Objektberechtigungen V2

Diese Seite beschreibt das System der Objektberechtigungen (Objektbeschränkungen) in SIWENOID v2. Objektberechtigungen steuern, auf welche Datapoints, Treatments (Status) und Befehle bestimmte Benutzer oder Benutzergruppen zugreifen können. Sie bilden die zweite Zugriffskontrollschicht in SIWENOID v2 und arbeiten parallel zu den Benutzerberechtigungen.

Prev ← Systemeinstellungen und Engineering-Optionen Next → Lizenz-Upgrade

SIWENOID v2 verwendet ein zweischichtiges Zugriffskontrollmodell:

• Benutzerberechtigungen (konfiguriert in Benutzer & Gruppen) — steuern, auf welche Anwendungsfunktionen und Menüpunkte ein Benutzer zugreifen kann. Siehe Benutzerberechtigungen V2.
• Objektberechtigungen (hier konfiguriert) — steuern, auf welche konkreten Datapoints, Treatments und Befehle ein Benutzer auf Datenebene zugreifen und diese verwenden kann.

Standardmäßig sind alle Datapoints, Treatments und Befehle für alle Benutzer zugänglich. Objektberechtigungen verwenden ein Opt-in-Einschränkungsmodell: Sobald ein Datapoint, ein Treatment oder ein Befehl zu einer Objektregel hinzugefügt wird, ist er nur noch für die Benutzer oder Gruppen sichtbar und zugänglich, die explizit in dieser Regel enthalten sind. Benutzer, die nicht durch die Regel abgedeckt sind, verlieren den Zugriff auf dieses Objekt vollständig.

Beispiel — ein System mit drei Rollen:

• Ein Ingenieur erstellt drei Einschränkungsregeln: eine für Vollzugriffs-Ingenieure, eine für Standort-Supervisoren und eine für Sicherheitsbediener.
• Die Regel für Sicherheitsbediener enthält nur die Datapoints ihres Gebäudes sowie nur Basisbefehle (Bestätigen, Zurücksetzen). Engineering-Befehle wie Ausschließen und Einschließen sind nicht enthalten.
• Sobald diese Datapoints in einer Regel erscheinen, sind sie für Benutzer außerhalb aller Regeln nicht mehr sichtbar. Stellen Sie sicher, dass jeder Benutzer, der Zugriff benötigt, vor dem Speichern durch mindestens eine Regel abgedeckt ist.

Wichtig: Objektregeln verhindern nicht, dass das physische Sicherheitssystem Ereignisse erzeugt. Ereignisse werden unabhängig von Einschränkungen immer vom SIWENOID-Server empfangen und protokolliert. Eingeschränkte Benutzer sehen diese Ereignisse lediglich nicht in der Client-Oberfläche.

Ausnahme — Alarm-Kategorie-Ereignisse können nicht ausgeblendet werden. Selbst wenn ein Treatment der Alarm-Kategorie in einer Regel enthalten ist, bleiben Alarm-Ereignisse für alle Benutzer sichtbar. Dies ist eine bewusste Sicherheitsmaßnahme, um sicherzustellen, dass kritische Alarme niemals auf Bedienerebene unterdrückt werden. Andere Treatment-Kategorien (Störung, Ausgeschlossen, Überwachung, Information usw.) können normal eingeschränkt werden.

Navigieren Sie zu Datei → Optionen → Objektbeschränkungen.

Der Objektbeschränkungsbildschirm zeigt alle aktuell definierten Regeln. Jede Regel wird mit Name und Aktivierungsstatus angezeigt.

Klicken Sie auf die Schaltfläche Hinzufügen (Plus-Symbol) und wählen Sie Neue Einschränkung.

Der Regel-Editor öffnet sich. Konfigurieren Sie folgende Felder:

Regelname
Geben Sie einen beschreibenden Namen ein, der den Zweck der Regel klar identifiziert. Beispiele: “Bediener Erdgeschoss — nur Erdgeschoss-Datapoints”, “Wachteam — keine Engineering-Befehle”, “Mieter A — nur Gebäude-A-Datapoints”.

Aktivierungsschalter
Wenn aktiviert, ist die Einschränkung aktiv und gilt sofort für die ausgewählten Benutzer und Gruppen. Wenn deaktiviert, bleibt die Regel gespeichert, wird jedoch nicht angewendet — alle Benutzer können auf die Objekte zugreifen, als existiere die Regel nicht.

Benutzer und Gruppen
Wählen Sie die Benutzerkonten und/oder Gruppen aus, auf die diese Einschränkung angewendet wird.

Nach dem Setzen von Name, Benutzern und Aktivierung öffnen Sie den Tab Objekte, um Datapoints, Treatments und Befehle zu definieren.

Der Tab enthält drei Spalten: Datapoints, Treatments und Befehle. Diese werden per Drag & Drop aus der Datapoint-Hierarchie befüllt.

Ziehen Sie Datapoints aus der Hierarchie in die Spalte Datapoints. Jeder hier hinzugefügte Datapoint ist nur für die Benutzer dieser Regel sichtbar und zugänglich. Benutzer außerhalb der Regel sehen diese Datapoints weder im Signal-Log noch im Ereignisprotokoll noch in der Datapoint-Hierarchie.

Karten: Wenn ein eingeschränkter Datapoint auf einer Karte platziert ist, ist sein Symbol für nicht berechtigte Benutzer vollständig unsichtbar — es erscheint nicht ausgegraut, sondern ist schlicht nicht vorhanden. Planen Sie Kartenlayouts entsprechend: eingeschränkte Benutzer sehen eine Karte ohne Icons für die Datapoints, auf die sie keinen Zugriff haben.

Logische Container: Statt einzelner Datapoints kann ein kompletter logischer Container gezogen werden, um alle enthaltenen Datapoints gleichzeitig einzuschließen. Dies ist der empfohlene Ansatz für die Einschränkung des Zugriffs nach Standortbereich oder Gebäudeabschnitt. Wenn später Datapoints zum logischen Container hinzugefügt werden, muss die Einschränkungsregel manuell aktualisiert werden.

Ziehen Sie Treatment-Typen (Status) in die Spalte Treatments, um zu steuern, welche Ereignistypen die aufgeführten Benutzer sehen können. Wenn ein Treatment in einer Einschränkungsregel enthalten ist, sehen Benutzer außerhalb dieser Regel keine Ereignisse dieses Treatment-Typs im Signal-Log — selbst dann nicht, wenn sie auf die entsprechenden Datapoints sonst Zugriff hätten.

Verwenden Sie dies, um niedrig priorisierte oder rein operative Status vor Bedienern zu verbergen, die sich nur auf handlungsrelevante Ereignisse konzentrieren sollen — zum Beispiel kann das Treatment Ausgeschlossen so eingeschränkt werden, dass Wartungsausschlüsse nur für Ingenieure sichtbar sind und nicht für Sicherheitsbediener.

Hinweis: Treatments der Alarm-Kategorie können nicht eingeschränkt werden. Selbst wenn ein Alarm-Kategorie-Treatment zur Spalte einer Regel hinzugefügt wird, bleiben Ereignisse dieses Typs für alle Benutzer sichtbar. Dieses Verhalten ist absichtlich so implementiert und kann nicht überschrieben werden.

Ziehen Sie Befehlstypen in die Spalte Befehle, um zu steuern, welche Befehle die aufgeführten Benutzer senden können. Benutzer außerhalb der Regel sehen diese Befehle weder im Befehlsfeld noch in den Kontextmenüs (Rechtsklick-Menüs).

Typische Befehle, die bei Bedienerrollen eingeschränkt werden sollten:

• Ausschließen / Einschließen — entfernt einen Datapoint aus der aktiven Überwachung; sollte nur autorisierten Ingenieuren vorbehalten sein.
• Erzwingen Ein / Erzwingen Aus — überschreibt den physischen Zustand eines Ausgangs; nur für Engineering-Zwecke.
• Zurücksetzen — setzt einen verriegelten Alarmzustand zurück; einschränken, wenn Bediener nur bestätigen, aber nicht zurücksetzen dürfen.
• Bestätigen — normalerweise für alle Bediener zugänglich.

Nachdem alle drei Spalten ausgefüllt wurden und die Benutzerliste sowie der Aktivierungsstatus überprüft wurden, klicken Sie auf Speichern. Die Regel wird sofort auf alle verbundenen Clients angewendet — ein Neustart ist nicht erforderlich.

Wenn ein Benutzer mehreren Gruppen angehört und diese Gruppen unterschiedliche Objektbeschränkungsregeln haben, entspricht der effektive Zugriff des Benutzers der Vereinigung aller Gruppenregeln. Ein Benutzer kann auf ein Objekt zugreifen, wenn ihm mindestens eine seiner Gruppen Zugriff darauf gewährt.

Dies bedeutet, dass Einschränkungen den Zugriff zwar reduzieren, mehrere Gruppenmitgliedschaften diesen jedoch wieder erweitern können. Wenn ein Benutzer strikt eingeschränkt werden soll, muss sichergestellt werden, dass er nicht zusätzlich Mitglied einer Gruppe mit weiter gefasstem Zugriff ist, die ihm sonst Sichtbarkeit auf eingeschränkte Objekte gewähren würde.

Bevor Objektbeschränkungsregeln erstellt werden, sollte die Zugriffsstruktur der Anlage geplant werden:

1. Identifizieren Sie die unterschiedlichen Benutzerrollen — zum Beispiel: Vollzugriffs-Ingenieur, Standort-Supervisor, Sicherheitsbediener, Mieter-Bediener.
2. Definieren Sie, was jede Rolle sehen darf (Datapoints nach Bereich oder System) und welche Befehle sie ausführen darf.
3. Erstellen Sie logische Container, die den Zugriffsgrenzen entsprechen, bevor Sie Einschränkungsregeln anlegen. Dies beschleunigt das Drag-and-Drop-Befüllen des Objekte-Tabs und hält die Konfiguration bei wachsendem System wartbar.
4. Ordnen Sie zu, welche Treatment-Typen jede Rolle sehen muss. Beachten Sie, dass Alarm-Kategorie-Treatments immer sichtbar sind und nicht eingeschränkt werden können.
5. Beachten Sie das Opt-in-Einschränkungsmodell: Das Hinzufügen eines Datapoints zu einer Regel entfernt ihn aus dem uneingeschränkten Zugriff. Halten Sie fest, welche Datapoints für alle Benutzer sichtbar bleiben sollen (keine Regel erforderlich) und welche rollenbasiert eingeschränkt werden müssen.
6. Nach dem Erstellen der Regeln sollte die Konfiguration getestet werden, indem man sich als eingeschränkter Benutzer anmeldet und überprüft, ob nur die vorgesehenen Datapoints, Treatments, Befehle und Kartensymbole sichtbar sind.

• Objektbeschränkungsregeln werden in der SIWENOID v2-Datenbank gespeichert und sind in Datenbank-Backups enthalten.
• Das Deaktivieren einer Regel (über den Aktivierungsschalter) setzt sie außer Kraft, ohne sie zu löschen. Dies ist während Wartungsfenstern oder bei Konfigurationsänderungen nützlich.
• Objektbeschränkungen beeinflussen nicht die serverseitige Protokollierung. Alle Ereignisse werden unabhängig davon, welche Benutzer sie im Client sehen können, vollständig in der Datenbank gespeichert.
• Wenn ein in einer Einschränkungsregel verwendeter logischer Container umstrukturiert oder umbenannt wird, muss überprüft werden, ob die Regel weiterhin die vorgesehenen Datapoints abdeckt.

Prev ← Systemeinstellungen und Engineering-Optionen Next → Lizenz-Upgrade