Release-Datum: 01.12.2016
Secure Data Space ist die frühere Bezeichnung von DRACOON, die bis zur Version 4.2 verwendet wurde. Mit Version 4.3 wurde Secure Data Space in DRACOON umbenannt.
Was ist neu?
Datenräume in beliebiger Tiefe
Ab sofort können Datenräume in beliebig viele Unterebenen verschachtelt werden, d.h. in jedem Datenraum lassen sich weitere untergeordnete Datenräume in beliebiger Hierarchietiefe anlegen. Somit lässt sich jede Unternehmensstruktur abbilden und mit entsprechenden Zugriffsrechten gezielt steuern.
Regelung bei verschlüsselten Datenräumen
Die oberste Ebene entscheidet über den Verschlüsselungsstatus aller untergeordneten Datenräume:
Erweiterte Benutzerrollen und Berechtigungen
Für das neue Benutzerrollen- und Berechtigungskonzept wurde die bisherige Rolle des Data Space Admins in mehrere einzelne Rollen aufgespalten. Die Rollen können an einen einzelnen oder unterschiedliche Benutzer sowie Gruppen vergeben werden. Dies ermöglicht nun eine noch feinere Zuordnung.
Initiale Einstellungen
Beim initialen Anlegen eines neuen Secure Data Space wird nach wie vor ein erster administrativer Benutzer erstellt. Dieser erhält standardmäßig alle globalen Rollen. Er kann weitere Benutzer oder Gruppen hinzufügen und ihnen Rollen zuweisen.
Individuelle Konfigurationsmöglichkeiten
Dank des neuen Konzeptes können individuelle Berechtigungskonfigurationen umgesetzt werden. Dadurch lassen sich auch komplexe Separation of Duties (SoD)-Szenarien umsetzen. Selbstverständlich kann auch weiterhin ein globaler Administrator alle Rollen innehaben.
Rollenübertragung
Rollen können nur durch existierende Rolleninhaber an andere Benutzer übertragen werden. Beispielsweise kann ein Log-Auditor weitere Benutzer nur zu Log-Auditoren ernennen oder ihnen diese Rolle entziehen. Auf diese Weise kann auch der initiale Administrator von einzelnen Funktionen ausgeschlossen werden, sobald es mindestens einen anderen Benutzer gibt, der diese Funktion übernimmt.
Konfiguration von Datenräumen
Um den Raum-Administrator von der Nutzung eines Raumes auszuschließen, werden alle Operationen, die direkt auf einem Raum möglich sind, in zwei Klassen unterteilt: Bearbeitung der Metadaten und Konfiguration.
- Bearbeitung der Metadaten: Umbenennung, Festlegung der Quota, Löschen des Raumes
- Konfiguration: Vergabe von Berechtigungen, Aktivierung des Papierkorbs, Festlegen der Vorhaltezeit der Dateien im Papierkorb, Aktivierung der Verschlüsselung
Die Bearbeitung der Metadaten ist jeweils dem administrativen Benutzer der übergeordneten Ebene möglich. Dies ist auf oberster Ebene der Benutzer mit der globalen Rolle Raummanager, auf jeder weiteren Ebene der Raum-Administrator des übergeordneten Datenraums.
Die Konfiguration ist stets dem lokalen Raum-Administrator vorbehalten.
Benutzer nur für untergeordnete Data Rooms berechtigen
Benutzer können auch nur zu untergeordneten Datenräumen hinzugefügt werden, ohne Zugriff auf die übergeordneten Datenräume zu erhalten. In diesem Fall können die übergeordneten Datenräume betreten werden, ohne dass Dateien, Ordner, etc. angezeigt werden. Der Benutzer kann so durch die übergeordneten Datenräume hindurchnavigieren.
Neue Berechtigungen
Neben der neuen Aufspaltung der Rollen wurden auch die Berechtigungen erweitert: Insgesamt gibt es nun neun verschiedene Rechte. Der Raum-Administrator eines Raumes erhält automatisch alle Berechtigungen.
Bei der Verteilung der neuen Berechtigungen muss Folgendes beachtet werden:
|
Vererbung
Wenn ein Raum unterhalb eines weiteren Raumes erzeugt wird, so werden standardmäßig die Berechtigungen des übergeordneten Raumes vererbt. Dies reduziert den Konfigurationsaufwand enorm.
Dennoch bleibt es möglich, zusätzliche Berechtigungen auf den untergeordneten Räumen zu erstellen oder die Vererbung zu unterbrechen. Alle Berechtigungen sowie ein Raum-Administrator müssen in diesem Fall neu definiert werden.
Berechtigungen von Benutzergruppen
Alle bisher beschriebenen Berechtigungen und die Vererbungsmechanismen können ebenso für Benutzergruppen angewendet werden. Erhält ein Benutzer an einer Stelle sowohl persönliche als auch Berechtigungen über eine Gruppenmitgliedschaft, wird die Vereinigungsmenge der Berechtigungen angewendet.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.