In IDL.KONSIS.FORECAST gibt es die Möglichkeit, die Berechtigungen jedes einzelnen Benutzers mittels eines Berechtigungskonzepts einzugrenzen. Im Folgenden werden die hierzu benötigten Menüpunkte beschrieben. Die Pflege der hier erwähnten Daten gehört zur Systemadministration und sollte daher nur für Benutzer mit Administratorrechten zugelassen werden. Im von IDL.KONSIS.FORECAST ausgelieferten Standard haben nur die Benutzergruppen IDLADMIN und IDLSYS die erforderlichen Änderungsrechte.
In dieser Anwendung werden alle Benutzer gepflegt, die grundsätzlich mit IDL.KONSIS.FORECAST arbeiten dürfen. Voraussetzung ist, dass der Benutzer vorher als Benutzer für die IDL.KONSIS.FORECAST-Datenbank bzw. als Netzwerk-User vom Systemadministrator autorisiert wird.
Welche Funktionen ein Benutzer ausüben darf, wird durch die Zuordnung einer Benutzergruppe für die Menüberechtigung festgelegt.
Bei der Installation von IDL.KONSIS.FORECAST wird standardmäßig nur der Benutzer IDLADMIN definiert. Weitere Benutzer müssen kundenseitig definiert werden.
Dazu wechselt man in die Einzelsatzanwendung, die man
aufruft.
Änderungen bei einem bereits vorhandenen User können durch
vorgenommen werden.
Folgende Felder sind zu befüllen:
Für den Fall, dass die Authentifizierung nicht über das Betriebssystem (Windows, Active Directory) oder das Datenbanksystem erfolgt, sondern über die IDL.KONSIS-Datenbank (Einstellung im Konfigurationsprogramm des IDL.KONSIS.FORECAST Application Servers), zeigt die Anwendung Benutzer (USE) zusätzliche Eingabefelder. Diese sind in der Dokumentation "Internes Passwort" beschrieben.
Diese Übersicht zeigt in alphabetischer Folge alle Menüpunkte (Anwendungen), zu der eine Benutzergruppe autorisiert ist. Zu jedem Menüpunkt werden zusätzlich alle aktuell vergebenen Aktionsrechte angezeigt. Unterschieden werden hier die Aktionen Anzeigen, Ändern, Einfügen, Löschen und Kopieren.
IDL stellt hier mit der Liefer-Datenbank bzw. mit den Metadaten der Releases und Updates einige Standard-Benutzergruppen zur Verfügung, die den Benutzern zugeordnet werden können. Diese Benutzergruppen beginnen alle mit "IDL". Daher dürfen anwenderseitig keine Benutzergruppen angelegt werden, deren Schlüssel ebenfalls mit "IDL" beginnt. Folgende Benutzergruppen werden zur Verfügung gestellt:
Unabhängig von dem Eintrag der Benutzergruppe für Menürechte wird bei den verschiedenen Aktionen in IDL Konsis auch geprüft, ob diese Aktion auch gemäß der lizenzmäßigen Klassifizierung des Benutzers zugelassen ist. So ist es z.B. nicht möglich, einem als "KONSIS Light User" klassifizierten Benutzer durch Zuweisung der Benutzergruppe IDLKON Rechte für die Konsolidierung zu verschaffen.
Die Berechtigung 1 für die Aktion <Anzeigen> ist zumindest in den mit "IDL" beginnenden Benutzergruppen eine Pflichteingabe, da die Menüberechtigung mindestens das Anzeigerecht umfassen muss; in den kundenspezifischen Benutzergruppen mit Referenz auf eine "IDL"-Gruppe kann sie auch 0 sein. Die Angabe der Berechtigung für die weiteren Aktionen ist optional. In allen Berechtigungsattributen sind folgende Eingaben möglich:
Ob und worin sich die Sonderberechtigung von der normalen Berechtigung unterscheidet, ist anwendungsspezifisch definiert. Sonderberechtigung sollte nur in begründeten Ausnahmefällen nach Rücksprache mit Ihrem IDL Konsis-Berater oder der IDL-Hotline vergeben werden.
Durch <Kopieren> können markierte Zeilen auf geänderte Schlüssel kopiert werden. Hierbei sind folgende Fälle zu unterscheiden:
Bei der Angabe "L" im Selektionsfeld <KopierOpt> werden die Berechtigungen zum Ändern, Einfügen, Löschen und Kopieren nicht mitkopiert.
Menüberechtigungen für mit "IDL" beginnende Benutzergruppen werden von IDL gepflegt und jeweils bei Releasewechsel aktualisiert. Berechtigungen für kundenseitig (in der Anwendung BENDEF, s.u.) definierte Benutzergruppen sind kundenseitig zu pflegen. Neue Menü-IDs, die ggfs. zu berechtigen sind, werden in der jeweiligen Release-Dokumentation <Neu im Release . . .> angegeben. Die IDL-Berechtigungen können dabei als Vorlage dienen.
Da die Datenpflege in der Anwendung BENMEN unter Umständen sehr aufwändig sein kann, können individuell angelegte Benutzergruppen auf eine Standard-IDL-Benutzergruppe (z.B. IDLKON, IDLEA) referenzieren, wodurch sich der Pflegeaufwand deutlich vereinfacht. Diese Zuordnung ist beim Anlegen der Benutzergruppe in der Anwendung "Benutzergruppen" (BENDEF) zu treffen. Es dürfen nur Standard-IDL-Benutzergruppen (beginnend mit "IDL") zugeordnet werden. Durch diese Referenzierung werden zunächst sämtliche Menüberechtigungen der Referenzgruppe von der individuellen Berechtigungsgruppe übernommen. In der Anwendung BENMEN werden dann nur noch die Abweichungen gepflegt. Dies können sowohl zusätzliche Rechte als auch Einschränkungen sein. Zusätzliche Rechte sind dabei durch zusätzliche Menü-Berechtigungssätze mit Angabe der Berechtigungsstufe '1' oder '2' anzugeben. Zur Definition von Einschränkungen kann in den Menü-Berechtigungssätzen die Berechtigungsstufe '0' angegeben werden.
Die Pflege der Objektberechtigungen kann man in der Anwendung "Benutzergruppenberechtigungen" (BENDEF) vornehmen, die sowohl die Definition der Berechtigungsgruppen selbst als auch die Erteilung bzw. den Entzug von Rechten für die verschiedenen Stammobjekte aus einer Anwendung heraus ermöglicht.
Mit Klick auf das Stern-Symbol gelangt man in einen Assistenten (Wizard), um eine neue Benutzergruppe anzulegen.
In dem Wizard können auf den drei Seiten folgende Einstellungen vorgenommen werden:
Seite 'Bezeichnung':
Seite 'Eigenschaften':
Seite 'Mehrsprachige Bezeichnungen':
Die Authentifizierung über das Active Directory (ohne Eingabe von Namen und Passwort, "Single Sign-On") ist durch die Zulassung von Active Directory Gruppen erweitert worden. Die AD-Gruppen können mit Berechtigungsgruppen in IDL.KONSIS.FORECAST verknüpft werden, so dass eine Benutzerrechtesteuerung in IDL.KONSIS.FORECAST bereits im Active Directory erfolgen kann.
Diese Eingabe ist kundenindividuell, d.h. sie wird auch für die "IDL"-Benutzergruppen beim Releasewechsel nicht überschrieben. Es ist auf korrekte Verwendung von Klein- und Großbuchstaben zu achten.
In der Konfiguration des Application Servers kann je Datenbank-Alias separat festgelegt werden, ob die Prüfung gegen das Active Directory erfolgt. Wenn diese Prüfung aktiviert ist, ermittelt IDL.KONSIS.FORECAST bei der Anmeldung, welchen Gruppen der Benutzer im Active Directory angehört. Die dem Benutzer in IDL.KONSIS.FORECAST zugeordnete Benutzergruppe für Menü- bzw. Objektrechte muss dann auf eine der Active Directory Gruppen verweisen, der der Benutzer angehört. Ansonsten wird die Anmeldung verweigert. Das geschieht auch, wenn der Menüberechtigungsgruppe keine Active Directory Gruppe zugeordnet ist.
Zusätzlich besteht die Möglichkeit, einen neu im Active Directory angelegten Benutzer automatisch auch in IDL.KONSIS.FORECAST als Benutzer anlegen zu lassen. Voraussetzung dafür ist, dass in IDL.KONSIS.FORECAST in der Benutzertabelle (Anwendung USE) eine Benutzervorlage mit den gewünschten Standardangaben angelegt ist. Es werden Name und Vorname des Benutzers mit der User-ID vorbelegt.
Zur Kennzeichnung der Benutzervorlage wird die Benutzertabelle (USE) um ein Attribut "Template" erweitert. Der Eintrag von 'X' in diesem Attribut kennzeichnet einen Satz als Benutzervorlage, die selbst nicht für eine Anmeldung verwendet werden darf, sondern nur als Kopiervorlage dient. Es kann zwar mehrere Benutzervorlagen geben, aber jeweils immer nur eine, die einer bestimmten Active Directory Gruppe zugeordnet ist, damit die Ermittlung der zu verwendenden Benutzervorlage eindeutig ist. Bei erfolgreicher Ermittlung der Benutzervorlage wird diese als Kopiervorlage für den neu anzulegenden Benutzer verwendet. Dabei wird die IDL.KONSIS.FORECAST-User-ID aus der Active Directory User-ID abgeleitet. Ist bei Authentifizierung über den Active-Directory-Benutzer beim Anlegen eines neuen Benutzers beim Template-Benutzer keine "Benutzergruppe für Datenobjekte" angegeben, dann wird für alle AD-Gruppen des AD-Users nach genau einer Daten-Benutzergruppe in IDL.KONSIS gesucht, die diese AD-Gruppe als "Active Directory Gruppe" enthält. Wird keine solche IDL.KONSIS-Benutzergruppe gefunden, wird eine Fehlermeldung ausgegeben ("Daten-Benutzergruppe nicht gefunden"). Werden mehrere solche IDL.KONSIS-Benutzergruppen gefunden, wird ebenfalls eine Fehlermeldung ausgegeben ("Daten-Benutzergruppe nicht eindeutig").
Nach Auswahl einer Berechtigungsgruppe für Datenobjekte in der führenden Tabelle werden durch Doppelklick, rechten Mausklick und Klick auf das "Öffnen"-Icon Tabellen als Registerkarten je Objekttyp angezeigt, für die Berechtigungen erteilt werden können. Im Titel der Registerkarte wird jeweils die Anzahl der berechtigten Objekte angezeigt. Die führende Tabelle blendet sich automatisch aus, der Schlüssel der selektierten Berechtigungsgruppe wird in der Navigationsleiste angezeigt. Die Objekte, die berechtigt werden können, sind
Sofern IDL.FORECAST lizenziert ist, können außerdem
als Objekte berechtigt werden.
Eine weitere Registerkarte "Übersicht über alle Objektberechtigungen" fasst die berechtigten Objekte mit Ausnahme der Perioden und der IDL.FORECAST-Objekte zusammen und dient u.a. für den Export dieser Daten.
In den Tabellen je Objekttyp werden zunächst die jeweils berechtigten Objekte angezeigt und dahinter alle nicht berechtigten Objekte. Mithilfe des Kontextmenüs (rechte Maustaste) können folgende Aktionen zum Steuern der Berechtigungen ausgelöst werden:
Zum Bearbeiten einer Berechtigung dient das Stift-Symbol im Kontextmenü (rechte Maustaste). Der Wizard für die Vergabe von Berechtigungen besteht aus zwei Seiten. Auf der ersten Seite wird das ausgewählte Objekt angegeben, auf der zweiten Seite können für die Datenobjekte jeweils die Aktionen
durch Setzen von Haken Berechtigung erteilt oder durch Wegnahme des Hakens entzogen werden.
Sofern IDL.FORECAST lizenziert ist, gibt es für Szenarien Berechtigungen für die Aktionen
und für Regelvorlagen zusätzlich die Aktion
Eine Objektberechtigung zum Kopieren wird durch Prüfungen auf die Berechtigungen zum Anzeigen der Quellschlüssel und zum Einfügen der Zielschlüssel gewährleistet.
Der Export der einzelnen Bereiche erfolgt über den Exportbutton in der Menüleiste. Welcher Bereich exportiert werden soll, wird über den Export-Dialog bestimmt. Zur Verfügung stehen die Bereiche 'Benutzergruppe', 'Objekt-Berechtigung' und 'Perioden-Berechtigung'. Auf der rechten Seite des Export-Dialogs muss dafür die Auswahl des gewünschten Bereiches markiert werden. Selektionen in den Tabellen werden berücksichtigt. Sind nur in einer Tabelle Zeilen selektiert, werden auch nur diese exportiert. Tabellen ohne Selektion werden nur dann (komplett) exportiert, wenn keine Selektion vorliegt.
Die Navigation zwischen den Seiten des Wizards erfolgt über die Buttons <Weiter> und <Zurück> im Fußteil der Wizard-Seiten oder über das Seitenverzeichnis (Navigationsleiste), das jeweils auf der linken Seite angezeigt wird. Das Seitenverzeichnis visualisiert über ein Icon, ob die Eingaben auf einer Seite korrekt (grüner Haken) oder fehlerhaft (rotes Stoppschild) sind. Der Button <Fertig> ist auf jeder Seite enthalten. Er ist jedoch deaktiviert, solange der Datensatz inkonsistent oder unvollständig ist. Wenn der Satz korrekt ist, wird <Fertig> aktiv, unabhängig von der aktuellen Seite. Der Button <Weiter> ist nur dann aktiv, wenn die Angaben auf der jeweiligen Seite konsistent und fehlerfrei sind.
Ob bereits eine Berechtigung für ein Objekt vergeben wurde, erkennt man am Änderungs-Eintrag.
Die Rechte auf Regelvorlagen können auch auf die in der PLAN-Anwendung geführten Ordner angewandt werden. Diese Rechte werden auf die im Ordner befindlichen Unterordner und Regelvorlagen vererbt, wenn auf den unteren Ebenen nichts Gegenteiliges spezifiziert wird. Die vererbten Rechte können individuell abgeändert werden.
In den integrierten Anwendungen wie REPDEF, POP oder BENDEF beziehen sich die Berechtigungen zum Einfügen und Löschen nur auf das berechtigte Objekt selbst. Für das Einfügen und Löschen von hinterlegten Daten beim Objekt genügt eine Berechtigung zum Ändern. In den Anwendungen REPZEI, POS etc. beziehen sich die Berechtigungen zum Einfügen und Löschen auch auf zugeordnete Objekte (z.B. Reportzeilen einer Report-ID oder Positionen eines Positionsplans).
Damit die Objektberechtigungen für einen Benutzer auch wirksam werden, gibt es in der Anwendung VORADMIN (Vorbelegungen für Benutzer mit Berechtigungsschutz, siehe unten) pro User Berechtigungsschalter für alle Objekttypen. Sobald der Schalter auf '2' oder '3' steht, wird von der Anwendung geprüft, ob entsprechende Objektberechtigungen zur Bearbeitung vorliegen.
Zur Anzeige und Pflege der Datenberechtigungen der Benutzergruppen gibt es vorläufig auch noch die Anwendungen "Objekt-Berechtigungen" (BENOBJ) und "Periode-Berechtigungen" (BENABR) mit den zugehörigen Einzelsatzanwendungen. Diese Anwendungen werden grundsätzlich analog zur Anwendung "Menü-Berechtigungen" (BENMEN, s.o.) bedient.
Im Vergleich zur Anwendung BENDEF bieten BENOBJ und BENABR die Möglichkeit, Berechtigungen mehrerer Benutzergruppen gleichzeitig anzuzeigen und zwischen diesen zu kopieren.
Die Anwendung VORADMIN ergänzt die Erfassung neuer Benutzer, die nur dann mit IDL.KONSIS.FORECAST arbeiten können, wenn sie hier erfasst wurden.
Wie bereits oben erläutert, wird der Zugriff auf bestimmte Datenobjekte, die über eine Daten-Benutzergruppe in der Anwendung BENDEF hinterlegt sind, nur dann wirksam, wenn entsprechende Einstellungen in der Vorbelegung des jeweiligen Benutzers hinterlegt sind.
Relevant hierfür sind die zusätzlichen Parameterfelder für die Schlüsselfelder Konzern/Teilkonzern, Gesellschaft, Periode, Datenart, Positions- und Kontenplan sowie Report-ID.
Über die Aktionen <Daten neu anlegen> und <Daten bearbeiten> gelangt man in die Einzelsatzanwendung (VORADMINE). Dort gibt es folgende Eingabemöglichkeiten für einen Überschreibungs- und Berechtigungsschutz (in den dafür vorgesehenen Eingabefeldern hinter den vorbelegten Objekten):
| Schlüssel | Berechtigung |
|---|---|
| 0 für Konzern, Gesellschaft, Periode und Datenart | Nur Eingabe lt. VOR |
| 0 für Positionsplan, Konten-/Controllingplan und Report-ID | Keine Änderung erlaubt |
| 1 | Beliebige Eingaben und Änderungen erlaubt |
| 2 | Berechtigung lt. Anwendung BENDEF |
| 3 für Perioden | Wie 2 mit dem zusätzlichen Recht, einmalig neue Reports für abgeschlossene Perioden zu erstellen |
| 3 für Konten-/Controllingpläne | Wie 2 ohne das Recht, die Zuordnung zum Konzernkontenplan zu ändern |
| 3 für Gesellschaften | Wie 2, wobei in den Gesellschaftsstammdaten lediglich der Controllingplan geändert werden darf |
Wird die Überschreibungsoption auf "0" gesetzt, wird sichergestellt, dass in allen Anwendungen keine abweichende Eingabe zu den Eintragungen laut VOR möglich ist. Damit sollen irrtümliche Eingaben unter einem falschen Schlüsselbegriff während der laufenden Bearbeitung vermieden werden. Durch die Überschreibungsoption "1" wird dagegen ein Schnell-Navigieren mit wechselnden Schlüsseln ermöglicht.
Die Felder Konzernwährung und Parallelwährung können nur über die Anwendung VORADMIN eingestellt und geändert werden. Sie werden als Währungskennzeichen für neue Datenbestände herangezogen, wenn kein Konzern / Teilkonzern angegeben ist. Bei diesen Feldern sowie beim Konzern-Kontenplan erfolgt eine Prüfung gegen die Eintragungen in dem oben angegebenen Konzern / Teilkonzern.
Die weiteren Eingabefelder können auch in der Anwendung "Vorbelegung je Benutzer (VOR)" von jedem Benutzer selbst verwaltet werden.
Wenn in einer Anwendung zur Pflege der Vorbelegung (VOR,VORADMIN) die Benutzersprache geändert wird, erfolgt automatisch eine Anpassung in der Tabelle "Benutzer" (USE).
Nach der erstmaligen Installation von IDL.KONSIS.FORECAST sind in der Tabelle VOR bzw. VORADMIN noch keine Einträge vorhanden, so dass viele IDL Konsis-Anwendungen aufgrund fehlender Berechtigungsangaben nicht gestartet werden können. Der erste Vorbelegungssatz setzt allerdings voraus, dass es bereits erste Stammdaten (z.B. Gesellschaft, Periode, Datenart) zum Eintrag in die Vorbelegung gibt. Die Einrichtung dieser Stammdaten ist aufgrund verschiedener Abhängigkeiten kompliziert.
Zur Vereinfachung dieses Prozesses dient die Anwendung "Daten für erste Vorbelegung" (VORINITE). Diese Anwendung wird alternativ zur regulären Einzelsatzanwendung (VORADMINE) gestartet, wenn man aus der Übersicht VORADMIN in die zugehörige Einzelsatzanwendung wechseln möchte und noch keinerlei Einträge in dieser Tabelle vorliegen.
Die in VORINITE angezeigte Maske enthält Eingabefelder für alle für eine erste Vorbelegung benötigten Stammdaten. In vielen Fällen sind diese Felder bereits mit einem Vorschlag vorbelegt (z.B. Konzern = 'WELT', Gesellschaft = '001'). Diese können je nach Bedarf so beibehalten oder geändert werden. Auch ein späteres Löschen dieser Stammdaten, nachdem die echten Daten eingepflegt wurden, ist möglich.
Durch den Knopf <Einfügen> werden die so definierten Stammdaten angelegt sowie ein Vorbelegungssatz für den angemeldeten Benutzer, so dass in der Folge alle Anwendungen von IDL Konsis problemlos gestartet werden können.
Das Modul 'Änderungsprotokollierung' ist ein kostenpflichtiges Zusatzmodul, welches Sie auf Anfrage gerne beziehen können.
Zur Dokumentation und Analyse von Änderungen in den in dieser Dokumentation beschriebenen Daten gibt es für folgende Tabellen die jeweilige Übersichtsfunktion:
Diese Übersichten zeigen die Protokollsätze an, ermöglichen eine Selektion nach den wesentlichen Attributen (ähnlich der jeweiligen Stammdatenübersicht) und zusätzlich Abfragen nach Art (Einfügen, Ändern, Löschen) und Zeitpunkt der Änderung. So können alle Änderungen ab einem bestimmten Zeitpunkt selektiert werden oder auch der Zustand der Originaltabelle zu einem bestimmten Zeitpunkt.
Zur Aktivierung der Protokollierung geben Sie in der Anwendung "Steuerung Stammdatenprotokollierung" (LOG) den jeweiligen Tabellennamen ein (bzw. wählen ihn aus der Drop-down-Liste aus) und wählen die Aktion "Stammdatenprotokollierung aktivieren". Durch diese Aktion wird der aktuelle Zustand der angegebenen Tabelle in die Protokolltabelle kopiert. Bei der Aktivierung sollten keine anderen Benutzer mit der Datenbank verbunden sein. Anschließend werden alle Änderungen an dieser Tabelle in der Protokolltabelle festgehalten.
Bei Änderung der Benutzersprache in der Anwendung VOR oder VORADMIN wird diese Änderung auch als Änderung in der Tabelle USE festgehalten, obwohl dort keine aktive Änderung eingegeben wurde.