Zum Hauptinhalt springen
Version: Classic

Profil-Onboarding bei Berechtigungsverlust

Überblick

Mit dem Feature “Profil-Onboarding bei Berechtigungsverlust” kann sichergestellt werden, dass Profile von Benutzern nur Organisationseinheiten zugewiesen haben, für welche der jeweilige Benutzer eine Berechtigung hat.

Falls ein Benutzer die Berechtigung für eine oder mehrere Organisationseinheiten verliert, wird für die betroffenen Profile der Onboarding-Prozess erneut ausgeführt um die Zuweisung zu korrigieren oder zu entfernen, falls keine passende Organisationseinheit als Ersatz gefunden werden konnte.

Funktionsweise

Der ProfileToOrganizationLinkValidator hat drei verschiedene Modi, die im Dashboard unter Settings -> General Settings -> ProfileOrganizationUnitValidationMode eingestellt werden können. Im Modus No Check wird keine Prüfung durchgeführt.

Organisationseinheit vorschlagen

Im Modus Propose new Org Id werden für alle Profile die Berechtigungen für ihre zugewiesene Organisationseinheit überprüft. Falls der Job zuvor bereits einmal ausgeführt wurde, werden zuerst die bereits bestehenden vorgeschlagenen Organisationseinheiten von den Profilen entfernt, da es sein kann, dass ein Benutzer in der Zwischenzeit seine Berechtigung zurückerhalten hat.

Für diejenigen Profile, die die Berechtigung auf die zugewiesene Organisationseinheit verloren haben, wird das Profil-Onboarding erneut ausgeführt und eine Ersatz-Organisationseinheit ermittelt. Diese wird dem Profil als Vorschlag hinzugefügt. Falls keine gefunden werden kann, wird das ebenfalls so hinterlegt.

Die vorgeschlagenen Organisationseinheiten für einen Benutzer können im User Editor im Dashboard (unter Security -> More -> editor) eingesehen werden.

Organisationseinheit zuweisen

Der Modus Apply new Org Id funktioniert analog zu Propose new Org Id mit dem Unterschied, dass die ermittelten Organisationseinheiten, den betroffenen Profilen direkt zugewiesen wird, ohne vorher einen Vorschlag zu machen.

Diese Option sollte vorsichtig und erst nach Prüfung mit Propose new Org Id verwendet werden.

Jobhost

Analog dem UserSync kann beim ProfileToOrganizationLinkValidator eine DataSourceId angegeben werden - ist diese nicht angegeben, wird der OrgSync auf allen Datenbanken ausgeführt. Ohne angegebene DataSourceId ergibt sich der minimale Aufruf ...\primedocs.JobHost.exe ProfileToOrganizationLinkValidator

Parameter

ShortLongRequiredDefaultBeschreibung
-d--DataSourceIdfalsenullGUID der Zieldatenbank auf dem Server. Wenn weggelassen wird der OrgSync auf allen konfgurierten Datenbanken ausgeführt.

Einschränkungen

Es gibt im Dashboard keine Ansicht, um alle Profile und ihre vorgeschlagenen Organisationseinheiten darzustellen und die Änderungen anzuwenden.

Die vorgeschlagenen Organisationseinheiten können veraltet werden, wenn sich nach einer Ausführung des Jobs etwas an den Berechtigungen des Benutzers oder an den den Profilen zugewiesenen Organisationseinheiten ändert.