Die Kernfunktion ist dabei die Verwaltung von "Rollenmitgliedschaften".
Unter "Rolle" ist dabei eine in cardo verwaltete Gruppe zu verstehen. Deren Mitglieder können mit Hilfe dieser Anwendung bestimmt werden - mehr nicht. D.h. dieser Gruppe können in dieser Anwendung keine Rechte zugewiesen werden. Deswegen verwenden wir auch den Begriff "Rolle".
Zusätzlich kann diese Anwendung auch verwendet werden, um bei Nutzung eines ActiveDirectory zusätzliche AD-Mitglieder in die cardo-Benutzerverwaltung zu übernehmen. Bei Verwendung der anonymen Authentifizierung des IIS im cardo können auch frei neue Benutzerobjekte angelegt bzw. Kennwörter zurückgesetzt werden. Darüber hinaus können Benutzerobjekte gesperrt oder gelöscht werden.
Anwendungsverwaltung
Die Verwaltung dieser Anwendung dient v.a. dazu, sogenannte "Verwaltungs-Container" zu erstellen und zu konfigurieren sowie mit Berechtigungen zu versehen.
Es ist Aufgabe des Verwalters dieser Anwendung - in der Regel wird das ein cardo-Administrator sein - diese Container sinnvoll zu organisieren. Was das genau bedeutet, ist davon abhängig, wie Gruppen und Berechtigungen an Anwendungen oder Ebenen in der cardo-Instanz organisiert sind. Ggf. wird es auch nötig sein, neue cardo-Gruppen anzulegen oder Gruppen umzustrukturieren. Nur wenn die Verwaltungs-Container gut konfiguriert sind, kann diese Anwendung ihren Einsatzzweck erfüllen. Es wird empfohlen, nach Konfiguration eines Containers diesen selbst zu testen, um auszuschließen, dass zu viele (oder die falschen) Rollen oder Benutzerobjekte freigegeben werden.
Stammdaten
In den Einstellungen der Anwendungsverwaltung können beliebig viele Verwaltungs-Container erstellt werden.
Jeder Container hat einen frei vergebbaren Anzeigetitel. Die Einstellungen im Bereich "Neue Objekte" sind nur relevant, falls in dem Container die Benutzerverwaltung und speziell das Anlegen neuer Benutzerobjekte (aus dem AD oder frei) möglich sein soll. Es können dann verschiedene Eigenschaften für die neu erstellten Benutzerobjekte hinterlegt werden, die automatisch gesetzt werden. Falls Sie Filter für die zuordenbaren Rollenmitglieder eingestellt haben, ist darauf zu achten, dass die neu erstellten Benutzerobjekte tatsächlich auch diesen Filtern genügen! U.a. dafür kann es sinnvoll sein, neuen Benutzern automatisch bestimmte Tags oder Gruppenzugehörigkeiten zu geben.
Verwaltbare Rollen
Im Karteireiter "Verwaltbare Rollen" ist festzulegen, für welche Rollen in diesem Container Mitglieder zugewiesen werden können sollen. Da es sich bei den Rollen immer um verwaltbare cardo Gruppen handelt, ist die Grundmenge immer die Liste dieser Gruppen aus der cardo-Benutzerverwaltung (und nie ein anderer MemberProvider). Über die Filter kann die Liste der Gruppen eingeschränkt werden. Die Filtereinstellungen entstammen einem Standard-Formular - nicht alle sind im Kontext dieser Anwendung sinnvoll. Mindestens ein Filterkriterium muss angegeben werden.
Zuordenbare Rollen-Mitglieder
Der Karteireiter "Zuordenbare Rollen-Mitglieder" bestimmt die Benutzerobjekte, die den Rollen zugewiesen werden können. Sind den Rollen-Gruppen über die normale cardo-Benutzerverwaltung bereits andere Benutzerobjekte zugewiesen, so kann deren Zuordnung über diesen Container nicht verändert werden. Grundlage der Liste bildet ein Member-Provider. Wird kein Member-Provider angegeben, dann wird der Standard-Member-Provider vom cardo verwendet. Über den optionalen Filter kann die Liste der Benutzerobjekte ausgedünnt werden. Die Benutzerobjekte dieser Liste sind in der Anwendung dann auch verwaltbar. D.h. abhängig von den Berechtigungen am Container können Benutzer ergänzt, gelöscht oder gesperrt werden. Auch das Zurücksetzen des Kennwortes kann erlaubt werden.
Vergabe der Berechtigungen
Für jeden Verwaltungs-Container kann dann im Karteireiter "Berechtigungen" der Anwendungsverwaltung die Freigabe erfolgen.
Jedem Anwendungsnutzer werden dort bestimmte Rechte an den einzelnen Verwaltungs-Containern eingeräumt. Zusätzlich benötigen diese Benutzer das Recht zum Starten der Anwendung "Verwaltung Rollen und Benutzer", welches Sie über Zugriffsrollen einstellen können.
Um einen Verwaltungs-Container verwenden zu können, muss mindestens das Recht "Container verwenden" gesetzt sein. Damit ist auch implizit der Administration der Rollenmitgliedschaften freigegeben.
Die Berechtigungen zur Benutzerverwaltung können zusätzlich vergeben werden. Deren tatsächliche Verfügbarkeit ist aber auch abhängig von den Container-Einstellungen. Bspw. kann man für einen Verwaltungscontainer, dessen Einträge nicht auf einem AD basieren, auch keine fehlenden AD-Einträge hinzufügen. Bzw. bei Containern, die auf einem AD basieren, ist das freie Erstellen von neuen Benutzern nicht möglich.