Wer in Unternehmen mit Daten arbeitet, steht früher oder später vor der Frage, wer was sehen, bearbeiten und speichern darf. In vielen Systemen ist Berechtigungsverwaltung ein Nachgedanke – ein Add-on, das komplex zu pflegen und schwer nachvollziehbar ist. In omniSuite ist sie eine Architekturentscheidung: Zugriffsrechte sind von Anfang an integraler Bestandteil der Plattform, nicht nachträglich angebaut.
In klassischen Systemen bedeutet ein Abteilungswechsel: Rechte einzeln entziehen, neue zuweisen, Sonderregelungen prüfen, Fehler riskieren. Die Berechtigungs-Komponente von omniSuite arbeitet mit Rollen, die Zugriffsrechte bündeln. Wenn Sie eine Rolle ändern, wirkt diese Änderung auf alle Benutzer, denen diese Rolle zugewiesen ist. Ein Schritt statt zwanzig.
omniSuite kennt drei Ebenen, die Sie kombinieren: Rollen für funktionale Zugriffsprofile, Organisationseinheiten für Abteilungen und Teams mit gemeinsamen Rechten sowie Partnerfirmen für externe Zugänge mit eigenen Berechtigungsrahmen. Auf der Benutzerebene können Sie feingranular überschreiben, wo Standardzuweisungen nicht passen. Das Ergebnis ist eine Berechtigungsstruktur, die Ihr Organigramm widerspiegelt, anstatt es zu vereinfachen.
Compliance-Prüfungen, Audits, interne Kontrollen – all das setzt voraus, dass Sie wissen und belegen können, wer worauf Zugriff hat. Die Berechtigungs-Komponente von omniSuite ist nicht nur verwaltbar, sie ist nachvollziehbar. Berechtigungen werden pro Systemobjekt vergeben – pro Tabelle, Maske, Menüpunkt, Bericht – und sind jederzeit einsehbar. Nachvollziehbarkeit ist kein Feature, das Sie aktivieren müssen. Sie entsteht als Nebenprodukt der Architektur.
Dafür gibt es temporäre Einmal-Berechtigungen. Sie vergeben gezielt und zeitlich begrenzt Zugang, ohne die Rollenkonfiguration dauerhaft zu verändern. Der Sonderfall bleibt Sonderfall – er verändert nicht die Regel.
Die Funktion „Fehlende Beziehungen finden" prüft systematisch, ob alle Benutzer ausreichende Berechtigungen für Masken und deren Datenstrukturen besitzen. Sie deckt drei Szenarien ab: Standard-Fremdschlüssel-Beziehungen, individuelle Fremdschlüssel-Konfigurationen und individuelle M:N-Verknüpfungen. Das ist keine manuelle Prüfaufgabe, sondern ein Systemlauf.
omniSuite kombiniert Role-Based Access Control (RBAC) mit attributbasierter Steuerung (ABAC/PBAC). Im RBAC-Modell bündeln Rollen Zugriffsrechte und wirken auf alle zugeordneten Benutzer. Organisationseinheiten gruppieren Benutzer mit gemeinsamen Rechten, Partnerfirmen ermöglichen isolierte externe Zugänge. Auf Benutzerebene sind feingranulare individuelle Abweichungen möglich.
Pro Informationsobjekt vergeben Sie SELECT, INSERT, UPDATE und DELETE separat. Das gilt für jedes verwaltete Systemobjekt: Tabellen, Masken, Menüs und Berichte. Die Verwaltung erfolgt entweder zentral über die Verwaltungsoberfläche oder direkt am jeweiligen Systemobjekt – je nach Workflow.
Rechte werden innerhalb von Rollen und Organisationseinheiten vererbt. Auf Benutzerebene sind individuelle Überschreibungen möglich – sowohl restriktiver als auch erweitert. Die Vererbungshierarchie ist klar definiert: Rollenrechte gelten als Basis, Benutzerrechte können davon abweichen, ohne die Rolle selbst zu verändern.
Attributbasierte Vergabe erlaubt Bedingungen auf Basis von Datenzuständen, Benutzerrollen und deren Kombinationen. Die Implementierung erfolgt über T-SQL, C# oder die RIGHTOBJ-Tabelle. Das gibt Ihnen die Flexibilität, Berechtigungen an dynamische Kontexte zu knüpfen – etwa daran, in welchem Status sich ein Datensatz befindet oder welcher Benutzertyp auf ihn zugreift.
Die Funktion führt eine Systemprüfung durch, die alle Benutzer gegen alle Masken und deren zugehörige Datenstrukturen abgleicht. Sie identifiziert, wo fehlende Berechtigungen auf Beziehungsebene den Zugriff verhindern würden – differenziert nach Standard-Fremdschlüsseln, individuell konfigurierten Fremdschlüsseln und M:N-Verknüpfungen. Temporäre Einmal-Berechtigungen werden über die gespeicherte Prozedur sp_cmdb_CreateOneShotGrantedRightsForUserform vergeben.