Und wie hast Du das umgesetzt? Damit ich wenigsten eine Idee habe wie es gehen könnte.

Was genau verstehst du denn an obiger Skizze nicht? Oder anders gefragt: Was erwartest du jetzt? Quellcode?

Such mal nach RBAC (Role Based Access Control). Im Gegensatz zu anderen gängigen Programmiersprachen/Frameworks (siehe z.B. C sharp RBAC oder RBAC node.js) sind mir für Delphi keine Beispiel-Implementierungen bekannt.

Ich habe es bei mir ähnlich wie Perlsau: Es gibt Benutzer und die gehören einer Gruppe an. Eine Gruppe hat einen numerischen Wert (zwischen 0 und 100) der ausdrückt, wieviel sie dürfen. Manche Dinge gehen ab einem Rechtewert von 30, andere ab 70.

Für komplexere Dinge hat mir schlicht die Zeit gefehlt. Der Ansatz hat auf jeden Fall den Schwachpunkt den ein schlauer Mann hier bestens auf den Punkt gebracht hat:
Das entsprechende Thema aus dem das Zitat stammt ist vielleicht auch noch eine Lektüre wert.

Man könnte z.B. ein Byte mit den Benutzerrechten mitschleppen und mit entsprechender Maskierung das Rechtelevel feststellen.

Gruß
K-H

Ich speichere mir die Benutzerrechte eines Benutzers als Integer-Wert in der Datenbank. Der Wert wird dann beim Anmelden wieder in seine binären Bestandteile zerlegt. Die Zerlegung erfolgt mit Bitverschiebung. Wenn das niederwertigste Bit eine 1 ist, dann wird das entsprechende Recht hinzugefügt, ist es 0 dann eben nicht. Die möglichen Rechte sind in einem bzw. mehreren Type(s) hinterlegt. Die Rechte, die der Benutzer nach der Anmeldung bekommt, sind in einem Set of Permissions abgelegt.

Bei Bedarf kann ich auch gerne mal ein wenig Quellcode posten, der diese Vorgehensweise deutlich macht. Ob es der beste Weg ist weiß ich nicht, aber er hat sich bei mir auf jeden Fall bewährt. So hab ich z.B. auch die Möglichkeit, jedem Benutzer individuell alle möglichen Kombinationen von Rechten zu geben.

Delphi liefert da glaub ich wenig systematische Ansätze. Am ehesten sind vielleicht die schon erwähnten Actionlists oder auch die Form (als Maske) zu nennen.
Letztlich dreht sich alles um die Funktionen, die Deine Anwendung bereitstellt.
Die Funktionen kannst Du beliebig mit Berechtigungsverfahren kreuzen.
Funktion gegen Benutzergruppe oder -Level
Funktion gegen Skill
usw. usf.
Dabei kann man ein Verfahren wählen wie hier bereits genannt, man kann sich an SQL orientieren (Select, Execute, Insert, Update, Delete) bis hin zu dem Recht, Rechte zu vergeben.
Man kann diese Rechte auf Objekt oder bis hin zu Attributen oder Volumen ausdehnen, anhand einer Mandantendimension aufteilen und man kann auch Sichheits- oder Datenschutzaspekte berücksichtigen (was schon sehr professionell ist)
Man kann in Berechtigungsverwaltung auch Object Lifecycles einbinden, womit das Recht zur Ausführung nicht mehr nur am Benutzerrecht hängt, sondern auch am Zustand des Objekts.

Am Ende muss man noch berücksichtigen, dass all das auch zu verwalten ist (neben dem Coding) und man muss einen Mittelweg zwischen Aufwand und Nutzen finden.

Wir haben mal ein solches System entwickelt und der Kunde hat irgendwann gefragt, ob man nicht die Mandantenebene weglassen kann und eine Rechtedefinition je Benutzer für alle Mandanten gilt. Es war ihm zuviel Aufwand.

Wichtig für das Handling ist es auf jeden Fall eine Trennung zwischen Personen und Rollen zu ermöglichen. Die Rollen sind Gruppen, denen Personen oder Gruppen angehören können und die Rechte von den Rollen mitbekommen.

Ziel muss es sein, dass die Berechtigungs-Struktur damit abgebildet werden kann. Da gibt es dann Abteilungsleiter, Sachbearbeiter, Chefs, Technische Leiter, ... die alle mehr oder weniger können dürfen oder sollen. Die einzelnen Personen können dann der ein oder anderen Rolle zugewiesen werden oder wieder entfernt werden.

Trifft allerdings die Realität auf die Theorie, dann wird alles ganz schön blass. (siehe XP wo alle Administratoren sind). Ein so fein gestaltetes System mit Berechtigungen bis runter auf die einzelnen Objekte wird in den meisten Fällen eingestellt nach dem Weg des geringsten Widerstandes.

Hallo,

die Art und Weise wie man eine Benutzerrechteverwaltung (mit Delphi) realisiert ist die technische Seite. Leider wird dabei - wie viel zu oft auch in anderen Bereichen ersichtlich - von den Entwicklern die Praxistauglichkeit nur unzureichend berücksichtigt.

Ich empfehle daher jedem Programmierer, das was er kocht auch selber zu essen. Sprich, die Benutzerrechteverwaltung auch auf seinem Entwickler-PC zu aktivieren. Spätestens wenn der Programmierer sich in zweistelliger Anzahl von Login's an seiner eigenen Software angemeldet hat, müsste das nachfolgend angesprochene Potential zur Optimierung bzw. Verbesserung ersichtlich werden.

In meiner Benutzerverwaltung gibt es die Option (d.h. es ist Sache des Admin's das pro Benutzer zu aktivieren), einen Benutzer mit einem PC zu verknüpfen. Zusätzlich besteht bei dieser Option die Möglichkeit der automatischen Anmeldung. D.h. der Admin kann beispielsweise festlegen, wenn "Lieschen Müller" am PC "PC-Mueller" angemeldet ist, dann bekommt sie auch beim Start der SW automatisch die ihr zugewiesenen Rechte. Dieses Scenario ist besonders bei Arbeitsplätzen die nur von einer einzigen Person genutzt werden sehr weit verbreitet. In diesem Fall kann also der klassische Anmelde-Dialog entfallen, was in Folge mehrere positive Aspekte hat:

- Benutzerfreundlichkeit: der aus Sicht des Anwenders "unsinnige" Anmeldedialog entfällt.
- Der psychologische Effekt, dass der Benutzer gar nicht das Gefühl hat, seine Rechte sind eingeschränkt.
- Akzeptanz: Benutzer empfinden die Benutzerverwaltung nicht als Gängelung oder Bevormundung.

Zum sicherheitstechnischen Aspekt: Wenn der betreffende Benutzer in der Software eingeschränkte Benutzerrechte hat, spielt die automatische Anmeldung in der Praxis auch keinerlei sicherheitsrelevante Rolle. Mein Anmelde-Dialog ist dann zusätzlich in der Software integriert, d.h. erst wenn ein Admin administrative Arbeiten erledigen muss, meldet er sich beim Aufruf der "gesperrten" Funktion in der Software an. In dieser Situation kann dann in der Benutzerrechteverwaltung definiert werden, ob der Admin angemeldet bleibt, oder nach Aufruf der entsprechenden Funktion automatisch wieder abgemeldet werden soll.

Mein Resümee aus jahrelanger praktischer Anwendung und Programmierung von Benutzerverwaltung ist daher: Die beste Benutzerverwaltung ist diejenige, die man nicht sieht. Infolge davon wird die Benutzerverwaltung sowohl von Anwendern als auch von Kunden/Administratoren nicht als notwendiges Übel, sondern vielmehr als praktikable Lösung einer sicherheitstechnischen Anforderung angesehen.

Zur Speicherung: Ich persönlich bevorzuge die Speicherung einer Rechte-Struktur als Record in einem Binary-Blob-Field. Benutzername, PC-Name (siehe oben) und weitere Informationen in entsprechenden indizierten Feldern zur schnellen Lokalisierung bei der Anmeldung.