Skip to main content
insightsoftware Documentation insightsoftware Documentation
{%article.title%}
Published:
Was this article helpful?
0 out of 0 found this helpful

Benutzer und Berechtigungen


Inhaltsverzeichnis


1 Einleitung

In IDL.KONSIS.FORECAST gibt es die Möglichkeit, die Berechtigungen jedes einzelnen Benutzers mittels eines Berechtigungskonzepts einzugrenzen. Im Folgenden werden die hierzu benötigten Menüpunkte beschrieben. Die Pflege der hier erwähnten Daten gehört zur Systemadministration und sollte daher nur für Benutzer mit Administratorrechten zugelassen werden. Im von IDL.KONSIS.FORECAST ausgelieferten Standard haben nur die Benutzergruppen IDLADMIN und IDLSYS die erforderlichen Änderungsrechte.

2 Benutzer (USE)

In dieser Anwendung werden alle Benutzer gepflegt, die grundsätzlich mit IDL.KONSIS.FORECAST arbeiten dürfen. Voraussetzung ist, dass der Benutzer vorher als Benutzer für die IDL.KONSIS.FORECAST-Datenbank bzw. als Netzwerk-User vom Systemadministrator autorisiert wird.

Welche Funktionen ein Benutzer ausüben darf, wird durch die Zuordnung einer Benutzergruppe für die Menüberechtigung festgelegt.

Bei der Installation von IDL.KONSIS.FORECAST wird standardmäßig nur der Benutzer IDLADMIN definiert. Weitere Benutzer müssen kundenseitig definiert werden.

Dazu wechselt man in die Einzelsatzanwendung, die man

  • durch Klicken auf das Stern-Symbol in der Toolbar oder
  • durch Doppelklick in die (leere) Tabelle

aufruft.

Änderungen bei einem bereits vorhandenen User können durch

  • Selektieren der Zeile und Klicken auf das Bleistift-Symbol im Kontextmenü oder
  • Doppelklick auf den entsprechenden Datensatz

vorgenommen werden.

Folgende Felder sind zu befüllen:

Benutzer:
Name des Benutzers, der im Programm u.a. für die Angabe des Änderungs-Users verwendet wird.
Benutzername für Anmeldung (Logon-ID):
Benutzername für die Anmeldung in IDL.KONSIS.FORECAST. Die Logon-ID kann vom Namen abweichen, insbesondere wenn der Name länger als 8 Stellen ist.
Name / Vorname / Telefon / E-mail:
Dienen der weiteren Dokumentation und Spezifikation; diese Angaben werden in IDL.KONSIS.FORECAST nicht verwendet.
Sprache:
Die Angabe in diesem Feld steuert, in welcher Sprache die Bezeichnung anwendungsspezifischer Objekte (z.B. Kontobezeichnung) vorrangig ausgegeben werden soll. Im Gegensatz zur Oberflächensprache (für Menüs, Prompttexte und Spaltenüberschriften) ist hier auch die Angabe kundenseitig gepflegter Sprachen möglich.
Template:
Ein Benutzer mit diesem Attribut besitzt keine Logon-Id und kann auch nicht zur Anmeldung verwendet werden. Template-Benutzer und deren Vorbelegung dienen als Vorlage für das automatische Anlegen von Benutzern in IDL.KONSIS, die vorher nur im Active Directory angelegt wurden.
Benutzergruppe für Menürechte:
Spezifiziert eine Benutzergruppe, die die Menüberechtigungen (Berechtigung für Funktionen) für den Benutzer definiert. Ohne diese Angabe kann sich der Benutzer zwar anmelden, aber keinerlei Anwendungsfunktion starten.
Benutzergruppe für Datenobjekte:
Spezifiziert eine Benutzergruppe, die die Berechtigung zum Zugriff auf bestimmte Datenobjekte regelt. Diese Angabe wird nur in Verbindung mit der Definition von Objekt-Berechtigungen (s.u.) sowie durch entsprechende Angaben für die Berechtigungssteuerung in der benutzerspezifischen Vorbelegung (s.u.) wirksam.
Benutzername für Datamart:
Für Anwender der Schnittstelle IDL Datamart zum IDL.DESIGNER kann hier bei Bedarf eine abweichende Login-ID angegeben werden.
Gültig ab / Gültig bis:
Die Gültigkeit einer Benutzeranmeldung kann durch Einträge in diesen Feldern zeitlich begrenzt werden.
Lizenz Usertyp in KONSIS:
Admin-User (A)=nur administrative Funktionalität; Full-User (F)= volle Funktionalität; Light-User (L)= Einzelabschluss; Viewer-User (V)=Anzeige/Reporting
Lizenz Usertyp FORECAST:
Full-User (F)= Volle Funktionalität; Light-User (L)= Erfassung/Reporting
Lizenz Usertyp XLSLINK:
Full-User (F)= Volle Funktionalität

Für den Fall, dass die Authentifizierung nicht über das Betriebssystem (Windows, Active Directory) oder das Datenbanksystem erfolgt, sondern über die IDL.KONSIS-Datenbank (Einstellung im Konfigurationsprogramm des IDL.KONSIS.FORECAST Application Servers), zeigt die Anwendung Benutzer (USE) zusätzliche Eingabefelder. Diese sind in der Dokumentation "Internes Passwort" beschrieben.

3 Menü-Berechtigungen (BENMEN)

3.1 Allgemein

Diese Übersicht zeigt in alphabetischer Folge alle Menüpunkte (Anwendungen), zu der eine Benutzergruppe autorisiert ist. Zu jedem Menüpunkt werden zusätzlich alle aktuell vergebenen Aktionsrechte angezeigt. Unterschieden werden hier die Aktionen Anzeigen, Ändern, Einfügen, Löschen und Kopieren.

IDL stellt hier mit der Liefer-Datenbank bzw. mit den Metadaten der Releases und Updates einige Standard-Benutzergruppen zur Verfügung, die den Benutzern zugeordnet werden können. Diese Benutzergruppen beginnen alle mit "IDL". Daher dürfen anwenderseitig keine Benutzergruppen angelegt werden, deren Schlüssel ebenfalls mit "IDL" beginnt. Folgende Benutzergruppen werden zur Verfügung gestellt:

IDLSYS:
Diese Benutzergruppe ist für Systemadministratoren, die keine fachliche Funktion in IDL Konsis übernehmen. Die Berechtigung ist beschränkt auf die Verwaltung der Benutzer und deren Rechten, den Start der Release-Konvertierung und die Aktivierung der Änderungsprotokollierung.
IDLADMIN:
Diese Benutzergruppe umfasst nahezu alle Benutzerrechte und ist somit eine Zusammenfassung der Rechte von IDLSYS und IDLKON. Für einige Anwendungen bestehen sogar Sonderrechte, mit denen systemseitige Einschränkungen umgangen werden können. Diese Benutzergruppe sollte daher nur in Ausnahmefällen verwendet werden.
IDLKON:
Diese Benutzergruppe ist für fachlich vollständig berechtigte Benutzer, d.h. es bestehen Rechte für alle fachlichen Anwendungen. Gegenüber der Benutzergruppe IDLADMIN fehlen aber die Sonderrechte sowie die Rechte der Benutzergruppe IDLSYS.
IDLKON1:
Diese Benutzergruppe berechtigt die Benutzer, am Einzel- und am Konzernabschluss zu arbeiten. Gegenüber der Gruppe IDLKON fehlen aber die Berechtigungen zur Änderung von Stamm- und Strukturdaten mit Ausnahme der Pflege des Konzernkreises.
IDLEA:
Diese Benutzergruppe berechtigt die Benutzer zur Erstellung von Einzelabschlüssen. Im Vergleich zu IDLKON1 fehlen aber die Rechte für den Konzernabschluss. Dafür bestehen aber Rechte für einige Stammdaten, z.B. zur Pflege der Gesellschafts-Konten- oder -Controllingpläne.
IDLEE:
Diese Benutzergruppe unterstützt das Vier-Augen-Prinzip für Einzelabschlüsse. Ein Benutzer dieser Gruppe kann die Einzelabschlussdaten nur ansehen, aber nicht ändern. Änderungsrechte bestehen nur für das Sperren und Entsperren von Einzelabschlussdaten.
IDLVIEW:
Diese Benutzergruppe ist für Wirtschaftsprüfer und ähnliche Personen gedacht, die zwar Leserechte für alle Daten haben, aber nichts ändern dürfen. Das einzige Änderungsrecht besteht für die benutzerspezifische Vorbelegung (VORE).
IDLNOAUT, IDLMISWS, IDLIMPWS:
Diese Benutzergruppen haben keinerlei Rechte in IDL Konsis. Sie werden aber benötigt für Anwender des IDL.DESIGNER, die auf Daten oder Funktionen von IDL Konsis über Webservices zugreifen. Die Benutzergruppe IDLIMPWS kann nach Erfassung von Daten in IDL.DESIGNER diese Daten nach IDL Konsis exportieren und dazu die jeweiligen Importanwendungen starten.

Unabhängig von dem Eintrag der Benutzergruppe für Menürechte wird bei den verschiedenen Aktionen in IDL Konsis auch geprüft, ob diese Aktion auch gemäß der lizenzmäßigen Klassifizierung des Benutzers zugelassen ist. So ist es z.B. nicht möglich, einem als "KONSIS Light User" klassifizierten Benutzer durch Zuweisung der Benutzergruppe IDLKON Rechte für die Konsolidierung zu verschaffen.

Die Berechtigung 1 für die Aktion <Anzeigen> ist zumindest in den mit "IDL" beginnenden Benutzergruppen eine Pflichteingabe, da die Menüberechtigung mindestens das Anzeigerecht umfassen muss; in den kundenspezifischen Benutzergruppen mit Referenz auf eine "IDL"-Gruppe kann sie auch 0 sein. Die Angabe der Berechtigung für die weiteren Aktionen ist optional. In allen Berechtigungsattributen sind folgende Eingaben möglich:

  • 0 nur bei kundenspezifischen Benutzergruppen mit Referenz: Entzug der in der Referenzgruppe erteilten Berechtigung
  • 1 Normale Berechtigung
  • 2 Sonderberechtigung
  • leer Berechtigung wie in der Referenz-Benutzergruppe

Ob und worin sich die Sonderberechtigung von der normalen Berechtigung unterscheidet, ist anwendungsspezifisch definiert. Sonderberechtigung sollte nur in begründeten Ausnahmefällen nach Rücksprache mit Ihrem IDL Konsis-Berater oder der IDL-Hotline vergeben werden.

Durch <Kopieren> können markierte Zeilen auf geänderte Schlüssel kopiert werden. Hierbei sind folgende Fälle zu unterscheiden:

  • Bei Selektion nach einer eindeutigen Benutzergruppe Kopieren auf eine andere Benutzergruppe
  • Bei Selektion nach einer eindeutigen Menü-ID Kopieren auf eine andere Menü-ID

Bei der Angabe "L" im Selektionsfeld <KopierOpt> werden die Berechtigungen zum Ändern, Einfügen, Löschen und Kopieren nicht mitkopiert.

Menüberechtigungen für mit "IDL" beginnende Benutzergruppen werden von IDL gepflegt und jeweils bei Releasewechsel aktualisiert. Berechtigungen für kundenseitig (in der Anwendung BENDEF, s.u.) definierte Benutzergruppen sind kundenseitig zu pflegen. Neue Menü-IDs, die ggfs. zu berechtigen sind, werden in der jeweiligen Release-Dokumentation <Neu im Release . . .> angegeben. Die IDL-Berechtigungen können dabei als Vorlage dienen.

3.2 Vereinfachtes Verfahren zur Pflege kundenspezifischer Benutzergruppen

Da die Datenpflege in der Anwendung BENMEN unter Umständen sehr aufwändig sein kann, können individuell angelegte Benutzergruppen auf eine Standard-IDL-Benutzergruppe (z.B. IDLKON, IDLEA) referenzieren, wodurch sich der Pflegeaufwand deutlich vereinfacht. Diese Zuordnung ist beim Anlegen der Benutzergruppe in der Anwendung "Benutzergruppen" (BENDEF) zu treffen. Es dürfen nur Standard-IDL-Benutzergruppen (beginnend mit "IDL") zugeordnet werden. Durch diese Referenzierung werden zunächst sämtliche Menüberechtigungen der Referenzgruppe von der individuellen Berechtigungsgruppe übernommen. In der Anwendung BENMEN werden dann nur noch die Abweichungen gepflegt. Dies können sowohl zusätzliche Rechte als auch Einschränkungen sein. Zusätzliche Rechte sind dabei durch zusätzliche Menü-Berechtigungssätze mit Angabe der Berechtigungsstufe '1' oder '2' anzugeben. Zur Definition von Einschränkungen kann in den Menü-Berechtigungssätzen die Berechtigungsstufe '0' angegeben werden.

4 Benutzergruppenberechtigungen (BENDEF)

Die Pflege der Objektberechtigungen kann man in der Anwendung "Benutzergruppenberechtigungen" (BENDEF) vornehmen, die sowohl die Definition der Berechtigungsgruppen selbst als auch die Erteilung bzw. den Entzug von Rechten für die verschiedenen Stammobjekte aus einer Anwendung heraus ermöglicht.

4.1 Benutzergruppe neu anlegen

Mit Klick auf das Stern-Symbol gelangt man in einen Assistenten (Wizard), um eine neue Benutzergruppe anzulegen.

In dem Wizard können auf den drei Seiten folgende Einstellungen vorgenommen werden:

Seite 'Bezeichnung':

  • Benutzergruppe: achtstellige, alphanumerische Kennung, erfassbar nur beim Anlegen und Kopieren
  • Bezeichnung: maximal 70stellige Bezeichnung
  • Kurztext: maximal 10stelliger Kurztext

Seite 'Eigenschaften':

  • Berechtigungsgruppe für Menü: Für die Vergabe von Berechtigungen für Anwendungen (bspw. für KTODEF, POSDEF).
  • Berechtigungsgruppe für Daten: Für die Vergabe von Berechtigungen für Objekte in den Anwendungen (bspw. für eine bestimmte Gesellschaft oder Kontenplan).
  • Referenz-Benutzergruppe: Die Berechtigungen der angegebenen Benutzergruppe werden übernommen. Die nicht abweichenden Berechtigungen werden in den Anwendungen BENMEN und BENOBJ für eine Benutzergruppe mit Referenz-Benutzergruppe nicht angezeigt. Lediglich die Abweichungen werden in den Anwendungen aufgeführt.
  • Active Directory Gruppe: Das Attribut dient zum Abbilden von internen Rechten auf Windows Active Directory Gruppen. Dadurch können bestehende Sicherheitsanforderungen erfüllt werden. (siehe auch Kapitel 4.2.)

Seite 'Mehrsprachige Bezeichnungen':

  • ermöglicht wie in anderen Stammanwendungen die Pflege der Bezeichnungen in allen aktivierten Sprachen.

4.2 Hinweis zur Autorisierung für IDL.KONSIS.FORECAST durch das Active Directory

Die Authentifizierung über das Active Directory (ohne Eingabe von Namen und Passwort, "Single Sign-On") ist durch die Zulassung von Active Directory Gruppen erweitert worden. Die AD-Gruppen können mit Berechtigungsgruppen in IDL.KONSIS.FORECAST verknüpft werden, so dass eine Benutzerrechtesteuerung in IDL.KONSIS.FORECAST bereits im Active Directory erfolgen kann.

Diese Eingabe ist kundenindividuell, d.h. sie wird auch für die "IDL"-Benutzergruppen beim Releasewechsel nicht überschrieben. Es ist auf korrekte Verwendung von Klein- und Großbuchstaben zu achten.

In der Konfiguration des Application Servers kann je Datenbank-Alias separat festgelegt werden, ob die Prüfung gegen das Active Directory erfolgt. Wenn diese Prüfung aktiviert ist, ermittelt IDL.KONSIS.FORECAST bei der Anmeldung, welchen Gruppen der Benutzer im Active Directory angehört. Die dem Benutzer in IDL.KONSIS.FORECAST zugeordnete Benutzergruppe für Menü- bzw. Objektrechte muss dann auf eine der Active Directory Gruppen verweisen, der der Benutzer angehört. Ansonsten wird die Anmeldung verweigert. Das geschieht auch, wenn der Menüberechtigungsgruppe keine Active Directory Gruppe zugeordnet ist.

Zusätzlich besteht die Möglichkeit, einen neu im Active Directory angelegten Benutzer automatisch auch in IDL.KONSIS.FORECAST als Benutzer anlegen zu lassen. Voraussetzung dafür ist, dass in IDL.KONSIS.FORECAST in der Benutzertabelle (Anwendung USE) eine Benutzervorlage mit den gewünschten Standardangaben angelegt ist. Es werden Name und Vorname des Benutzers mit der User-ID vorbelegt.

Zur Kennzeichnung der Benutzervorlage wird die Benutzertabelle (USE) um ein Attribut "Template" erweitert. Der Eintrag von 'X' in diesem Attribut kennzeichnet einen Satz als Benutzervorlage, die selbst nicht für eine Anmeldung verwendet werden darf, sondern nur als Kopiervorlage dient. Es kann zwar mehrere Benutzervorlagen geben, aber jeweils immer nur eine, die einer bestimmten Active Directory Gruppe zugeordnet ist, damit die Ermittlung der zu verwendenden Benutzervorlage eindeutig ist. Bei erfolgreicher Ermittlung der Benutzervorlage wird diese als Kopiervorlage für den neu anzulegenden Benutzer verwendet. Dabei wird die IDL.KONSIS.FORECAST-User-ID aus der Active Directory User-ID abgeleitet. Ist bei Authentifizierung über den Active-Directory-Benutzer beim Anlegen eines neuen Benutzers beim Template-Benutzer keine "Benutzergruppe für Datenobjekte" angegeben, dann wird für alle AD-Gruppen des AD-Users nach genau einer Daten-Benutzergruppe in IDL.KONSIS gesucht, die diese AD-Gruppe als "Active Directory Gruppe" enthält. Wird keine solche IDL.KONSIS-Benutzergruppe gefunden, wird eine Fehlermeldung ausgegeben ("Daten-Benutzergruppe nicht gefunden"). Werden mehrere solche IDL.KONSIS-Benutzergruppen gefunden, wird ebenfalls eine Fehlermeldung ausgegeben ("Daten-Benutzergruppe nicht eindeutig").

4.3 Pflege der Berechtigungen je Benutzergruppe

Nach Auswahl einer Berechtigungsgruppe für Datenobjekte in der führenden Tabelle werden durch Doppelklick, rechten Mausklick und Klick auf das "Öffnen"-Icon Tabellen als Registerkarten je Objekttyp angezeigt, für die Berechtigungen erteilt werden können. Im Titel der Registerkarte wird jeweils die Anzahl der berechtigten Objekte angezeigt. Die führende Tabelle blendet sich automatisch aus, der Schlüssel der selektierten Berechtigungsgruppe wird in der Navigationsleiste angezeigt. Die Objekte, die berechtigt werden können, sind

  • Konzerne (KTK)
  • Gesellschaften (GES)
  • Perioden (ABR)
  • Datenarten (FAC)
  • Konten-/Controllingpläne (KTP)
  • Positionspläne (POP)
  • Report-Idents (RID)

Sofern IDL.FORECAST lizenziert ist, können außerdem

  • Szenarien
  • Szenario-Knoten/Szenarien
  • Regel-Vorlagen

als Objekte berechtigt werden.

Eine weitere Registerkarte "Übersicht über alle Objektberechtigungen" fasst die berechtigten Objekte mit Ausnahme der Perioden und der IDL.FORECAST-Objekte zusammen und dient u.a. für den Export dieser Daten.

In den Tabellen je Objekttyp werden zunächst die jeweils berechtigten Objekte angezeigt und dahinter alle nicht berechtigten Objekte. Mithilfe des Kontextmenüs (rechte Maustaste) können folgende Aktionen zum Steuern der Berechtigungen ausgelöst werden:

  • Lediglich Leseberechtigung für das Objekt erteilen
  • Alle Berechtigungen für Objekt entziehen
  • Alle Berechtigungen für Objekt erteilen

Zum Bearbeiten einer Berechtigung dient das Stift-Symbol im Kontextmenü (rechte Maustaste). Der Wizard für die Vergabe von Berechtigungen besteht aus zwei Seiten. Auf der ersten Seite wird das ausgewählte Objekt angegeben, auf der zweiten Seite können für die Datenobjekte jeweils die Aktionen

  • Anzeigen
  • Ändern
  • Einfügen
  • Löschen

durch Setzen von Haken Berechtigung erteilt oder durch Wegnahme des Hakens entzogen werden.

Sofern IDL.FORECAST lizenziert ist, gibt es für Szenarien Berechtigungen für die Aktionen

  • Anzeigen
  • Ändern
  • Löschen

und für Regelvorlagen zusätzlich die Aktion

  • Ausführen.

Eine Objektberechtigung zum Kopieren wird durch Prüfungen auf die Berechtigungen zum Anzeigen der Quellschlüssel und zum Einfügen der Zielschlüssel gewährleistet.

4.4 Export

Der Export der einzelnen Bereiche erfolgt über den Exportbutton in der Menüleiste. Welcher Bereich exportiert werden soll, wird über den Export-Dialog bestimmt. Zur Verfügung stehen die Bereiche 'Benutzergruppe', 'Objekt-Berechtigung' und 'Perioden-Berechtigung'. Auf der rechten Seite des Export-Dialogs muss dafür die Auswahl des gewünschten Bereiches markiert werden. Selektionen in den Tabellen werden berücksichtigt. Sind nur in einer Tabelle Zeilen selektiert, werden auch nur diese exportiert. Tabellen ohne Selektion werden nur dann (komplett) exportiert, wenn keine Selektion vorliegt.

4.5 Vergabe von Berechtigungen mit dem Assistenten

Die Navigation zwischen den Seiten des Wizards erfolgt über die Buttons <Weiter>und <Zurück> im Fußteil der Wizard-Seiten oder über das Seitenverzeichnis (Navigationsleiste), das jeweils auf der linken Seite angezeigt wird. Das Seitenverzeichnis visualisiert über ein Icon, ob die Eingaben auf einer Seite korrekt (grüner Haken) oder fehlerhaft (rotes Stoppschild) sind. Der Button <Fertig> ist auf jeder Seite enthalten. Er ist jedoch deaktiviert, solange der Datensatz inkonsistent oder unvollständig ist. Wenn der Satz korrekt ist, wird <Fertig> aktiv, unabhängig von der aktuellen Seite. Der Button <Weiter> ist nur dann aktiv, wenn die Angaben auf der jeweiligen Seite konsistent und fehlerfrei sind.

Ob bereits eine Berechtigung für ein Objekt vergeben wurde, erkennt man am Änderungs-Eintrag.

Die Rechte auf Regelvorlagen können auch auf die in der PLAN-Anwendung geführten Ordner angewandt werden. Diese Rechte werden auf die im Ordner befindlichen Unterordner und Regelvorlagen vererbt, wenn auf den unteren Ebenen nichts Gegenteiliges spezifiziert wird. Die vererbten Rechte können individuell abgeändert werden.

In den integrierten Anwendungen wie REPDEF, POP oder BENDEF beziehen sich die Berechtigungen zum Einfügen und Löschen nur auf das berechtigte Objekt selbst. Für das Einfügen und Löschen von hinterlegten Daten beim Objekt genügt eine Berechtigung zum Ändern. In den Anwendungen REPZEI, POS etc. beziehen sich die Berechtigungen zum Einfügen und Löschen auch auf zugeordnete Objekte (z.B. Reportzeilen einer Report-ID oder Positionen eines Positionsplans).

4.6 Sicherstellung der Wirksamkeit der Berechtigungseinstellungen

Damit die Objektberechtigungen für einen Benutzer auch wirksam werden, gibt es in der Anwendung VORADMIN (Vorbelegungen für Benutzer mit Berechtigungsschutz, siehe unten) pro User Berechtigungsschalter für alle Objekttypen. Sobald der Schalter auf '2' oder '3' steht, wird von der Anwendung geprüft, ob entsprechende Objektberechtigungen zur Bearbeitung vorliegen.

5 Objekt- und Periodenberechtigungen (BENOBJ, BENABR)

Zur Anzeige und Pflege der Datenberechtigungen der Benutzergruppen gibt es vorläufig auch noch die Anwendungen "Objekt-Berechtigungen" (BENOBJ) und "Periode-Berechtigungen" (BENABR) mit den zugehörigen Einzelsatzanwendungen. Diese Anwendungen werden grundsätzlich analog zur Anwendung "Menü-Berechtigungen" (BENMEN, s.o.) bedient.

Im Vergleich zur Anwendung BENDEF bieten BENOBJ und BENABR die Möglichkeit, Berechtigungen mehrerer Benutzergruppen gleichzeitig anzuzeigen und zwischen diesen zu kopieren.

6 Vorbelegung für Benutzer mit Berechtigungsschutz (VORADMIN)

Die Anwendung VORADMIN ergänzt die Erfassung neuer Benutzer, die nur dann mit IDL.KONSIS.FORECAST arbeiten können, wenn sie hier erfasst wurden.

Wie bereits oben erläutert, wird der Zugriff auf bestimmte Datenobjekte, die über eine Daten-Benutzergruppe in der Anwendung BENDEF hinterlegt sind, nur dann wirksam, wenn entsprechende Einstellungen in der Vorbelegung des jeweiligen Benutzers hinterlegt sind.

Relevant hierfür sind die zusätzlichen Parameterfelder für die Schlüsselfelder Konzern/Teilkonzern, Gesellschaft, Periode, Datenart, Positions- und Kontenplan sowie Report-ID.

Über die Aktionen <Daten neu anlegen> und <Daten bearbeiten> gelangt man in die Einzelsatzanwendung (VORADMINE). Dort gibt es folgende Eingabemöglichkeiten für einen Überschreibungs- und Berechtigungsschutz (in den dafür vorgesehenen Eingabefeldern hinter den vorbelegten Objekten):

SchlüsselBerechtigung
0 für Konzern, Gesellschaft, Periode und DatenartNur Eingabe lt. VOR
0 für Positionsplan, Konten-/Controllingplan und Report-IDKeine Änderung erlaubt
1Beliebige Eingaben und Änderungen erlaubt
2Berechtigung lt. Anwendung BENDEF
3 für PeriodenWie 2 mit dem zusätzlichen Recht, einmalig neue Reports für abgeschlossene Perioden zu erstellen
3 für Konten-/ControllingpläneWie 2 ohne das Recht, die Zuordnung zum Konzernkontenplan zu ändern
3 für GesellschaftenWie 2, wobei in den Gesellschaftsstammdaten lediglich der Controllingplan geändert werden darf

Wird die Überschreibungsoption auf "0" gesetzt, wird sichergestellt, dass in allen Anwendungen keine abweichende Eingabe zu den Eintragungen laut VOR möglich ist. Damit sollen irrtümliche Eingaben unter einem falschen Schlüsselbegriff während der laufenden Bearbeitung vermieden werden. Durch die Überschreibungsoption "1" wird dagegen ein Schnell-Navigieren mit wechselnden Schlüsseln ermöglicht.

Die Felder Konzernwährung und Parallelwährung können nur über die Anwendung VORADMIN eingestellt und geändert werden. Sie werden als Währungskennzeichen für neue Datenbestände herangezogen, wenn kein Konzern / Teilkonzern angegeben ist. Bei diesen Feldern sowie beim Konzern-Kontenplan erfolgt eine Prüfung gegen die Eintragungen in dem oben angegebenen Konzern / Teilkonzern.

Die weiteren Eingabefelder können auch in der Anwendung "Vorbelegung je Benutzer (VOR)" von jedem Benutzer selbst verwaltet werden.

Wenn in einer Anwendung zur Pflege der Vorbelegung (VOR,VORADMIN) die Benutzersprache geändert wird, erfolgt automatisch eine Anpassung in der Tabelle "Benutzer" (USE).

6.1 Daten für erste Vorbelegung

Nach der erstmaligen Installation von IDL.KONSIS.FORECAST sind in der Tabelle VOR bzw. VORADMIN noch keine Einträge vorhanden, so dass viele IDL Konsis-Anwendungen aufgrund fehlender Berechtigungsangaben nicht gestartet werden können. Der erste Vorbelegungssatz setzt allerdings voraus, dass es bereits erste Stammdaten (z.B. Gesellschaft, Periode, Datenart) zum Eintrag in die Vorbelegung gibt. Die Einrichtung dieser Stammdaten ist aufgrund verschiedener Abhängigkeiten kompliziert.

Zur Vereinfachung dieses Prozesses dient die Anwendung "Daten für erste Vorbelegung" (VORINITE). Diese Anwendung wird alternativ zur regulären Einzelsatzanwendung (VORADMINE) gestartet, wenn man aus der Übersicht VORADMIN in die zugehörige Einzelsatzanwendung wechseln möchte und noch keinerlei Einträge in dieser Tabelle vorliegen.

Die in VORINITE angezeigte Maske enthält Eingabefelder für alle für eine erste Vorbelegung benötigten Stammdaten. In vielen Fällen sind diese Felder bereits mit einem Vorschlag vorbelegt (z.B. Konzern = 'WELT', Gesellschaft = '001'). Diese können je nach Bedarf so beibehalten oder geändert werden. Auch ein späteres Löschen dieser Stammdaten, nachdem die echten Daten eingepflegt wurden, ist möglich.

Durch den Knopf <Einfügen> werden die so definierten Stammdaten angelegt sowie ein Vorbelegungssatz für den angemeldeten Benutzer, so dass in der Folge alle Anwendungen von IDL Konsis problemlos gestartet werden können.

7 Änderungsprotokollierung (LOG)

Das Modul 'Änderungsprotokollierung' ist ein kostenpflichtiges Zusatzmodul, welches Sie auf Anfrage gerne beziehen können.

Zur Dokumentation und Analyse von Änderungen in den in dieser Dokumentation beschriebenen Daten gibt es für folgende Tabellen die jeweilige Übersichtsfunktion:

  • Benutzer: USELOG
  • Vorbelegung: VORLOG
  • Menü-Berechtigungen: BENMENLOG
  • Datenobjekt-Berechtigungen (ausgen. Perioden): BENOBJLOG
  • Perioden-Berechtigungen: BENABRLOG

Diese Übersichten zeigen die Protokollsätze an, ermöglichen eine Selektion nach den wesentlichen Attributen (ähnlich der jeweiligen Stammdatenübersicht) und zusätzlich Abfragen nach Art (Einfügen, Ändern, Löschen) und Zeitpunkt der Änderung. So können alle Änderungen ab einem bestimmten Zeitpunkt selektiert werden oder auch der Zustand der Originaltabelle zu einem bestimmten Zeitpunkt.

Zur Aktivierung der Protokollierung geben Sie in der Anwendung "Steuerung Stammdatenprotokollierung" (LOG) den jeweiligen Tabellennamen ein (bzw. wählen ihn aus der Drop-down-Liste aus) und wählen die Aktion "Stammdatenprotokollierung aktivieren". Durch diese Aktion wird der aktuelle Zustand der angegebenen Tabelle in die Protokolltabelle kopiert. Bei der Aktivierung sollten keine anderen Benutzer mit der Datenbank verbunden sein. Anschließend werden alle Änderungen an dieser Tabelle in der Protokolltabelle festgehalten.

Bei Änderung der Benutzersprache in der Anwendung VOR oder VORADMIN wird diese Änderung auch als Änderung in der Tabelle USE festgehalten, obwohl dort keine aktive Änderung eingegeben wurde.

Published:

Benutzer und Berechtigungen


Inhaltsverzeichnis


1 Einleitung

In IDL.KONSIS.FORECAST gibt es die Möglichkeit, die Berechtigungen jedes einzelnen Benutzers mittels eines Berechtigungskonzepts einzugrenzen. Im Folgenden werden die hierzu benötigten Menüpunkte beschrieben. Die Pflege der hier erwähnten Daten gehört zur Systemadministration und sollte daher nur für Benutzer mit Administratorrechten zugelassen werden. Im von IDL.KONSIS.FORECAST ausgelieferten Standard haben nur die Benutzergruppen IDLADMIN und IDLSYS die erforderlichen Änderungsrechte.

2 Benutzer (USE)

In dieser Anwendung werden alle Benutzer gepflegt, die grundsätzlich mit IDL.KONSIS.FORECAST arbeiten dürfen. Voraussetzung ist, dass der Benutzer vorher als Benutzer für die IDL.KONSIS.FORECAST-Datenbank bzw. als Netzwerk-User vom Systemadministrator autorisiert wird.

Welche Funktionen ein Benutzer ausüben darf, wird durch die Zuordnung einer Benutzergruppe für die Menüberechtigung festgelegt.

Bei der Installation von IDL.KONSIS.FORECAST wird standardmäßig nur der Benutzer IDLADMIN definiert. Weitere Benutzer müssen kundenseitig definiert werden.

Dazu wechselt man in die Einzelsatzanwendung, die man

  • durch Klicken auf das Stern-Symbol in der Toolbar oder
  • durch Doppelklick in die (leere) Tabelle

aufruft.

Änderungen bei einem bereits vorhandenen User können durch

  • Selektieren der Zeile und Klicken auf das Bleistift-Symbol im Kontextmenü oder
  • Doppelklick auf den entsprechenden Datensatz

vorgenommen werden.

Folgende Felder sind zu befüllen:

Benutzer:
Name des Benutzers, der im Programm u.a. für die Angabe des Änderungs-Users verwendet wird.
Benutzername für Anmeldung (Logon-ID):
Benutzername für die Anmeldung in IDL.KONSIS.FORECAST. Die Logon-ID kann vom Namen abweichen, insbesondere wenn der Name länger als 8 Stellen ist.
Name / Vorname / Telefon / E-mail:
Dienen der weiteren Dokumentation und Spezifikation; diese Angaben werden in IDL.KONSIS.FORECAST nicht verwendet.
Sprache:
Die Angabe in diesem Feld steuert, in welcher Sprache die Bezeichnung anwendungsspezifischer Objekte (z.B. Kontobezeichnung) vorrangig ausgegeben werden soll. Im Gegensatz zur Oberflächensprache (für Menüs, Prompttexte und Spaltenüberschriften) ist hier auch die Angabe kundenseitig gepflegter Sprachen möglich.
Template:
Ein Benutzer mit diesem Attribut besitzt keine Logon-Id und kann auch nicht zur Anmeldung verwendet werden. Template-Benutzer und deren Vorbelegung dienen als Vorlage für das automatische Anlegen von Benutzern in IDL.KONSIS, die vorher nur im Active Directory angelegt wurden.
Benutzergruppe für Menürechte:
Spezifiziert eine Benutzergruppe, die die Menüberechtigungen (Berechtigung für Funktionen) für den Benutzer definiert. Ohne diese Angabe kann sich der Benutzer zwar anmelden, aber keinerlei Anwendungsfunktion starten.
Benutzergruppe für Datenobjekte:
Spezifiziert eine Benutzergruppe, die die Berechtigung zum Zugriff auf bestimmte Datenobjekte regelt. Diese Angabe wird nur in Verbindung mit der Definition von Objekt-Berechtigungen (s.u.) sowie durch entsprechende Angaben für die Berechtigungssteuerung in der benutzerspezifischen Vorbelegung (s.u.) wirksam.
Benutzername für Datamart:
Für Anwender der Schnittstelle IDL Datamart zum IDL.DESIGNER kann hier bei Bedarf eine abweichende Login-ID angegeben werden.
Gültig ab / Gültig bis:
Die Gültigkeit einer Benutzeranmeldung kann durch Einträge in diesen Feldern zeitlich begrenzt werden.
Lizenz Usertyp in KONSIS:
Admin-User (A)=nur administrative Funktionalität; Full-User (F)= volle Funktionalität; Light-User (L)= Einzelabschluss; Viewer-User (V)=Anzeige/Reporting
Lizenz Usertyp FORECAST:
Full-User (F)= Volle Funktionalität; Light-User (L)= Erfassung/Reporting
Lizenz Usertyp XLSLINK:
Full-User (F)= Volle Funktionalität

Für den Fall, dass die Authentifizierung nicht über das Betriebssystem (Windows, Active Directory) oder das Datenbanksystem erfolgt, sondern über die IDL.KONSIS-Datenbank (Einstellung im Konfigurationsprogramm des IDL.KONSIS.FORECAST Application Servers), zeigt die Anwendung Benutzer (USE) zusätzliche Eingabefelder. Diese sind in der Dokumentation "Internes Passwort" beschrieben.

3 Menü-Berechtigungen (BENMEN)

3.1 Allgemein

Diese Übersicht zeigt in alphabetischer Folge alle Menüpunkte (Anwendungen), zu der eine Benutzergruppe autorisiert ist. Zu jedem Menüpunkt werden zusätzlich alle aktuell vergebenen Aktionsrechte angezeigt. Unterschieden werden hier die Aktionen Anzeigen, Ändern, Einfügen, Löschen und Kopieren.

IDL stellt hier mit der Liefer-Datenbank bzw. mit den Metadaten der Releases und Updates einige Standard-Benutzergruppen zur Verfügung, die den Benutzern zugeordnet werden können. Diese Benutzergruppen beginnen alle mit "IDL". Daher dürfen anwenderseitig keine Benutzergruppen angelegt werden, deren Schlüssel ebenfalls mit "IDL" beginnt. Folgende Benutzergruppen werden zur Verfügung gestellt:

IDLSYS:
Diese Benutzergruppe ist für Systemadministratoren, die keine fachliche Funktion in IDL Konsis übernehmen. Die Berechtigung ist beschränkt auf die Verwaltung der Benutzer und deren Rechten, den Start der Release-Konvertierung und die Aktivierung der Änderungsprotokollierung.
IDLADMIN:
Diese Benutzergruppe umfasst nahezu alle Benutzerrechte und ist somit eine Zusammenfassung der Rechte von IDLSYS und IDLKON. Für einige Anwendungen bestehen sogar Sonderrechte, mit denen systemseitige Einschränkungen umgangen werden können. Diese Benutzergruppe sollte daher nur in Ausnahmefällen verwendet werden.
IDLKON:
Diese Benutzergruppe ist für fachlich vollständig berechtigte Benutzer, d.h. es bestehen Rechte für alle fachlichen Anwendungen. Gegenüber der Benutzergruppe IDLADMIN fehlen aber die Sonderrechte sowie die Rechte der Benutzergruppe IDLSYS.
IDLKON1:
Diese Benutzergruppe berechtigt die Benutzer, am Einzel- und am Konzernabschluss zu arbeiten. Gegenüber der Gruppe IDLKON fehlen aber die Berechtigungen zur Änderung von Stamm- und Strukturdaten mit Ausnahme der Pflege des Konzernkreises.
IDLEA:
Diese Benutzergruppe berechtigt die Benutzer zur Erstellung von Einzelabschlüssen. Im Vergleich zu IDLKON1 fehlen aber die Rechte für den Konzernabschluss. Dafür bestehen aber Rechte für einige Stammdaten, z.B. zur Pflege der Gesellschafts-Konten- oder -Controllingpläne.
IDLEE:
Diese Benutzergruppe unterstützt das Vier-Augen-Prinzip für Einzelabschlüsse. Ein Benutzer dieser Gruppe kann die Einzelabschlussdaten nur ansehen, aber nicht ändern. Änderungsrechte bestehen nur für das Sperren und Entsperren von Einzelabschlussdaten.
IDLVIEW:
Diese Benutzergruppe ist für Wirtschaftsprüfer und ähnliche Personen gedacht, die zwar Leserechte für alle Daten haben, aber nichts ändern dürfen. Das einzige Änderungsrecht besteht für die benutzerspezifische Vorbelegung (VORE).
IDLNOAUT, IDLMISWS, IDLIMPWS:
Diese Benutzergruppen haben keinerlei Rechte in IDL Konsis. Sie werden aber benötigt für Anwender des IDL.DESIGNER, die auf Daten oder Funktionen von IDL Konsis über Webservices zugreifen. Die Benutzergruppe IDLIMPWS kann nach Erfassung von Daten in IDL.DESIGNER diese Daten nach IDL Konsis exportieren und dazu die jeweiligen Importanwendungen starten.

Unabhängig von dem Eintrag der Benutzergruppe für Menürechte wird bei den verschiedenen Aktionen in IDL Konsis auch geprüft, ob diese Aktion auch gemäß der lizenzmäßigen Klassifizierung des Benutzers zugelassen ist. So ist es z.B. nicht möglich, einem als "KONSIS Light User" klassifizierten Benutzer durch Zuweisung der Benutzergruppe IDLKON Rechte für die Konsolidierung zu verschaffen.

Die Berechtigung 1 für die Aktion <Anzeigen> ist zumindest in den mit "IDL" beginnenden Benutzergruppen eine Pflichteingabe, da die Menüberechtigung mindestens das Anzeigerecht umfassen muss; in den kundenspezifischen Benutzergruppen mit Referenz auf eine "IDL"-Gruppe kann sie auch 0 sein. Die Angabe der Berechtigung für die weiteren Aktionen ist optional. In allen Berechtigungsattributen sind folgende Eingaben möglich:

  • 0 nur bei kundenspezifischen Benutzergruppen mit Referenz: Entzug der in der Referenzgruppe erteilten Berechtigung
  • 1 Normale Berechtigung
  • 2 Sonderberechtigung
  • leer Berechtigung wie in der Referenz-Benutzergruppe

Ob und worin sich die Sonderberechtigung von der normalen Berechtigung unterscheidet, ist anwendungsspezifisch definiert. Sonderberechtigung sollte nur in begründeten Ausnahmefällen nach Rücksprache mit Ihrem IDL Konsis-Berater oder der IDL-Hotline vergeben werden.

Durch <Kopieren> können markierte Zeilen auf geänderte Schlüssel kopiert werden. Hierbei sind folgende Fälle zu unterscheiden:

  • Bei Selektion nach einer eindeutigen Benutzergruppe Kopieren auf eine andere Benutzergruppe
  • Bei Selektion nach einer eindeutigen Menü-ID Kopieren auf eine andere Menü-ID

Bei der Angabe "L" im Selektionsfeld <KopierOpt> werden die Berechtigungen zum Ändern, Einfügen, Löschen und Kopieren nicht mitkopiert.

Menüberechtigungen für mit "IDL" beginnende Benutzergruppen werden von IDL gepflegt und jeweils bei Releasewechsel aktualisiert. Berechtigungen für kundenseitig (in der Anwendung BENDEF, s.u.) definierte Benutzergruppen sind kundenseitig zu pflegen. Neue Menü-IDs, die ggfs. zu berechtigen sind, werden in der jeweiligen Release-Dokumentation <Neu im Release . . .> angegeben. Die IDL-Berechtigungen können dabei als Vorlage dienen.

3.2 Vereinfachtes Verfahren zur Pflege kundenspezifischer Benutzergruppen

Da die Datenpflege in der Anwendung BENMEN unter Umständen sehr aufwändig sein kann, können individuell angelegte Benutzergruppen auf eine Standard-IDL-Benutzergruppe (z.B. IDLKON, IDLEA) referenzieren, wodurch sich der Pflegeaufwand deutlich vereinfacht. Diese Zuordnung ist beim Anlegen der Benutzergruppe in der Anwendung "Benutzergruppen" (BENDEF) zu treffen. Es dürfen nur Standard-IDL-Benutzergruppen (beginnend mit "IDL") zugeordnet werden. Durch diese Referenzierung werden zunächst sämtliche Menüberechtigungen der Referenzgruppe von der individuellen Berechtigungsgruppe übernommen. In der Anwendung BENMEN werden dann nur noch die Abweichungen gepflegt. Dies können sowohl zusätzliche Rechte als auch Einschränkungen sein. Zusätzliche Rechte sind dabei durch zusätzliche Menü-Berechtigungssätze mit Angabe der Berechtigungsstufe '1' oder '2' anzugeben. Zur Definition von Einschränkungen kann in den Menü-Berechtigungssätzen die Berechtigungsstufe '0' angegeben werden.

4 Benutzergruppenberechtigungen (BENDEF)

Die Pflege der Objektberechtigungen kann man in der Anwendung "Benutzergruppenberechtigungen" (BENDEF) vornehmen, die sowohl die Definition der Berechtigungsgruppen selbst als auch die Erteilung bzw. den Entzug von Rechten für die verschiedenen Stammobjekte aus einer Anwendung heraus ermöglicht.

4.1 Benutzergruppe neu anlegen

Mit Klick auf das Stern-Symbol gelangt man in einen Assistenten (Wizard), um eine neue Benutzergruppe anzulegen.

In dem Wizard können auf den drei Seiten folgende Einstellungen vorgenommen werden:

Seite 'Bezeichnung':

  • Benutzergruppe: achtstellige, alphanumerische Kennung, erfassbar nur beim Anlegen und Kopieren
  • Bezeichnung: maximal 70stellige Bezeichnung
  • Kurztext: maximal 10stelliger Kurztext

Seite 'Eigenschaften':

  • Berechtigungsgruppe für Menü: Für die Vergabe von Berechtigungen für Anwendungen (bspw. für KTODEF, POSDEF).
  • Berechtigungsgruppe für Daten: Für die Vergabe von Berechtigungen für Objekte in den Anwendungen (bspw. für eine bestimmte Gesellschaft oder Kontenplan).
  • Referenz-Benutzergruppe: Die Berechtigungen der angegebenen Benutzergruppe werden übernommen. Die nicht abweichenden Berechtigungen werden in den Anwendungen BENMEN und BENOBJ für eine Benutzergruppe mit Referenz-Benutzergruppe nicht angezeigt. Lediglich die Abweichungen werden in den Anwendungen aufgeführt.
  • Active Directory Gruppe: Das Attribut dient zum Abbilden von internen Rechten auf Windows Active Directory Gruppen. Dadurch können bestehende Sicherheitsanforderungen erfüllt werden. (siehe auch Kapitel 4.2.)

Seite 'Mehrsprachige Bezeichnungen':

  • ermöglicht wie in anderen Stammanwendungen die Pflege der Bezeichnungen in allen aktivierten Sprachen.

4.2 Hinweis zur Autorisierung für IDL.KONSIS.FORECAST durch das Active Directory

Die Authentifizierung über das Active Directory (ohne Eingabe von Namen und Passwort, "Single Sign-On") ist durch die Zulassung von Active Directory Gruppen erweitert worden. Die AD-Gruppen können mit Berechtigungsgruppen in IDL.KONSIS.FORECAST verknüpft werden, so dass eine Benutzerrechtesteuerung in IDL.KONSIS.FORECAST bereits im Active Directory erfolgen kann.

Diese Eingabe ist kundenindividuell, d.h. sie wird auch für die "IDL"-Benutzergruppen beim Releasewechsel nicht überschrieben. Es ist auf korrekte Verwendung von Klein- und Großbuchstaben zu achten.

In der Konfiguration des Application Servers kann je Datenbank-Alias separat festgelegt werden, ob die Prüfung gegen das Active Directory erfolgt. Wenn diese Prüfung aktiviert ist, ermittelt IDL.KONSIS.FORECAST bei der Anmeldung, welchen Gruppen der Benutzer im Active Directory angehört. Die dem Benutzer in IDL.KONSIS.FORECAST zugeordnete Benutzergruppe für Menü- bzw. Objektrechte muss dann auf eine der Active Directory Gruppen verweisen, der der Benutzer angehört. Ansonsten wird die Anmeldung verweigert. Das geschieht auch, wenn der Menüberechtigungsgruppe keine Active Directory Gruppe zugeordnet ist.

Zusätzlich besteht die Möglichkeit, einen neu im Active Directory angelegten Benutzer automatisch auch in IDL.KONSIS.FORECAST als Benutzer anlegen zu lassen. Voraussetzung dafür ist, dass in IDL.KONSIS.FORECAST in der Benutzertabelle (Anwendung USE) eine Benutzervorlage mit den gewünschten Standardangaben angelegt ist. Es werden Name und Vorname des Benutzers mit der User-ID vorbelegt.

Zur Kennzeichnung der Benutzervorlage wird die Benutzertabelle (USE) um ein Attribut "Template" erweitert. Der Eintrag von 'X' in diesem Attribut kennzeichnet einen Satz als Benutzervorlage, die selbst nicht für eine Anmeldung verwendet werden darf, sondern nur als Kopiervorlage dient. Es kann zwar mehrere Benutzervorlagen geben, aber jeweils immer nur eine, die einer bestimmten Active Directory Gruppe zugeordnet ist, damit die Ermittlung der zu verwendenden Benutzervorlage eindeutig ist. Bei erfolgreicher Ermittlung der Benutzervorlage wird diese als Kopiervorlage für den neu anzulegenden Benutzer verwendet. Dabei wird die IDL.KONSIS.FORECAST-User-ID aus der Active Directory User-ID abgeleitet. Ist bei Authentifizierung über den Active-Directory-Benutzer beim Anlegen eines neuen Benutzers beim Template-Benutzer keine "Benutzergruppe für Datenobjekte" angegeben, dann wird für alle AD-Gruppen des AD-Users nach genau einer Daten-Benutzergruppe in IDL.KONSIS gesucht, die diese AD-Gruppe als "Active Directory Gruppe" enthält. Wird keine solche IDL.KONSIS-Benutzergruppe gefunden, wird eine Fehlermeldung ausgegeben ("Daten-Benutzergruppe nicht gefunden"). Werden mehrere solche IDL.KONSIS-Benutzergruppen gefunden, wird ebenfalls eine Fehlermeldung ausgegeben ("Daten-Benutzergruppe nicht eindeutig").

4.3 Pflege der Berechtigungen je Benutzergruppe

Nach Auswahl einer Berechtigungsgruppe für Datenobjekte in der führenden Tabelle werden durch Doppelklick, rechten Mausklick und Klick auf das "Öffnen"-Icon Tabellen als Registerkarten je Objekttyp angezeigt, für die Berechtigungen erteilt werden können. Im Titel der Registerkarte wird jeweils die Anzahl der berechtigten Objekte angezeigt. Die führende Tabelle blendet sich automatisch aus, der Schlüssel der selektierten Berechtigungsgruppe wird in der Navigationsleiste angezeigt. Die Objekte, die berechtigt werden können, sind

  • Konzerne (KTK)
  • Gesellschaften (GES)
  • Perioden (ABR)
  • Datenarten (FAC)
  • Konten-/Controllingpläne (KTP)
  • Positionspläne (POP)
  • Report-Idents (RID)

Sofern IDL.FORECAST lizenziert ist, können außerdem

  • Szenarien
  • Szenario-Knoten/Szenarien
  • Regel-Vorlagen

als Objekte berechtigt werden.

Eine weitere Registerkarte "Übersicht über alle Objektberechtigungen" fasst die berechtigten Objekte mit Ausnahme der Perioden und der IDL.FORECAST-Objekte zusammen und dient u.a. für den Export dieser Daten.

In den Tabellen je Objekttyp werden zunächst die jeweils berechtigten Objekte angezeigt und dahinter alle nicht berechtigten Objekte. Mithilfe des Kontextmenüs (rechte Maustaste) können folgende Aktionen zum Steuern der Berechtigungen ausgelöst werden:

  • Lediglich Leseberechtigung für das Objekt erteilen
  • Alle Berechtigungen für Objekt entziehen
  • Alle Berechtigungen für Objekt erteilen

Zum Bearbeiten einer Berechtigung dient das Stift-Symbol im Kontextmenü (rechte Maustaste). Der Wizard für die Vergabe von Berechtigungen besteht aus zwei Seiten. Auf der ersten Seite wird das ausgewählte Objekt angegeben, auf der zweiten Seite können für die Datenobjekte jeweils die Aktionen

  • Anzeigen
  • Ändern
  • Einfügen
  • Löschen

durch Setzen von Haken Berechtigung erteilt oder durch Wegnahme des Hakens entzogen werden.

Sofern IDL.FORECAST lizenziert ist, gibt es für Szenarien Berechtigungen für die Aktionen

  • Anzeigen
  • Ändern
  • Löschen

und für Regelvorlagen zusätzlich die Aktion

  • Ausführen.

Eine Objektberechtigung zum Kopieren wird durch Prüfungen auf die Berechtigungen zum Anzeigen der Quellschlüssel und zum Einfügen der Zielschlüssel gewährleistet.

4.4 Export

Der Export der einzelnen Bereiche erfolgt über den Exportbutton in der Menüleiste. Welcher Bereich exportiert werden soll, wird über den Export-Dialog bestimmt. Zur Verfügung stehen die Bereiche 'Benutzergruppe', 'Objekt-Berechtigung' und 'Perioden-Berechtigung'. Auf der rechten Seite des Export-Dialogs muss dafür die Auswahl des gewünschten Bereiches markiert werden. Selektionen in den Tabellen werden berücksichtigt. Sind nur in einer Tabelle Zeilen selektiert, werden auch nur diese exportiert. Tabellen ohne Selektion werden nur dann (komplett) exportiert, wenn keine Selektion vorliegt.

4.5 Vergabe von Berechtigungen mit dem Assistenten

Die Navigation zwischen den Seiten des Wizards erfolgt über die Buttons <Weiter>und <Zurück> im Fußteil der Wizard-Seiten oder über das Seitenverzeichnis (Navigationsleiste), das jeweils auf der linken Seite angezeigt wird. Das Seitenverzeichnis visualisiert über ein Icon, ob die Eingaben auf einer Seite korrekt (grüner Haken) oder fehlerhaft (rotes Stoppschild) sind. Der Button <Fertig> ist auf jeder Seite enthalten. Er ist jedoch deaktiviert, solange der Datensatz inkonsistent oder unvollständig ist. Wenn der Satz korrekt ist, wird <Fertig> aktiv, unabhängig von der aktuellen Seite. Der Button <Weiter> ist nur dann aktiv, wenn die Angaben auf der jeweiligen Seite konsistent und fehlerfrei sind.

Ob bereits eine Berechtigung für ein Objekt vergeben wurde, erkennt man am Änderungs-Eintrag.

Die Rechte auf Regelvorlagen können auch auf die in der PLAN-Anwendung geführten Ordner angewandt werden. Diese Rechte werden auf die im Ordner befindlichen Unterordner und Regelvorlagen vererbt, wenn auf den unteren Ebenen nichts Gegenteiliges spezifiziert wird. Die vererbten Rechte können individuell abgeändert werden.

In den integrierten Anwendungen wie REPDEF, POP oder BENDEF beziehen sich die Berechtigungen zum Einfügen und Löschen nur auf das berechtigte Objekt selbst. Für das Einfügen und Löschen von hinterlegten Daten beim Objekt genügt eine Berechtigung zum Ändern. In den Anwendungen REPZEI, POS etc. beziehen sich die Berechtigungen zum Einfügen und Löschen auch auf zugeordnete Objekte (z.B. Reportzeilen einer Report-ID oder Positionen eines Positionsplans).

4.6 Sicherstellung der Wirksamkeit der Berechtigungseinstellungen

Damit die Objektberechtigungen für einen Benutzer auch wirksam werden, gibt es in der Anwendung VORADMIN (Vorbelegungen für Benutzer mit Berechtigungsschutz, siehe unten) pro User Berechtigungsschalter für alle Objekttypen. Sobald der Schalter auf '2' oder '3' steht, wird von der Anwendung geprüft, ob entsprechende Objektberechtigungen zur Bearbeitung vorliegen.

5 Objekt- und Periodenberechtigungen (BENOBJ, BENABR)

Zur Anzeige und Pflege der Datenberechtigungen der Benutzergruppen gibt es vorläufig auch noch die Anwendungen "Objekt-Berechtigungen" (BENOBJ) und "Periode-Berechtigungen" (BENABR) mit den zugehörigen Einzelsatzanwendungen. Diese Anwendungen werden grundsätzlich analog zur Anwendung "Menü-Berechtigungen" (BENMEN, s.o.) bedient.

Im Vergleich zur Anwendung BENDEF bieten BENOBJ und BENABR die Möglichkeit, Berechtigungen mehrerer Benutzergruppen gleichzeitig anzuzeigen und zwischen diesen zu kopieren.

6 Vorbelegung für Benutzer mit Berechtigungsschutz (VORADMIN)

Die Anwendung VORADMIN ergänzt die Erfassung neuer Benutzer, die nur dann mit IDL.KONSIS.FORECAST arbeiten können, wenn sie hier erfasst wurden.

Wie bereits oben erläutert, wird der Zugriff auf bestimmte Datenobjekte, die über eine Daten-Benutzergruppe in der Anwendung BENDEF hinterlegt sind, nur dann wirksam, wenn entsprechende Einstellungen in der Vorbelegung des jeweiligen Benutzers hinterlegt sind.

Relevant hierfür sind die zusätzlichen Parameterfelder für die Schlüsselfelder Konzern/Teilkonzern, Gesellschaft, Periode, Datenart, Positions- und Kontenplan sowie Report-ID.

Über die Aktionen <Daten neu anlegen> und <Daten bearbeiten> gelangt man in die Einzelsatzanwendung (VORADMINE). Dort gibt es folgende Eingabemöglichkeiten für einen Überschreibungs- und Berechtigungsschutz (in den dafür vorgesehenen Eingabefeldern hinter den vorbelegten Objekten):

SchlüsselBerechtigung
0 für Konzern, Gesellschaft, Periode und DatenartNur Eingabe lt. VOR
0 für Positionsplan, Konten-/Controllingplan und Report-IDKeine Änderung erlaubt
1Beliebige Eingaben und Änderungen erlaubt
2Berechtigung lt. Anwendung BENDEF
3 für PeriodenWie 2 mit dem zusätzlichen Recht, einmalig neue Reports für abgeschlossene Perioden zu erstellen
3 für Konten-/ControllingpläneWie 2 ohne das Recht, die Zuordnung zum Konzernkontenplan zu ändern
3 für GesellschaftenWie 2, wobei in den Gesellschaftsstammdaten lediglich der Controllingplan geändert werden darf

Wird die Überschreibungsoption auf "0" gesetzt, wird sichergestellt, dass in allen Anwendungen keine abweichende Eingabe zu den Eintragungen laut VOR möglich ist. Damit sollen irrtümliche Eingaben unter einem falschen Schlüsselbegriff während der laufenden Bearbeitung vermieden werden. Durch die Überschreibungsoption "1" wird dagegen ein Schnell-Navigieren mit wechselnden Schlüsseln ermöglicht.

Die Felder Konzernwährung und Parallelwährung können nur über die Anwendung VORADMIN eingestellt und geändert werden. Sie werden als Währungskennzeichen für neue Datenbestände herangezogen, wenn kein Konzern / Teilkonzern angegeben ist. Bei diesen Feldern sowie beim Konzern-Kontenplan erfolgt eine Prüfung gegen die Eintragungen in dem oben angegebenen Konzern / Teilkonzern.

Die weiteren Eingabefelder können auch in der Anwendung "Vorbelegung je Benutzer (VOR)" von jedem Benutzer selbst verwaltet werden.

Wenn in einer Anwendung zur Pflege der Vorbelegung (VOR,VORADMIN) die Benutzersprache geändert wird, erfolgt automatisch eine Anpassung in der Tabelle "Benutzer" (USE).

6.1 Daten für erste Vorbelegung

Nach der erstmaligen Installation von IDL.KONSIS.FORECAST sind in der Tabelle VOR bzw. VORADMIN noch keine Einträge vorhanden, so dass viele IDL Konsis-Anwendungen aufgrund fehlender Berechtigungsangaben nicht gestartet werden können. Der erste Vorbelegungssatz setzt allerdings voraus, dass es bereits erste Stammdaten (z.B. Gesellschaft, Periode, Datenart) zum Eintrag in die Vorbelegung gibt. Die Einrichtung dieser Stammdaten ist aufgrund verschiedener Abhängigkeiten kompliziert.

Zur Vereinfachung dieses Prozesses dient die Anwendung "Daten für erste Vorbelegung" (VORINITE). Diese Anwendung wird alternativ zur regulären Einzelsatzanwendung (VORADMINE) gestartet, wenn man aus der Übersicht VORADMIN in die zugehörige Einzelsatzanwendung wechseln möchte und noch keinerlei Einträge in dieser Tabelle vorliegen.

Die in VORINITE angezeigte Maske enthält Eingabefelder für alle für eine erste Vorbelegung benötigten Stammdaten. In vielen Fällen sind diese Felder bereits mit einem Vorschlag vorbelegt (z.B. Konzern = 'WELT', Gesellschaft = '001'). Diese können je nach Bedarf so beibehalten oder geändert werden. Auch ein späteres Löschen dieser Stammdaten, nachdem die echten Daten eingepflegt wurden, ist möglich.

Durch den Knopf <Einfügen> werden die so definierten Stammdaten angelegt sowie ein Vorbelegungssatz für den angemeldeten Benutzer, so dass in der Folge alle Anwendungen von IDL Konsis problemlos gestartet werden können.

7 Änderungsprotokollierung (LOG)

Das Modul 'Änderungsprotokollierung' ist ein kostenpflichtiges Zusatzmodul, welches Sie auf Anfrage gerne beziehen können.

Zur Dokumentation und Analyse von Änderungen in den in dieser Dokumentation beschriebenen Daten gibt es für folgende Tabellen die jeweilige Übersichtsfunktion:

  • Benutzer: USELOG
  • Vorbelegung: VORLOG
  • Menü-Berechtigungen: BENMENLOG
  • Datenobjekt-Berechtigungen (ausgen. Perioden): BENOBJLOG
  • Perioden-Berechtigungen: BENABRLOG

Diese Übersichten zeigen die Protokollsätze an, ermöglichen eine Selektion nach den wesentlichen Attributen (ähnlich der jeweiligen Stammdatenübersicht) und zusätzlich Abfragen nach Art (Einfügen, Ändern, Löschen) und Zeitpunkt der Änderung. So können alle Änderungen ab einem bestimmten Zeitpunkt selektiert werden oder auch der Zustand der Originaltabelle zu einem bestimmten Zeitpunkt.

Zur Aktivierung der Protokollierung geben Sie in der Anwendung "Steuerung Stammdatenprotokollierung" (LOG) den jeweiligen Tabellennamen ein (bzw. wählen ihn aus der Drop-down-Liste aus) und wählen die Aktion "Stammdatenprotokollierung aktivieren". Durch diese Aktion wird der aktuelle Zustand der angegebenen Tabelle in die Protokolltabelle kopiert. Bei der Aktivierung sollten keine anderen Benutzer mit der Datenbank verbunden sein. Anschließend werden alle Änderungen an dieser Tabelle in der Protokolltabelle festgehalten.

Bei Änderung der Benutzersprache in der Anwendung VOR oder VORADMIN wird diese Änderung auch als Änderung in der Tabelle USE festgehalten, obwohl dort keine aktive Änderung eingegeben wurde.

For an optimal Community experience, Please view on Desktop
Powered by Zendesk