Team, Rollen & Vier-Augen-Prinzip
Zugriff in Resilic ist berechtigungsbasiert: Rollen sind Bündel von Berechtigungen, und jede Aktion prüft eine Berechtigung — nie einen Rollennamen. Teammitglieder laden Sie unter Mitglieder ein, Rollen verwalten Sie unter Rollen.
Eingebaute Rollen
Abschnitt betitelt „Eingebaute Rollen“- Owner — alles, einschließlich Abrechnung und Löschen der Organisation.
- Admin — das Tagesgeschäft: Mitglieder, Rollen, Einstellungen, alle Inhalte und Freigaben.
- Member — die Arbeitsrolle: erstellt und bearbeitet Produkte, SBOMs, Berichte, Richtlinien — und darf auch freigeben. Richtig für kleine Teams, in denen dieselben Personen erstellen und unterschreiben.
- Approver — prüft und gibt frei, erstellt nie: hält jede Freigabe-Berechtigung (Berichte, Richtlinien, technische Dokumentation, Sicherheitshinweise, Risikobeurteilungen, Anhang I) und keine Schreibberechtigung. Für die Personen, die Compliance-Artefakte unterzeichnen.
- Viewer — nur lesen, einschließlich Audit-Protokoll.
Vier-Augen-Prinzip (Trennung von Erstellen und Freigeben)
Abschnitt betitelt „Vier-Augen-Prinzip (Trennung von Erstellen und Freigeben)“Jedes von Menschen zu unterzeichnende Artefakt hat eine eigene Freigabe-Berechtigung, getrennt von der Schreibberechtigung, die es erstellt und bearbeitet. Ab Werk hält Member beides — bewusst, damit kleine Teams nicht blockiert sind. Für echte Trennung: Erstellende erhalten eine eigene Rolle nur mit Schreibberechtigungen, Unterzeichnende die Rolle Approver. Das Audit-Protokoll hält in beiden Fällen fest, wer erstellt und wer freigegeben hat.
Striktes Vier-Augen-Prinzip (Freigebender ≠ Verfasser)
Abschnitt betitelt „Striktes Vier-Augen-Prinzip (Freigebender ≠ Verfasser)“Standardmäßig darf eine Person mit Freigaberecht ein Artefakt sowohl entwerfen als auch unterzeichnen — richtig für kleine Teams. Unternehmen können echte Trennung erzwingen: Schalten Sie das strikte Vier-Augen-Prinzip ein (Rollen-Seite), und wer eine Technische Dokumentation, einen Sicherheitshinweis, eine Risikobeurteilung oder eine Anhang-I-Konformität freigibt, muss jemand anderes als deren letzter Bearbeiter sein. Der Server weist eine Selbstfreigabe mit klarer Meldung ab; ein Kollege mit Freigaberecht unterzeichnet stattdessen. Entwürfe aus der Zeit vor der Einstellung erfassen ihren Verfasser einfach bei der nächsten Bearbeitung.
Produktgruppen — Mitglieder auf Fertigungslinien beschränken
Abschnitt betitelt „Produktgruppen — Mitglieder auf Fertigungslinien beschränken“Rollen sagen, was ein Mitglied tun kann; Produktgruppen sagen, an welchen Produkten. Legen Sie auf der Rollen-Seite benannte Gruppen an („Fertigungslinie X“) und beschränken Sie ein Mitglied auf eine oder mehrere davon: Produktregister, Flottenansichten, Schwachstellen und alles Abgeleitete verengen sich auf diese Gruppen — überall, ohne weiteres Zutun. Ein Produkt außerhalb des Zuschnitts antwortet exakt wie eines, das nicht existiert.
Drei Regeln halten das vorhersehbar:
- Leerer Zuschnitt = alle Produkte — jedes Mitglied startet unbeschränkt; nichts ändert sich, bis Sie es einschränken.
- Owner und Admins sehen immer alles — ihnen lässt sich kein Zuschnitt zuweisen.
- Die Gruppe ist die Einheit, nicht das Produkt: Eine neue Maschine einmal zur „Fertigungslinie X“ hinzufügen, und jedes auf die Linie beschränkte Mitglied folgt automatisch. Das Löschen einer Gruppe hebt die Beschränkung ihrer Mitglieder auf; die Produkte bleiben unberührt.
Der Zuschnitt ist firmeninternes Need-to-know, keine Sicherheitsgrenze zwischen Unternehmen — die bleibt die darunterliegende Mandantentrennung.
Single Sign-on: Bereitstellung aus Ihrem Identitätsanbieter
Abschnitt betitelt „Single Sign-on: Bereitstellung aus Ihrem Identitätsanbieter“Unternehmen können die Mitgliedschaft ihrem Identitätsanbieter folgen lassen, statt Personen von Hand hinzuzufügen. Ihr IdP (Entra ID, Okta, …) wird über unser SSO angebunden; auf der Rollen-Seite ordnen Sie jeden IdP-Gruppennamen einer Resilic-Rolle und einem optionalen Produktzuschnitt zu. Meldet sich jemand per SSO mit einer zugeordneten Gruppe an, stellt Resilic ihn automatisch mit dieser Rolle und diesem Zuschnitt bereit — und hält das bei jeder Anmeldung synchron:
- Neue erhalten Zugang bei der ersten Anmeldung mit einer zugeordneten Gruppe.
- Rollen- oder Zuschnittänderungen in Ihrem Verzeichnis wirken ab der nächsten Anmeldung.
- Ausscheidende — aus allen zugeordneten Gruppen entfernt — werden automatisch gesperrt (Zugang entzogen, Historie erhalten).
Für IdP-bereitgestellte Mitglieder ist das Verzeichnis maßgeblich: Rolle und Zuschnitt sind in Resilic schreibgeschützt (Änderung über die Gruppenzuordnung). Von Hand hinzugefügte Mitglieder bleiben davon unberührt. Der Bootstrap-Owner des Herstellers bleibt stets manuell, damit ein Zuordnungsfehler Sie nicht aussperren kann.
Eigene Rollen
Abschnitt betitelt „Eigene Rollen“Unter Rollen definieren Sie eigene Berechtigungsbündel. Zwei Leitplanken gelten immer: Niemand kann eine Rolle vergeben, deren Berechtigungen er selbst nicht hält, und finanzielle Aktionen (Kauf, Abrechnungsportal) erfordern stets die Einstellungs-Berechtigung.