024: Recycling-Heroes - Restriction Types (Contact)

Einleitung

Beim letzten Mal hatten wir verschiedene Berechtigungsprüfungen in unsere Anwendung eingebaut, um die Daten und Aktionen einzuschränken. Zum Abschluss hatten wir über die IAM App das Objekt zugeordnet, um die Berechtigungen zu erhalten und damit zu arbeiten. Aktuell sind damit die Werte fest hinterlegt und wir können sie nicht in den Rollen anpassen. Daher werden wir in dieser Folge uns die Restriction Types anschauen und wie wir damit die Berechtigung dynamisch steuern können.

Objekte

Im ersten Schritt legen wir dazu neue Objekte an und beginnen dazu bei einem Restriction Field. Über das Kontextmenü können wir mit der Anlage beginnen und finden zwischen den Objekten den passenden Typen. Das Feld können wir genau so wie unser Authorization Field benennen und geben noch eine sprechende Beschreibung. Ist das Objekt angelegt, dann müssen wir nun unser Authorization Field zuordnen, da wir dieses später in den Berechtigungen pflegen wollen. Über den Content Assist können wir das Feld erhalten. Zum Abschluss können wir über den Button "Search Help" die verfügbaren Werte prüfen. Wenn wir die Checkbox aktivieren, könnten wir auch Ranges pflegen. Da wir aber nur drei Werte haben, ist das nicht nötig.

Nach dem Speichern können wir dann einen neuen Restriction Type anlegen. Dies können wir direkt über den Link im unteren Bereich machen, da wir damit den Wizard starten und zum Abschluss auch noch gleich das Feld dem neuen Objekt zuordnen. Vergeben wir nun einen Namen und eine Beschreibung und legen das neue Objekt an. Das Feld ist hier bereits zugeordnet, sodass wir nun unser Berechtigungsobjekt zuordnen können. Damit ist die Verbindung zur Pflege hergestellt. Zum Abschluss nicht vergessen über "Publish Locally" das Objekt zu publizieren.

Zuordnung

Damit wir nun den neuen Restriction Type verwenden können, müssen wir diesen unserem Business Catalog zuordnen. Dazu suchen wir im ersten Schritt nach dem Typen und fügen diesen der Position hinzu. Dann aktivieren wir die drei Checkboxen, um den Restiction Type für diese Methoden zu verwenden. Zum Abschluss speichern wir den Katalog und veröffentlichen den Katalog.

Zum Abschluss passen wir noch die Berechtigung in der IAM App an und entfernen dort den Kontakt Typen, da wir diesen über die Rolle pflegen wollen. Die verschiedenen Aktivitäten lassen wir erst einmal so stehen. Grundsätzlich sind die verschiedenen Aktivitäten den Aktionen wie Write oder Read zugeordnet und werden dann über die verschiedenen Einschränkungen aktiviert oder deaktiviert. Hier solltest du ebenfalls daran denken, die aktualisierte Berechtigung ins Launchpad zu publizieren.

Eingeschränkte Berechtigungen

Nachdem alle Objekte aktiviert, gespeichert und publiziert wurden, gehen wir in Launchpad und rufen die Anwendung "Maintain Business Roles" auf. Dort rufen wir die Rolle ZRH_ADMIN auf und gehen über "Edit" in den Pflegemodus. Über den Button "Maintain Restrictions" können wir die Pflege der Einzelberechtigungen starten. Aktuell sind die Berechtigungen auf Unrestricted eingestellt, was allen Berechtigungen entspricht. Daher stellen wir für Write und Read auf Restricted, womit die Pflege der Objekte aktiviert wird. Wir können nun den Kontakt Typ pflegen, wofür wir die Berechtigungen erhalten wollen. Für den Test stellen wir uns Write und Read für den Employee ein und nur Read für die Adresse. Zum Abschluss dann die Rolle speichern, damit die neuen Berechtigungen übernommen werden.

Gehen wir dann zurück ins Launchpad und in unseren Bereich, dann werden bereits auf der Kachel vier Datensätze angezeigt und wir öffnen die Anwendung. Dort sehen wir nun Mitarbeiter und Adressen, für die wir nun Berechtigungen haben. Gehen wir in einen Mitarbeiter, dann können wir den Datensatz weiterhin editieren, ein Löschen ist nicht möglich, da wir über die IAM App nicht die passenden Berechtigungen erhalten. Rufen wir nun eine Adresse auf, dann können wir diese nicht Editieren, ebenfalls funktioniert nicht die Anlage einer neuen Adresse.

Alle Berechtigungen

Gehen wir nun zurück zur Pflege der Rolle und stellen die Werte auf "Unrestricted", speichern die Rolle und gehen zurück in die Anwendung. Dabei können wir nun wieder alle Arten von Kontakte sehen und auch bearbeiten. Um nun als Admin alle Berechtigungen zu erhalten, passen wir die Berechtigungen in der IAM App an und aktivieren auch die Checkbox bei "Delete". Dann publizieren wir wieder die neuen Berechtigungen ins Launchpad. Nun können wir prüfen, ob wir nun auch wieder die Datensätze löschen können. Auf der Object Page sind nun alle Aktionen wieder verfügbar und wir haben somit alle Berechtigungen, die wir als Admin benötigen.

Zusammenfassung

Wir können nun also über die Rolle die Berechtigungen auf die Daten einschränken, um unserem Anwender nur die passenden Daten anzubieten. Ebenfalls können nur noch berechtigte Mitarbeiter die Daten bearbeiten und außer dem Admin niemand mehr die Datensätze aus dem System löschen.

Damit wären wir am Ende der Folge. Danke fürs Zuschauen und bis zum nächsten Mal.

YouTube
Video