Autorisatie in Ultimo
Autorisatie in Ultimo bepaalt wat elke gebruiker kan zien, doen en bewerken. Het systeem werkt op meerdere niveaus: van applicatiebrede instellingen tot individuele recordtoegang. Een correct ingericht autorisatiemodel is cruciaal voor veiligheid, compliance en gebruiksvriendelijkheid.
Niveaus van autorisatiebewerken
Ultimo kent de volgende autorisatieniveaus, van breed naar specifiek:
| Niveau | Bereik | Gebruik |
|---|---|---|
| Application level | Hele applicatie, alle gebruikers | Algemene items |
| Group level | Alle gebruikers in de groep | Per backoffice/team |
| User level | Individuele gebruiker | Vermijden waar mogelijk |
| Screen authorisation | Per scherm, per niveau | Schermspecifieke rechten |
| Record authorisation | Per record (vestiging, afdeling) | Datafiltering |
Application Element Tree (AET)bewerken
De AET is de boomstructuur waarin alle autorisatie-elementen zijn georganiseerd. Per element zijn drie waarden mogelijk:
| Waarde | Betekenis |
|---|---|
| Inherited | Overerving van het bovenliggende element of niveau |
| Authorised | Hard overschreven: element is geautoriseerd |
| Unauthorised | Hard overschreven: element is niet geautoriseerd |
Consultanttip: Download de AET-matrix (Excel) voor een compleet overzicht van alle autorisaties per groep. Dit is essentieel voor audits en documentatie.
Users (Gebruikers)bewerken
Gebruikers worden beheerd in de UCT onder Authorisation > Users.
Veldenbewerken
- User Id: unieke gebruikersidentificatie
- Description: naam/omschrijving
- Employee: gekoppeld personeelsnummer
- Company: bedrijf
- Department: afdeling
- Site: vestiging
- Record authorisation group: recordautorisatiegroep
- User type: Full, Light, Technician of SelfService
User typesbewerken
Er zijn vier gebruikerstypen die de licentiekosten en functionaliteit bepalen:
| Type | Functionaliteit | Licentie |
|---|---|---|
| Self-service | Meldingen aanmaken, eigen status bekijken | Laagste kosten |
| Light | Self-service + autonomous maintenance, LOTO, werkvergunningen aanvragen | Optioneel |
| Technician | Light + jobstatus wijzigen, uren boeken, inspecties, bestelaanvragen | Optioneel |
| Full | Volledige toegang (afhankelijk van groepsrechten) | Hoogste kosten |
Activering en deactivering: - Gebruikers moeten worden geactiveerd om in te kunnen loggen - Een gebruiker kan pas na 10 dagen worden gedeactiveerd - Het User type wordt bepaald door de groep
Speciale gebruikersrollenbewerken
- UsedByUltimo: voor Ultimo-medewerkers (tellen niet mee in licentie)
- System users: voor geautomatiseerde acties en interfaces (kunnen niet inloggen)
Groups (Groepen)bewerken
Groepen bepalen de rechten op scherm- en functieniveau. Er zijn twee soorten:
Configuratiegroepenbewerken
De standaard gebruikersgroep per backoffice. Elke gebruiker heeft precies een configuratiegroep. Deze deelt: - Schermautorisatie - Selectielijstfilters - Custom schermen en menu's - AET-instellingen - Rapportages
Autorisatiegroepen (Authorisation only)bewerken
Aanvullende groepen voor specifieke rechten. Een gebruiker kan meerdere autorisatiegroepen hebben. Ze worden gebruikt voor: - Goedkeuringsrechten - Module-specifieke toegang - Rolgebaseerde autorisatie
Best practice naamgeving:
Aut_{Backoffice}_{Functie}ofAut_{Backoffice}_{Actie}Voorbeelden:Aut_TS_Manager,Aut_TS_ApproveJobs,AUTH_TS_AGREEDJOB
Best practice: autorisatie opzettenbewerken
Aanbevolen aanpak (optie 2: alles dicht, dan openen)bewerken
- Geef jezelf (STDGRP) alle rechten op de AET
- Sluit de applicatie op application level (Unauthorised)
- Maak configuratiegroepen per backoffice (bijv. TS, Purchase)
- Maak autorisatiegroepen per rol/actie
- Ken groepen toe aan gebruikers
Waarom deze aanpak? - Autorisatiegroepen kunnen alleen rechten geven, niet afnemen - Nieuwe elementen zijn niet direct zichtbaar voor iedereen - Je moet bewust kiezen wie toegang krijgt - Beter overzicht en beheerbaarder
Screen Authorisationbewerken
Per scherm kan de toegang worden ingesteld op drie niveaus:
| Niveau | Wanneer |
|---|---|
| User level | Gebruiker-specifieke schermrechten |
| Group level | Groepsspecifieke schermrechten |
| Application level | Geen specifieke groep/gebruiker rechten |
De effectieve autorisatie wordt bepaald door het meest specifieke niveau:
| Scherm | Application | Groep TS | Auth. groep TS Adv. | User | Effectief |
|---|---|---|---|---|---|
| Eqm01 | None | Read | Delete | - | Delete |
| Eqm12 | Delete | None | Update | - | Update |
| Art09 | Read | - | Delete | Update | Update |
| Job03 | Delete | None | - | - | None |
Let op: Er is geen "inherited" voor schermrechten. Het meest specifieke niveau geldt.
Record Authorisationbewerken
Record authorisation beperkt de zichtbaarheid van gegevens op recordniveau. Gebruikers zien alleen records van hun toegewezen vestiging, afdeling, etc.
Master Tablesbewerken
Standaard zijn vijf tabellen beschikbaar voor recordautorisatie:
| Tabel | Volgorde | Functie |
|---|---|---|
| Site | 1 | Vestiging (breedste filter) |
| CostCenter | 2 | Kostenplaats |
| Department | 3 | Afdeling |
| Building | 4 | Gebouw |
| SkillCat | 5 | Vakgroep |
De volgorde bepaalt de hierarchie. Extra tabellen (bijv. Vendor) kunnen worden toegevoegd via Database Objects.
Instellingen per tabelbewerken
| Instelling | Betekenis |
|---|---|
| Show dialogue | Gebruiker kiest bij inloggen een specifieke waarde |
| Select all records | Gebruiker kiest uit alle beschikbare records |
| Take over related | Onderliggende records automatisch meenemen |
| Take over parent | Bovenliggende records automatisch meenemen |
| Force authorisation | Autorisatie is verplicht bij inloggen |
Record Authorisation Groupsbewerken
In plaats van per gebruiker recordtoegang in te stellen, worden gebruikers aan een groep gekoppeld. Voorbeelden: Healthcare, Infra, Technical, Office, Fleet.
Consultanttip: Maak altijd recordautorisatiegroepen in plaats van individuele instellingen. Dit is efficienter en beter beheersbaar. Maak een "all-access" groep voor key users met de instelling "Optional record authorisation".
Praktijkscenario'sbewerken
Scenario 1: Monteurs per vestigingbewerken
Monteurs mogen alleen jobs van hun eigen vestiging zien. Oplossing: Maak recordautorisatiegroepen per vestiging en koppel de juiste monteurs.
Scenario 2: Regiomanager met meerdere vestigingenbewerken
De regiomanager bezoekt een selectie van vestigingen. Oplossing: Maak een autorisatiegroep met de benodigde vestigingen en stel een vestiging in als standaard.
Scenario 3: Centraal magazijnbewerken
Monteurs hebben vestigingsautorisatie maar moeten een centraal magazijn kunnen zien. Oplossing: Sluit de artikel- en magazijntabelstructuur uit van de recordautorisatie.
Scenario 4: Inkoopmanager mag installaties alleen lezenbewerken
De inkoopmanager ziet installaties maar mag ze niet wijzigen. Oplossing: Geef de inkoopmanagergroep Read schermrechten op de installatieschermen.
Troubleshootingbewerken
| Probleem | Oplossing |
|---|---|
| Record is niet zichtbaar | Login zonder recordautorisatie om het record te vinden |
| Tabel uitgesloten maar record nog niet zichtbaar | Het record kan een ander context hebben dan uitgesloten |
| Key user maakt record aan maar andere gebruiker vindt het niet | Record is aangemaakt zonder recordautorisatie (geen vestiging gekoppeld) |
Do's and Don'tsbewerken
Dobewerken
- Sluit de AET op application level (Unauthorised)
- Maak een configuratiegroep per backoffice en een self-service groep
- Maak autorisatiegroepen per rol binnen de backoffice
- Gebruik gestructureerde namen
- Maak een key user/admin groep met "Optional record authorisation"
- Download regelmatig de AET-matrix voor documentatie
Don'tbewerken
- Autoriseer op user level (probeer het te vermijden)
- Cluster veel verschillende autorisaties in een groep
- Gebruik onduidelijke beschrijvingen
- Koppel autorisatiegroepen als standaardgroep voor gebruikers in workflows
- Voeg handmatig configuratie toe aan FileServiceData voor autorisatiegroepen
- Gebruik SQL-scripts om normale groepen ook als autorisatiegroepen te laten functioneren
Gerelateerde onderwerpenbewerken
- uct-overzicht - UCT Authorisation-menu
- self-service - Self-service gebruikers en groepen
- implementatie - Autorisatie setup bij implementatie
- jobs - Statusovergangen autoriseren
- hse - Bevoegdheden voor HSE-processen