benutzerebenen im License Portal
Im letzten KEYnote-Magazin hatten wir die Integration der automatisierten Erstellung von CmCloudContainern mittels License Portal vorgestellt. In dieser Ausgabe beleuchten wir die verschiedenen Benutzerebenen. So kann das License Portal für Universitäten mit den Ebenen „Professor und Student“, für Großkunden mit den Ebenen „Admin und Anwender“ oder für Wiederverkäufer mit den Ebenen „Wiederverkäufer und Kunde“ eingesetzt werden. Zusätzlich können individuelle Rechte im License Portal abgebildet werden.
Hierarchische Struktur
Die Benutzerebenen sind hierarchisch strukturiert und damit nicht auf die zwei Ebenen aus den obigen Beispielen beschränkt. Damit ist auch eine mehrstufige Stapelung der Ebenen, wie zum Beispiel: Wiederverkäufer, Kunden-Admin und Kunden-Anwender, möglich.
Gruppen
Die einzelnen Ebenen werden als Gruppen bezeichnet. Je nach Ausprägung des Portals können die Bezeichnungen in der Benutzeroberfläche variieren. In einem Portal sind es Kunden, in der anderen Ausprägung sind es Mitarbeiter und in einer dritten sind Studenten. Die Top-Level-Gruppen in dieser Hierarchie können nur von einem Benutzer mit dem Recht „isvadmin“ angelegt werden. Innerhalb einer Gruppe können weitere Untergruppen angelegt werden. Dazu benötigt der Benutzer das Recht „admin“ im Kontext dieser Gruppe. Jede Gruppe kann beliebig viele Untergruppen enthalten. Eine Gruppe hat genau eine übergeordnete Gruppe oder keine, falls es sich um eine Top-Level-Gruppe handelt.
Benutzer – ISV-Admin
„Am Anfang war der ISV-Admin“. Dies ist der initiale Benutzer im License Portal, der bei der Installation angelegt wird und die Berechtigung „isvadmin“ besitzt. Damit darf er neue Benutzer anlegen, diesen die Berechtigung „isvadmin“ geben und neue Top-Level-Gruppen sowie deren Administratoren anlegen. Er sieht alle Untergruppen und Benutzer. Außerdem kann er andere Benutzer löschen. Ein ISV-Admin kann sich nicht selbst löschen. Er muss durch einen anderen ISV-Admin gelöscht werden. Damit wird sichergestellt, dass es immer mindestens einen Benutzer mit der Berechtigung „isvadmin“ gibt.
Benutzer – Gruppen-Admin
Die Berechtigung „isvadmin“ ist eine globale Berechtigung für einen Benutzer. Alle anderen aktuell verwendeten Berechtigungen beziehen sich auf einen Benutzer im Kontext einer Gruppe. Standardmäßig verwendet das License Portal die Berechtigung „admin“ für eine Gruppe. Benutzer mit dieser Berechtigung können Untergruppen und weitere Benutzer in ihrer Gruppe oder ihren Untergruppen anlegen. Ebenso kann er Untergruppen und Benutzer in seinem Zweig löschen.
Benutzer – Gruppen-Benutzer
Im Gegensatz zum Gruppen-Admin gibt es Gruppen-Benutzer. Diese werden immer von einem Gruppen-Admin angelegt. Sie haben nur Zugriff auf sich selbst und die Gruppe, der sie zugeordnet sind.
Benutzer – Benutzer
Neben den Gruppen-Benutzern gibt es noch Benutzer ohne Gruppen-Kontext. Diese Benutzer werden entweder durch einen ISV-Admin angelegt oder haben sich selbst im License Portal registriert. Sie haben nur Zugriff auf sich selbst.
Blind nach oben – transparent nach unten
Die Hauptfunktion des License Portals ist die Zuordnung von Tickets und den darin enthaltenen Lizenzen zu Gruppen oder Benutzern. Dabei gilt die Maxime, dass ein Benutzer keinen Zugriff auf Tickets hat, die in Gruppen oberhalb von ihm abgelegt sind. Ein Benutzer mit der Berechtigung „admin“ hat Zugriff auf alle Tickets in seiner Ebene und den Zweigen von seiner Ebene nach unten. Ein Benutzer ohne die Berechtigung „admin“ hat nur Zugriff auf seine Ebene.
Ein ISV-Admin steht ganz oben und hat damit Zugriff auf alle Tickets.
Tickets zuordnen
Tickets können wahlweise einem Benutzer als persönliche Tickets oder einer Gruppe als Gruppen-Tickets zugeordnet sein. Ein Ticket kann immer nur einem Besitzer gleichzeitig zugeordnet sein. Wird ein Ticket einem neuen Besitzer zugeordnet, dann wird geprüft, ob der Benutzer, der diese Aktion ausführt, sowohl Zugriff auf den aktuellen Besitzer als auch auf den neuen Besitzer besitzt. Falls dies der Fall ist, wird das Ticket verschoben, das bedeutet vom alten Besitzer entfernt und dem neuen Besitzer zugeordnet. Dies ist eine atomare Aktion, die bei fehlenden Berechtigungen mit einem Fehler abgebrochen wird.
Tickets, die noch nicht zugewiesen sind, können einem neuen Besitzer zugewiesen werden. Auch hier wird geprüft, ob der Akteur die Berechtigungen als der neue Besitzer besitzt.
Sichtbarkeit und Berechtigungen
Generell gelten die folgenden Sichtbarkeiten oder Berechtigungen:
Grundfunktionen
Natürlich stehen alle Grundfunktionen aus dem License Portal auch in der Konfiguration mit mehreren Ebenen zur Verfügung. Dies sind zum Beispiel alle Lizenzoperationen wie Aktivieren und Deaktivieren. Auch alle Benutzerfunktionen stehen zur Verfügung: Anmelden und Abmelden, Anzeigen und Ändern von Benutzerinformationen sowie Passwort ändern und vergessen.
CodeMeter Cloud Support
Eine Spezialität befindet sich beim CodeMeter Cloud Support. Aus der Tatsache, dass ein Gruppen-Admin auf einen Benutzer in seiner Gruppe oder deren Untergruppen zugreifen kann, ergibt sich die Option, dass ein Gruppen-Admin Zugriff auf den CmCloudContainers eines Benutzers erhält. Er kann die Zugangsdaten zu diesem CmCloudContainer zurücksetzen und somit zum Beispiel den Zugriff eines ausgeschiedenen Mitarbeiters auf die darin enthaltenen Lizenzen sperren. Außerdem ist es möglich, dass ein Gruppen-Admin Lizenzen in dem CmCloud-Container eines ihm untergeordneten Benutzers aktiviert oder deaktiviert. Damit können Lizenzen durch den Gruppen-Admin einfach und komfortabel von einem Anwender zum nächsten übertragen werden.
Für Headless-Systeme besteht die Möglichkeit, die Credential-Datei eines CmCloudContainers herunterzuladen und diese offline zu verteilen. Dies ist vor allem dann interessant, wenn die Software in virtuellen Umgebungen oder Container-Lösungen wie Docker betrieben werden und die Lizenz schon im entsprechenden Template hinterlegt werden soll.
Erweiterungen durch Professional Services
Das License Portal kann durch unser Professional Services-Team für Sie erweitert werden. Eine mögliche Erweiterung ist das Erzeugen von Lizenzen, genauer gesagt Tickets, durch einen Wiederverkäufer. Für solche Fälle können zusätzliche angepasste Berechtigungen vergeben werden, z.B. „create_ticket“. Benutzer mit dieser Berechtigung erhalten neue Funktionalitäten, die es ihnen ermöglicht, Lizenzen zu erzeugen.
In einem Projekt, welches unser Team für die eigenen Partner umgesetzt hat, wurde zum Beispiel ein Filter über die Produkte gelegt, sodass die Partner Lizenzen für ausgewählte Produkte erzeugen können. Die erzeugten Tickets werden dann automatisch einem Kunden des Partners zugeordnet. Der Partner erzeugt lediglich einen Benutzer für seinen Kunden und schon kann dieser seine Lizenzen aktivieren.
KEYnote 44 – Ausgabe Herbst/Winter 2022