„Versteckte“ Rechte der SCSM-Rollen

In einer aktuellen Aufgabenstellung bei einem Kunden wurde das SCSM-Datenmodell für bestimmte Service Requests um neue Klassen und Relationen erweitert. Basierend darauf wurden Request Angebote erstellt, die über das Cireson Portal für Endbenutzer angeboten werden sollen.

Das Problem: Ein Endbenutzer, der nur in den Endbenutzer-Rollen eingetragen ist, die ihm Zugriff auf die Request Angebote gewähren, konnte keinen Service Request über das Portal erstellen, da dieses versucht die Requests im Kontext des angemeldeten Benutzers zu speichern. Es gab stattdessen einen Berechtigungsfehler und der Request wurde nicht gespeichert.

Ursache: Die neu eingeführten Relationen für Service Requests auf ebenfalls neu eingeführte Konfigurationselemente sind den eingebauten SCSM-Endbenutzer-Rollen nicht bekannt. Nur Mitglieder der Rollen „Administratoren“ und „Erweiterte Operatoren“ waren demnach in der Lage Service Requests, basierend auf den Datenmodell-Erweiterungen, zu erstellen, da diese Rollen automatisch Zugriff auf alle Relationen und Klassen haben, ohne dass sie explizit aufgeführt sein müssten.

Speziell die Berechtigung auf Relationen lässt sich jedoch leider in den Rollen-Formularen des SCSM nicht konfigurieren: Diese sind nur implizit und damit „versteckt“ im Hintergrund einer jeden Rolle enthalten. Außer „Administratoren“ und „Erweiterte Operatoren“ haben alle anderen Rollen nur eine eingeschränkte Berechtigung für ganz bestimmte Relationen, die mit dem spezifischen Anwendungsfall der jeweiligen Rolle zusammenhängen. Neu ergänzte Relationen sind diesen eingeschränkten Rollen damit von Haus aus nicht bekannt.

Lösung: Mit Hilfe eines Workarounds können Endbenutzer trotzdem auf alle Relationen berechtigt werden. Dazu legt man eine neue Rolle basierend auf „Erweiterte Operatoren“ an, die bzgl. der Relationen keine Einschränkungen kennt. Im Formular zur neuen Rolle müssen dann alle wählbaren expliziten Berechtigungen entfernt werden, damit nicht Endbenutzer plötzlich zu Universal-Analysten mit vollen Zugriffsrechten werden! Damit verbleiben nur die „versteckten“ impliziten Rechte der Rolle übrig. Mitglieder der Rolle können „Authentifizierte Benutzer“ sein, also alle Benutzer, die sich am Portal anmelden können.

Die anderen Rechte der Endbenutzer, z.B. auf Katalogobjekte und Request Angebote, ergänzen sich dann im additiven Rechte-Modell von SCSM aufgrund der Mitgliedschaft der Benutzer in weiteren SCSM-Rollen, wie gehabt.

Die Lösung hat den Nachteil aus Sicherheitssicht nicht ganz 100% „wasserdicht“ zu sein: Es werden über die Grundlage „Erweiterte Operatoren“ prinzipiell auch Schreib-/Leserechte auf alle Arbeitsaufgaben und Konfigurationselemente erteilt, die allerdings aufgrund mangelnder expliziter Berechtigungen der Rolle faktisch nicht ausgeübt werden können.

Will man diesen Nachteil umgehen, müssten stattdessen mittels Powershell die Berechtigungen auf die Datenmodell-Erweiterungen den einzelnen Rollen bzw. deren zugeordneten Rollen-Profilen bekannt gegeben werden, so dass sie Bestandteil des impliziten Scopes der Profile werden. Das ist jedoch eine andere Geschichte …

Eine Beschreibung der SCSM-Rollen findet sich übrigens hier:
https://docs.microsoft.com/de-de/system-center/scsm/user-role-profiles?view=sc-sm-2016

Tags

Starten Sie jetzt Ihren Weg zu Azure!

Los geht's

top