fallstudie:modellierung_rollen_in_erbac
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende Überarbeitung | Nächste ÜberarbeitungBeide Seiten der Revision | ||
fallstudie:modellierung_rollen_in_erbac [2015/12/03 16:14] – hannes | fallstudie:modellierung_rollen_in_erbac [2015/12/10 11:16] – hannes | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
In diesem Abschnitt werden die theoretischen Kentnisse über [[erbac: | In diesem Abschnitt werden die theoretischen Kentnisse über [[erbac: | ||
- | + | Rolle werden | |
- | Dabei wird die Rolle anhand der Aufgaben definiert, die personellen Aufgabenträgern auf der Aufgabenträgerebene zugeordnet werden können.Die Modellierung der aufgabenbezogenen Rollen erfolgt früh, beim Entwurf der Zugriffskontrolle. Als Methodik für die Beschreibung | + | |
<<<<<<<< | <<<<<<<< | ||
Zeile 110: | Zeile 109: | ||
==== Aufgabentrennung in der Prüfungsverwaltung ==== | ==== Aufgabentrennung in der Prüfungsverwaltung ==== | ||
- | Im Prozess " | + | Im Prozess " |
Das 4-Augenprinzip ist zwischen der Rolle LM und der Rolle PA zu finden. Die Noten werden direkt von Prüfern eingetragen. Nach erfolgter Noteneingabe wird eine Mitteilung an das Prüfungsamt gesendet und im Prüfungsamt erfolgt die Freigabe und Verbuchung der Noten. In diesem Fall wird zwischen den Rollen LM und PA eine dynamische Aufgabentrennung modelliert: d.h. diese beiden Rollen dürfen nicht in derselben Sitzung aktiviert werden. Es muss zuerst die aktive Rolle verlassen werden, bevor die andere Rolle aktiviert werden kann. | Das 4-Augenprinzip ist zwischen der Rolle LM und der Rolle PA zu finden. Die Noten werden direkt von Prüfern eingetragen. Nach erfolgter Noteneingabe wird eine Mitteilung an das Prüfungsamt gesendet und im Prüfungsamt erfolgt die Freigabe und Verbuchung der Noten. In diesem Fall wird zwischen den Rollen LM und PA eine dynamische Aufgabentrennung modelliert: d.h. diese beiden Rollen dürfen nicht in derselben Sitzung aktiviert werden. Es muss zuerst die aktive Rolle verlassen werden, bevor die andere Rolle aktiviert werden kann. | ||
==== Rollenhierarchie im Prüfungsprozess ==== | ==== Rollenhierarchie im Prüfungsprozess ==== | ||
+ | |||
+ | Aus den im vorherigen Abschnitten ermittelten ROllen, kann eine Rollenhierachie gebildet werden. | ||
+ | |||
+ | <<< | ||
+ | |||
+ | Zu beachten ist bei der Bildung der Hierarchie, | ||
+ | von außen aufrufbare Funktion werden entsprechende Objekte, Operatoren und Zugriffsrechte im Zugriffskontrollsystem benötigt. | ||
+ | |||
+ | ==== Modellierung der Zugriffsrechte ==== | ||
+ | |||
+ | In diesem Abschnitt werden Aufgaben für die Zugriffskontrolle in Funktionen zerlegt, Zugriffsrechte mit Objekten und Operatoren ermittelt und den entsprechenden aufgabenbezogenen Rollen zugeordnet. Die Aufgabe Prüfung (lehrveranstaltungsgebunden) anmelden kann von drei Rollen ausgeführt werden: Studierenden, | ||
+ | die Anmeldung ebenfalls vornehmen. Sind vor der Anmeldung noch besondere Voraussetzungen von Seiten des Prüfungsamtes zu prüfen, erfolgt die Anmeldung im Prüfungsamt. Je nach Rolle sind unterschiedliche Prozessschritte notwendig, um alle Informationen zu erhalten und die Anmeldung durchführen zu können. Anschließend werden exemplarisch Zugriffsrechte pro Rolle beschrieben, | ||
+ | |||
+ | Für das Anmelden einer Prüfung in der Rolle Studierender sind u.a. folgende Zugriffsrechte erforderlich: | ||
+ | |||
+ | * Zugangsdaten eingeben und damit implizit Sitzung erzeugen | ||
+ | * Anwendung FN2STUD aufrufen | ||
+ | * Anmeldbare Module holen | ||
+ | * Modul auswählen | ||
+ | * Konkrete Teilprüfung auswählen | ||
+ | * Prüfungsangebot auswählen | ||
+ | * Ggf. Prüfer auswählen | ||
+ | * Prüfungsanmeldung schreiben | ||
+ | |||
+ | Für das Anmelden einer Prüfung in der Rolle LM sind u.a. folgende Zugriffsrechte notwendig: | ||
+ | |||
+ | * Zugangsdaten eingeben und damit implizit Sitzung erzeugen | ||
+ | * Anwendung FN2LM aufrufen | ||
+ | * Semesterliste holen, um das Semester für die Anmeldung auswählen zu können | ||
+ | * Lehrveranstaltung auswählen, in der die Prüfung erfolgen soll | ||
+ | * Prüfungsangebot holen | ||
+ | * konkrete Teilprüfung des Studierenden auswählen | ||
+ | * Prüfungsanmeldung schreiben | ||
+ | |||
+ | Für das Anmelden einer Prüfung in der Rolle PA sind u. a. folgende Zugriffsrechte notwendig: | ||
+ | |||
+ | * Zugangsdaten eingeben und damit implizit Sitzung erzeugen | ||
+ | * Anwendung FN2PA aufrufen | ||
+ | * Student suchen | ||
+ | * Studienverlauf holen, damit die Prüfung an der richtigen Stelle eingefügt werden kann | ||
+ | * Semesterliste holen, um das Semester für die Anmeldung auswählen zu können | ||
+ | * Teilprüfung auswählen | ||
+ | * Prüfungsangebot auswählen | ||
+ | * Prüfungsanmeldung schreiben | ||
+ | |||
+ | === virtuelle Rollen === | ||
+ | |||
+ | Aus der Liste der Zugriffsrechte ist ersichtlich, | ||
+ | |||
+ | === Objekt und Operator === | ||
+ | |||
+ | Zugriffsrechte werden aus Objekt und Operator gebildet. Aus den obigen Zugriffsrechten lassen sich folgende Objekte erkennen: Sitzung, Anwendung, Studierender, | ||
+ | |||
+ | <<< | ||
+ | |||
+ | Alle von außen aufrufbaren Objekte müssen für die Rechteprüfung modelliert werden. Das Zugriffskontrollmodell eRBAC ermöglicht diese anwendungsspezifisch zu modellieren. Objekte können dabei unterschiedliche Mengen an Information kapseln. Beispielhaft sind hier zu nennen: Teilprüfung, | ||
+ | die Kombination aus den Objekten mit den dazugehörigen Operatoren. Teilprüfung.setNote, | ||
+ | |||
+ | ==== Objekttypen und Personalisierung der Rollen ==== | ||
+ | |||
+ | Objekte vom Typ Anwendung sind die webbasierten Anwendungen für Lehrstühle (FN2LM), für Studierende (FN2STUD) oder für Prüfungsausschussvorsitzende (FN2PA). Die dazugehörigen Zugriffsrechte lauten. FN2LM.open, FN2STUD.open und FN2PA.open. Der Rolle LM ist genau ein Objekt des Typs Anwendung zugeordnet. Die Rolle LM ist zudem eine Rolle, die durch eine Organisationseinheit personalisiert werden muss, da von Mitarbeitern der Lehrstühle nur Prüfungen bearbeitet werden dürfen, für die diese zuständig sind. Nach der eventuellen automatischen Auswahl der webbasierten Anwendung FN2LM wird nun überprüft, | ||
+ | |||
+ | ==== Domänenbeschränkung ==== | ||
+ | |||
+ | Ein Prüfungsausschussvorsitzender darf nur Studienverläufe von Studierenden sehen, die in den jeweiligen Zuständigkeitsbereich fallen. Deshalb ist die Rolle PAVOR als parametrisierte Rolle umgesetzt. Für die Domänenbeschränkung existieren zwei mögliche Parameter: Studienfach und Fakultät. Diese werden der Rolle PAVOR zugeordnet. Wird einem Aufgabenträger die Rolle PAVOR zugeordnet, so muss nach der Subjektzuordnung für diesen Aufgabenträger, | ||
+ | beim Suchen von Studierenden, | ||
+ | |||
fallstudie/modellierung_rollen_in_erbac.txt · Zuletzt geändert: 2017/04/13 10:55 von 127.0.0.1