25 Policys konfigurieren

Sie können Policys auf Anwendungs-, Dimensions-, Knotentyp- und Hierarchiesetebene einrichten. Genehmigungs-Policys werden in der Workflowphase "Genehmigen" angewendet. Mit Genehmigungs-Policys können Genehmiger Anforderungen prüfen und deren Inhalte genehmigen oder ablehnen. Commit-Policys werden während der Workflowphase "Festschreiben" angewendet. Mit diesen Policys kann ein Benutzer eine finale Prüfung durchführen und alle Änderungen in einer Anforderung festschreiben. Benachrichtigungs-Policys werden in der Workflowphase "Geschlossen" angewendet, wenn eine Anforderung festgeschrieben wird. Mit Benachrichtigungs-Policys können Benutzer E-Mail-Benachrichtigungen erhalten, wenn eine abgeschlossene Anforderung von anderen Benutzern weitergeleitet wird.

Weitere Informationen finden Sie unter

Policys und Datenobjekte

Policys werden auf der Anwendungs-, Dimensions-, Hierarchieset- oder Knotentypebene aktiviert. Genau wie Berechtigungen werden Policys von Anwendungen zu Dimensionen und anschließend zu Hierarchiesets und Knotentypen propagiert. Das bedeutet, dass eine für eine Anwendung konfigurierte Policy auf alle Dimensionen in dieser Anwendung angewendet wird, und für Dimensionen konfigurierte Policys auf die Knotentypen und Hierarchiesets in dieser Dimension angewendet werden. Weitere Informationen finden Sie unter Kaskadierung von Berechtigungen.

Hinweis:

Sie können einen Bericht ausführen, um die Policys zu bestimmen, die anwendungsübergreifend zugewiesen wurden. Weitere Informationen finden Sie unter Mit Berichten arbeiten.


Diagramm zeigt Anwendungs-, Dimensions-, Knotentyp- und Hierarchieset-Policys mit oben aufgeführten Aktionen an

Policys und Anforderungsaktionen für Datenobjekte

Mit den Filtern Eingeschlossene Aktionen in den Policys (siehe Genehmigungs-Policys erstellen und aktivieren, Commit-Policys erstellen und aktivieren und Benachrichtigungs-Policys erstellen und aktivieren) können Sie angeben, ob eine Policy nur für bestimmte Anforderungsaktionen ausgelöst werden soll. Der Typ der angegebenen Aktion ist von dem Datenkettenobjekt der Policy nicht betroffen. Beispiel: Sie können eine Verschiebeaktion in einer Policy für einen Knotentyp angeben, obwohl es sich bei der Verschiebeaktion um eine Hierarchiesetaktion handelt. In diesem Fall wird die Policy für alle Verschiebevorgänge in allen Hierarchiesets für diesen Knotentyp ausgelöst.

Policys für Datenobjekte propagieren

Policys werden von Objekten höherer Ebenen (z.B. Anwendungen) zu Objekten niedrigerer Ebenen in einer Datenkette (z.B. Dimensionen, Knotentypen oder Hierarchiesets) propagiert. Ein Datenkettenobjekt kann von Policys betroffen sein, die direkt für das Objekt aktiviert wurden, sowie von propagierenden Policys von Objekten auf höheren Ebenen in der Datenkette. In diesem Fall wird jede Policy unabhängig ausgewertet.

Zur Veranschaulichung nehmen wir an, dass folgende Genehmigungs-Policys aktiviert sind:

  • Für eine Genehmigungs-Policy auf Anwendungsebene sind drei Genehmiger aus der Gruppe "Accounting" erforderlich.
  • Für eine Genehmigungs-Policy auf Dimensionsebene sind vier Genehmiger aus der Gruppe "Accounting" erforderlich.

Diese Policys werden nicht kombiniert, es sind also insgesamt sieben Genehmiger aus der Gruppe "Accounting" erforderlich. Stattdessen wird jede Policy einzeln ausgewertet. Da für beide Policys die Genehmigung derselben Gruppe "Accounting" erforderlich ist, werden die ersten drei Genehmigungen aus der Gruppe "Accounting" folgendermaßen auf beide Policys angewendet:

  • Die Policy auf Anwendungsebene ist erfüllt, wenn drei Genehmiger der Gruppe "Accounting" die Anforderung genehmigen.
  • Die Policy auf Dimensionsebene ist erfüllt, wenn ein weiterer Genehmiger der Gruppe "Accounting" die Anforderung genehmigt.

Hinweis:

Wenn ein Genehmiger in mehreren Genehmigungsgruppen vorhanden ist, kann er eine Anforderung nur einmal genehmigen. Diese Genehmigung gilt für alle Genehmigungs-Policys, denen der Benutzer angehört. Beispiel: Wenn Barry sowohl der Gruppe "Accounting" als auch der Gruppe "Cost Center" angehört und für eine Genehmigungs-Policy zwei Genehmigungen aus jeder Gruppe erforderlich sind, zählt Barrys Genehmigung als eine Genehmigung aus jeder Gruppe.

Mehrere Policys für dasselbe Datenobjekt

Sie können mehrere Policys für dasselbe Datenkettenobjekt definieren, damit für verschiedene Anforderungstypen verschiedene Benutzer Genehmigungen erteilen oder Benachrichtigungen erhalten können. Zusätzliche Policys mit verschiedenen Filtern können erstellt werden, um bedingte Genehmigungen oder Benachrichtigungen für bestimmte Datasets nach verschiedenen Benutzern zu verarbeiten. Das folgende Diagramm veranschaulicht beispielsweise eine Dimension mit zwei Policys:

  • Eine Buchhaltungs-Policy sendet Genehmigungsanforderungen oder Benachrichtigungen an die Gruppe "Accounting", wenn Knoten der unteren Ebene hinzugefügt, aktualisiert oder gelöscht werden.
  • Eine Budgetierungs-Policy sendet Genehmigungsanforderungen oder Benachrichtigungen an die Gruppe "Finance", wenn Knoten eingefügt, verschoben oder aktualisiert werden.

Das Diagramm zeigt die in der vorherigen Liste beschriebenen Policys.

Policys und Berechtigungen

Sie benötigen die Berechtigung Eigentümer oder Metadatenmanager für ein Datenobjekt, um eine Policy für dieses Objekt konfigurieren zu können.

Wenn Sie einer Policy für ein Datenobjekt einen Benutzer oder eine Gruppe hinzufügen, erhält dieser Benutzer oder diese Gruppe die implizite Berechtigung Teilnehmer (lesen) für dieses Datenobjekt. Da Berechtigungen propagiert werden, gilt Folgendes: Wenn Sie einer Policy für eine Anwendung oder Dimension einen Benutzer oder eine Gruppe hinzufügen, erhält der Benutzer oder die Gruppe auch die implizite Berechtigung Teilnehmer (lesen) für die Datenkettenobjekte, die in der Anwendung oder Dimension enthalten sind (Dimensionen, Knotentypen und Hierarchiesets).

Wenn ein Benutzer oder eine Gruppe einer Policy hinzugefügt wird und die implizite Berechtigung Teilnehmer (lesen) für ein Hierarchieset erhält, wird ihm/ihr auch die implizite Berechtigung Teilnehmer (lesen) für den in diesem Hierarchieset verwendeten Knotentyp zugewiesen. Dadurch kann der Benutzer oder die Gruppe beim Genehmigen oder Anzeigen von abgeschlossenen Anforderungen eine Ansicht öffnen und das Hierarchieset durchsuchen. Wenn Benutzern jedoch durch Hinzufügen zu einer Policy die implizite Berechtigung Teilnehmer (lesen) für einen Knotentyp zugewiesen wird, erhalten sie dadurch nicht die implizite Berechtigung Teilnehmer (lesen) für Hierarchiesets, die diesen Knotentyp verwenden. Wenn ein Benutzer über die Berechtigung Teilnehmer (lesen) für einen Knotentyp, jedoch nicht für ein Hierarchieset verfügt, kann er die Ansicht nicht öffnen und das Hierarchieset im Ansichtspunkt nicht durchsuchen, um die Anforderung zu genehmigen oder anzuzeigen. Stattdessen muss er die Anforderung im Anforderungsinspektor genehmigen.

Wenn Sie einen Benutzer aus einer Policy entfernen, wird ihm seine implizite Berechtigung Teilnehmer (lesen) für das Datenobjekt in dieser Policy entzogen. Alle diesem Datenobjekt explizit zugewiesenen Berechtigungen bleiben jedoch erhalten. Informationen hierzu finden Sie unter Mit Berechtigungen arbeiten.

Hinweis:

Wenn der Name eines Benutzers in der Zugriffskontrolle geändert wird, wird dieser Benutzer ungültig und kann nicht mehr an Policys teilnehmen, denen er zugewiesen wurde.