Invantive EstateDit hoofdstuk bevat informatie over de functies die nodig zijn om de rechten van gebruikers vast te leggen. Deze functies worden normaliter gebruikt door de persoon die binnen de organisatie is aangewezen om te zorgen dat de geleverde functionaliteit op de beste wijze past bij de wensen en behoeften van de gebruiker.
Invantive Estate is een applicatie waarin gegevens vastgelegd worden die niet publiekelijk toegankelijk mogen zijn. Om deze reden zal een gebruiker zich eerst moeten aanmelden via het scherm Opstarten en Aanmelden om inzage te krijgen. De controle dat een gebruiker degene is die hij pretendeert te zijn noemt men ‘authenticatie’.
Authenticatie
Authenticatie bestaat uit het valideren van de identiteit van de gebruiker van de applicatie. Een bekend voorbeeld is het pinnen bij een pinautomaat. Hiervoor heb je een stukje kennis (PIN-code) en een stukje bezit (PIN-pas) nodig. Een ander voorbeeld is het betreden van je eigen huis. Hiervoor is alleen een stukje bezit nodig (de huissleutel). Invantive Estate valt in de categorie van applicaties die (standaard) uitsluitend gebruik maken van kennis om de identiteit van de gebruiker vast te stellen. Middels een wachtwoord krijgt een gebruiker toegang tot de applicatie.
De authenticatie gegevens van een gebruiker kun je vastleggen met het scherm Personen.
Authenticatie via LDAP of Microsoft Active Directory
Het is mogelijk om de authenticatie te laten gebeuren tegen een LDAP directory of Microsoft Active Directory. Hiervoor is het noodzakelijk om instellingen te wijzigen in het bestand site.properties, zie Site.properties.
Autorisatie voor projecten
Binnen de applicatie bestaat een fijnkorrelige structuur om bepaalde gebruikers uitsluitend toegang te verlenen tot bepaalde projecten.
Een project bestaat binnen Invantive Estate uit een uitgebreide hoeveelheid gegevens, zoals budgetten, processen, bijstellingen, facturen, opdrachten en opbrengsten. De toegang tot alle gegevens gerelateerd aan een project is beveiligd. Om een gebruiker toegang te verlenen tot de gegevens van een bepaald project moeten expliciet rechten toegekend worden aan deze gebruiker (de zogenaamde UBAC, User Based Access). Dit kun je doen met het scherm Projectautorisaties. De rechten kunnen uitsluitend leestoegang maar ook schrijf- en leestoegang behelzen. Bovendien is het mogelijk om bepaalde gebruikers lees- en/of schrijftoegang te geven tot alle projecten. Dit zal normaliter gebeuren voor de applicatiebeheerder. Ook de persoon die nieuwe projecten opvoert zal normaal volledige toegang tot alle projecten krijgen om een kip-ei probleem te voorkomen (je kunt pas rechten uitdelen op een project als dat project bestaat).
Als een gebruiker geen rechten heeft op het toevoegen, wijzigen of verwijderen van gegevens in een scherm, dan verschijnen de knoppen ‘Toevoegen’, ‘Wijzigen’ en ‘Verwijderen’ niet in het scherm dat de gebruiker opent.
De rechten van een gebruiker op projecten leg je vast met de schermen Instellingen, Rollen, Gebruikersrollen en Projectautorisaties.
Autorisatie voor schermen, rapporten en documenten
Binnen de applicatie bestaat een fijnkorrelige structuur om bepaalde groepen van gebruikers uitsluitend toegang (rechten) te verlenen tot bepaalde onderdelen van de applicatie. Dit is de zogenaamde autorisatie structuur. De meeste rechten worden op basis van de rol die iemand vervult toegekend (de zogenaamde RBAC, Role Based Access). Het is mogelijk dat een gebruiker gelijktijdig meerdere rollen heeft. De totale rechten van de gebruiker bestaan dan uit een optelling van de rechten van alle rollen die toegekend zijn.
De rechten van een gebruiker op schermen, rapporten en documenten leg je vast met de schermen Rollen, Rolautorisaties en Gebruikersrollen.
Als je bijvoorbeeld de inhoud van documenten in het scherm Budgetten wilt zien, dan zal de functie ‘Toegang tot documenten bij Budget’ in Rolautorisaties aan jou dienen te zijn toegewezen.
Als je een document wilt wijzigen en uploaden dan moeten in het scherm Rolautorisaties ook wijzigingsrechten aan je worden toegewezen.
