Zum Inhalt springen

Team, Rollen & Vier-Augen-Prinzip

Zugriff in Resilic ist berechtigungsbasiert: Rollen sind Bündel von Berechtigungen, und jede Aktion prüft eine Berechtigung — nie einen Rollennamen. Teammitglieder laden Sie unter Mitglieder ein, Rollen verwalten Sie unter Rollen.

  • Owner — alles, einschließlich Abrechnung und Löschen der Organisation.
  • Admin — das Tagesgeschäft: Mitglieder, Rollen, Einstellungen, alle Inhalte und Freigaben.
  • Member — die Arbeitsrolle: erstellt und bearbeitet Produkte, SBOMs, Berichte, Richtlinien — und darf auch freigeben. Richtig für kleine Teams, in denen dieselben Personen erstellen und unterschreiben.
  • Approver — prüft und gibt frei, erstellt nie: hält jede Freigabe-Berechtigung (Berichte, Richtlinien, technische Dokumentation, Sicherheitshinweise, Risikobeurteilungen, Anhang I) und keine Schreibberechtigung. Für die Personen, die Compliance-Artefakte unterzeichnen.
  • Viewer — nur lesen, einschließlich Audit-Protokoll.

Vier-Augen-Prinzip (Trennung von Erstellen und Freigeben)

Abschnitt betitelt „Vier-Augen-Prinzip (Trennung von Erstellen und Freigeben)“

Jedes von Menschen zu unterzeichnende Artefakt hat eine eigene Freigabe-Berechtigung, getrennt von der Schreibberechtigung, die es erstellt und bearbeitet. Ab Werk hält Member beides — bewusst, damit kleine Teams nicht blockiert sind. Für echte Trennung: Erstellende erhalten eine eigene Rolle nur mit Schreibberechtigungen, Unterzeichnende die Rolle Approver. Das Audit-Protokoll hält in beiden Fällen fest, wer erstellt und wer freigegeben hat.

Striktes Vier-Augen-Prinzip (Freigebender ≠ Verfasser)

Abschnitt betitelt „Striktes Vier-Augen-Prinzip (Freigebender ≠ Verfasser)“

Standardmäßig darf eine Person mit Freigaberecht ein Artefakt sowohl entwerfen als auch unterzeichnen — richtig für kleine Teams. Unternehmen können echte Trennung erzwingen: Schalten Sie das strikte Vier-Augen-Prinzip ein (Rollen-Seite), und wer eine Technische Dokumentation, einen Sicherheitshinweis, eine Risikobeurteilung oder eine Anhang-I-Konformität freigibt, muss jemand anderes als deren letzter Bearbeiter sein. Der Server weist eine Selbstfreigabe mit klarer Meldung ab; ein Kollege mit Freigaberecht unterzeichnet stattdessen. Entwürfe aus der Zeit vor der Einstellung erfassen ihren Verfasser einfach bei der nächsten Bearbeitung.

Produktgruppen — Mitglieder auf Fertigungslinien beschränken

Abschnitt betitelt „Produktgruppen — Mitglieder auf Fertigungslinien beschränken“

Rollen sagen, was ein Mitglied tun kann; Produktgruppen sagen, an welchen Produkten. Legen Sie auf der Rollen-Seite benannte Gruppen an („Fertigungslinie X“) und beschränken Sie ein Mitglied auf eine oder mehrere davon: Produktregister, Flottenansichten, Schwachstellen und alles Abgeleitete verengen sich auf diese Gruppen — überall, ohne weiteres Zutun. Ein Produkt außerhalb des Zuschnitts antwortet exakt wie eines, das nicht existiert.

Drei Regeln halten das vorhersehbar:

  • Leerer Zuschnitt = alle Produkte — jedes Mitglied startet unbeschränkt; nichts ändert sich, bis Sie es einschränken.
  • Owner und Admins sehen immer alles — ihnen lässt sich kein Zuschnitt zuweisen.
  • Die Gruppe ist die Einheit, nicht das Produkt: Eine neue Maschine einmal zur „Fertigungslinie X“ hinzufügen, und jedes auf die Linie beschränkte Mitglied folgt automatisch. Das Löschen einer Gruppe hebt die Beschränkung ihrer Mitglieder auf; die Produkte bleiben unberührt.

Der Zuschnitt ist firmeninternes Need-to-know, keine Sicherheitsgrenze zwischen Unternehmen — die bleibt die darunterliegende Mandantentrennung.

Single Sign-on: Bereitstellung aus Ihrem Identitätsanbieter

Abschnitt betitelt „Single Sign-on: Bereitstellung aus Ihrem Identitätsanbieter“

Unternehmen können die Mitgliedschaft ihrem Identitätsanbieter folgen lassen, statt Personen von Hand hinzuzufügen. Ihr IdP (Entra ID, Okta, …) wird über unser SSO angebunden; auf der Rollen-Seite ordnen Sie jeden IdP-Gruppennamen einer Resilic-Rolle und einem optionalen Produktzuschnitt zu. Meldet sich jemand per SSO mit einer zugeordneten Gruppe an, stellt Resilic ihn automatisch mit dieser Rolle und diesem Zuschnitt bereit — und hält das bei jeder Anmeldung synchron:

  • Neue erhalten Zugang bei der ersten Anmeldung mit einer zugeordneten Gruppe.
  • Rollen- oder Zuschnittänderungen in Ihrem Verzeichnis wirken ab der nächsten Anmeldung.
  • Ausscheidende — aus allen zugeordneten Gruppen entfernt — werden automatisch gesperrt (Zugang entzogen, Historie erhalten).

Für IdP-bereitgestellte Mitglieder ist das Verzeichnis maßgeblich: Rolle und Zuschnitt sind in Resilic schreibgeschützt (Änderung über die Gruppenzuordnung). Von Hand hinzugefügte Mitglieder bleiben davon unberührt. Der Bootstrap-Owner des Herstellers bleibt stets manuell, damit ein Zuordnungsfehler Sie nicht aussperren kann.

Unter Rollen definieren Sie eigene Berechtigungsbündel. Zwei Leitplanken gelten immer: Niemand kann eine Rolle vergeben, deren Berechtigungen er selbst nicht hält, und finanzielle Aktionen (Kauf, Abrechnungsportal) erfordern stets die Einstellungs-Berechtigung.