Machtigingen (RBAC)
Rolgebaseerde toegangscontrole met entiteitskoppeling en hiërarchie-overerving
Hoe machtigingen werken
Elke rol in Anzen bevat een set machtigingen die bepalen wat leden van die rol kunnen doen. Machtigingen worden gedefinieerd per gebied van het platform - bijvoorbeeld tickets, beheersmaatregelen, configuratie-items of entiteiten - en voor elk gebied kunt u vier acties verlenen of weigeren: aanmaken, lezen, wijzigen en verwijderen.
Wanneer u een rol instelt, kiest u tot welke gebieden de rol toegang moet hebben en welke acties zijn toegestaan per gebied. Elk gebied of elke actie die niet expliciet is verleend, wordt standaard geweigerd. U kunt bijvoorbeeld een “Alleen-lezen Auditor”-rol aanmaken die leestoegang verleent tot tickets, beheersmaatregelen en bevindingen, maar het aanmaken, wijzigen of verwijderen niet toestaat.
Entiteitskoppeling
Elke rol heeft een optionele eigenaar-entiteit. Dit bepaalt waar de machtigingen van de rol van toepassing zijn:
- Organisatiebreed - als er geen entiteit is ingesteld, geldt de rol overal in de workspace.
- Entiteitgebonden - als er een entiteit is ingesteld, geldt de rol alleen binnen die entiteit en al haar onderliggende entiteiten.
Hiërarchie-overerving
Bij het controleren of een gebruiker mag handelen op een resource die tot een specifieke entiteit behoort, doorloopt Anzen de entiteitsboom van de doelentiteit naar de root. Als een van de rollen van de gebruiker is gekoppeld aan een voorouder in die keten, wordt de machtiging verleend.
Bijvoorbeeld: als een rol is gekoppeld aan “EU-kantoor” en een gebruiker probeert een ticket te bewerken dat behoort tot “EU Engineering” (een kind van “EU-kantoor”), slaagt de machtigingscontrole omdat “EU-kantoor” een voorouder is van “EU Engineering”.
Standaardrollen
Elke nieuwe workspace wordt geleverd met een Portaalgebruiker-rol die toegang geeft tot tickets (lezen, aanmaken, bewerken), bevindingen (lezen), beheersmaatregelen (lezen) en beheersmaatregeltesten (lezen, bewerken). Een Portaalgebruikers-groep draagt deze rol, en gebruikers die zichzelf registreren via het serviceportaal worden er automatisch aan toegevoegd. Beheerders kunnen deze rol aanpassen, gebruikers uit de groep verwijderen of extra rollen maken voor fijnmazige toegangscontrole.
Superadmin
Superadmingebruikers omzeilen alle machtigingscontroles volledig. Elke actie is toegestaan ongeacht rollen, groepen of entiteitskoppeling. De eerste gebruiker die wordt aangemaakt tijdens workspaceregistratie is automatisch superadmin. Extra superadmins kunnen worden aangewezen door bestaande superadmins.
Hulp nodig?
Als u het probleem niet zelf kunt oplossen, staat ons supportteam voor u klaar. Neem contact op met support.
Gebieden met machtigingscontrole
De volgende gebieden zijn onderworpen aan machtigingscontroles:
| Gebied | Beschrijving |
|---|---|
| Entiteiten | Organisatorische eenheden |
| Configuratie-items | Infrastructuurassets |
| Leveranciers | Hardware- en softwareleveranciers |
| Typen | Apparaatmodellen |
| Applicaties | Applicaties en capaciteiten |
| Bedrijfsprocessen | Bedrijfsworkflows |
| Tickets | Incidenten, problemen en wijzigingen |
| Beheersmaatregelen | Beveiligings- en compliancebeheersmaatregelen |
| Beheersmaatregeltests | Uitvoeringen van beheersmaatregeltests |
| Bevindingen | Risicobevindingen |
| Gebruikers | Gebruikersaccounts |
| Groepen | Gebruikersgroepen |
| Rollen | Machtigingensets |
| Auditlogs | Onveranderlijke activiteitentrail |
Speciale machtigingen
Sommige machtigingen gebruiken niet-CRUD-acties:
| Gebied | Actie | Bereik | Beschrijving |
|---|---|---|---|
| Beheer | access | Alleen globaal | Toegang tot de beheerinterface |
| Facturering | manage | Alleen globaal | Facturering, facturen en abonnementswijzigingen bekijken/beheren |
| Risicowaarde-inzicht | read | Globaal of entiteit | Financiële waarden op bedrijfsprocessen bekijken, RPO/RTO op applicaties, en totale financiële blootstelling in de business impact analysis op tickets en bevindingen |
Voorbeeld
Stel dat u een rol aanmaakt genaamd “EU IT Manager” met de volgende configuratie:
- Entiteitskoppeling: EU Engineering
- Machtigingen: volledige toegang tot tickets (aanmaken, lezen, wijzigen, verwijderen) en alleen-lezen toegang tot configuratie-items
Een gebruiker wiens groep deze rol draagt, kan tickets aanmaken, lezen, wijzigen en verwijderen binnen de entiteit EU Engineering en al haar onderliggende entiteiten. Ze kunnen ook configuratie-items bekijken in hetzelfde bereik. Ze kunnen geen assets wijzigen en hebben geen toegang tot resources in andere entiteiten (zoals US-kantoor), tenzij een andere rol dit verleent.