wir haben eine dedizierte Berechtigungsgruppe für Bearbeiter angelegt, die so wenige administrative Rechte haben soll wie möglich. Die Rolle soll auch das Recht erhalten neue Tenants anzulegen und auf diese für die eigene Bearbeitergruppe zu berechtigen. Nach Prüfung reicht das Recht “Edit Tenant Rules” nicht aus um diese Aufgabe zu erfüllen. Siehe Felhermeldung:
Nach Prüfung werden die folgenden Rechte benötigt um bei der Anlage eine Rechtezuordnung zu ermöglichen:
Access / Master rule access / Status → Allow
General / Application Package Center Rules / Edit → Allow
General / Groups / Read & Write → Allow
General / Tenant Rules / Edit → Allow
Durch die Vergabe der Rechte kann die Bearbeiter-Gruppe aber auch eine Rechte-Elevation auf nicht gewünschte Bereiche wie z.B. Datenbank-Rechte oder die Benutzerverwaltung durchführen.
Gibt es eine Möglichkeit der Gruppe das Recht zu erteilen Tenants anzulegen und auf Tenants zu berechtigen ohne, dass sie sich selbst in anderen Bereichen mehr Rechte erteilen kann?
Hallo @SthoffIT,
das von dir beschriebene Szenario erfordert in der Tat zwingend einen Account mit Master Rule Access, was natürlich volle Kontrolle über den gesamten Server ermöglicht. Ich verstehe die Anfrage so:
Es fehlt ein Recht, dass es erlaubt beim initialen erstellen eines Tenants die darauf berechtigten Gruppen festlegen zu dürfen, ohne gleich die Master Access Rule dafür zu benötigen.
Oder:
Das Recht Gruppen auf Tenants zu berechtigen, sollte nicht nur von der Berechtigung Gruppen zu editieren abhängen sondern auch noch auf eine andere Weise erteilt werden können.
Wenn ich das so richtig verstanden habe, oder auch in korrigierter Form gern so als Feature Request an neosupport@neo42.de einreichen, dann werden wir uns das nochmal genauer anschauen.
Danke für die Rückmeldung. Theoretisch funktionieren beide Optionen für mich. Also “ja” auf die “Oder”-Frage.
Generell war erst mal die Frage, ob die Berechtigungen so benötigt werden oder ob ich etwas übersehen habe. Das passt und wurde bestätigt.
Dann würde ich entsprechend einen Feature Request für die Berechtigungen stellen, die wir granularer brauchen, inklusive dem Verweis auf den 2. Post zur Pipeline Berechtigung.
