Hallo,
ich bin gerade dabei in einer Entwicklungsplattform die Benutzerverwaltung mit Rollen und Rechten neu zu designen. Dabei möchte ich das Rad nicht neu erfinden.
Eines meiner Ziele ist es diese Benutzerverwaltung in Anwendungen größerer Firmen (hier Banken) zu verwenden. (v.A. dort möchte ich vorab alle Regeln einhalten und keine Folgekosten verursachen.)
Gibt es eine allgemeine Defnition, wie eine Benutzerverwaltung auszusehen hat?
Existieren Standard-Vorgaben (z.B. in einer ISO-Norm)?
Vielen Dank
Martin
Gibt es eine allgemeine Defnition, wie eine Benutzerverwaltung
auszusehen hat?
Existieren Standard-Vorgaben (z.B. in einer ISO-Norm)?
Wieso nutzt du nicht einfach LDAP zur Benutzerverwaltung?
Leider scheint die Frage nicht / nur schwer zu beantworten.
Daher möchte ich etwas vereinfachen:
Gibt es eine „gute“ Lösung einer „namhaften“ Software Anwendung, die ich für mein Projekt als Standard definieren kann??
Danke
Martin
Soweit ich LDAP verstehe ist hier ein Standard für die technische Umsetzung. (Eine hierarchische Baumstrukur.)
Das wäre eine mögliche Umsetzungsalternative die ich so an den Programmierer weitergeben kann. Für den Anwender werde ich das in einer anderen Form aufbereiten.
Für mich gilt aber zusätzlich, dass ich nicht nur Verzeichnisse / Dateien steuern muss. Ich muss jedes Eingabefeld mit verschiedenen Rechten versehen. Dazu könnte (evtl.) diese Lösung zu schwer zu handhaben sein.
Gibt es eine allgemeine Defnition, wie eine Benutzerverwaltung
auszusehen hat?
Existieren Standard-Vorgaben (z.B. in einer ISO-Norm)?
Wieso nutzt du nicht einfach LDAP zur Benutzerverwaltung?
Soweit ich LDAP verstehe ist hier ein Standard für die
technische Umsetzung. (Eine hierarchische Baumstrukur.)
Richtig. Es gibt verschiedene fertige Implementierungen hierfür, die du in fast allen Programmiersprachen sehr einfach einbinden kannst.
Für mich gilt aber zusätzlich, dass ich nicht nur
Verzeichnisse / Dateien steuern muss. Ich muss jedes
Eingabefeld mit verschiedenen Rechten versehen. Dazu könnte
(evtl.) diese Lösung zu schwer zu handhaben sein.
Das ist kein Problem der Benutzerverwaltung, sondern der Rechtevergabe deines GUI-Programmes. Das sind ja wieder zwei verschiedene Paar Stiefel. LDAP hat doch mit deiner Benutzeroberfläche überhaupt nichts zu tun. LDAP ist ein Konzept, wie man Benutzer-Daten abspeichert und wieder abrufen kann. Wie du die Daten auf deiner Oberfläche eingibst, ist doch vollkommen egal. Da kannst du natürlich auch den Zugriff auf einzelne Felder auf verschiedene Benutzergruppen einschränken.
Dankeschön. So, oder in der Art wird der technische Hintergrund laufen. Die geistige Leistung, die jetzt noch folgen sollte ist es die technischen Aspekte in ein einfaches Frontend einzubinden.
Jedes Eingabefeld könnte jetzt ein Blatt in der LDAP-Struktur werden (und die entsprechenden Rechte aus der Benutzerverwaltung verwenden).
Ich werde vorerst noch einige Tage benötigen um das alles sauber zu verarbeiten und grafisch aufzubereiten.
Danke und Grüße
Martin
Für mich gilt aber zusätzlich, dass ich nicht nur
Verzeichnisse / Dateien steuern muss. Ich muss jedes
Eingabefeld mit verschiedenen Rechten versehen. Dazu könnte
(evtl.) diese Lösung zu schwer zu handhaben sein.
Das ist kein Problem der Benutzerverwaltung, sondern der
Rechtevergabe deines GUI-Programmes. Das sind ja wieder zwei
verschiedene Paar Stiefel. LDAP hat doch mit deiner
Benutzeroberfläche überhaupt nichts zu tun. LDAP ist ein
Konzept, wie man Benutzer-Daten abspeichert und wieder abrufen
kann. Wie du die Daten auf deiner Oberfläche eingibst, ist
doch vollkommen egal. Da kannst du natürlich auch den Zugriff
auf einzelne Felder auf verschiedene Benutzergruppen
einschränken.
Salü Martin
Entschuldige bitte aber mit folgender Idee
Jedes Eingabefeld könnte jetzt ein Blatt in der LDAP-Struktur
werden (und die entsprechenden Rechte aus der
Benutzerverwaltung verwenden).
vermischt Du zwei technologie Aspekte, die nicht viel miteinander zu tun haben. Ich erklär Dir mal, wie wir (grosse Firma, mit grosser Entwicklungsabteilung) solche Probleme lösen:
Im LDAP werden applikationsspezifische Gruppen erfasst. Z.B. MeineSoftwareAdmins, MeineSoftwareSachbearbeiter usw. Dann werden die Benutzer, die die Applikation als Admin, Sachbearbeiter oder ähnliches benutzen, den jeweiligen LDAP Gruppen zugeordnet.
Dann wird in der Applikation die LDAP Gruppe abgefragt. Und dann entscheidet das GUI der Applikation (und zwar nur dieses, denn da gehört die Info auch hin), welche Benutzer welche Eingabefelder sehen dürfen und welche nicht.
Meiner Meinung nach spricht nicht nur eine saubere Architektur für diese oder eine ähnliche Lösung, ausserdem möchte ich nicht bei jedem GUI für jeden User x-mal das LDAP abfragen. Dies kann zu enormen Performanceeinbussen führen.
Grüsse
Andrea
Hallo Andrea,
ich vermute, dass ich hier sogar noch etwas klarer trennen werde.
Der aktuelle Denkansatz zielt in die Richtung eine LDAP ähnliche Struktur selbst zu entwicklen.
Auf dieser Struktur setzt sich dann, innerhalb der Applikation, ein Permissioning System auf. Ob es dazu noch eine Verbindung zu einem allgemeinen System geben wird ist noch nicht geklärt.
Gruß
Martin