Sicherheitskonzepte für die Programmierung

Gruppen – nicht Benutzer

Eine zweite wichtige Grundregel, die in einem solchen Design Aufgabe des Administrators ist, heißt: Arbeiten Sie mit Gruppen, nicht mit einzelnen Benutzern. Es ist grundsätzlich deutlich einfacher, mit Gruppen zu arbeiten. Es gibt generell nur eine überschaubare Zahl von Gruppen, die weitgehend statisch ist. Dagegen ist die Liste der Benutzer meistens recht dynamisch, weil immer wieder Mitarbeiter ein Unternehmen verlassen, neu eingestellt werden oder in einen anderen Unternehmensbereich wechseln. Wenn einzelne Benutzer in ACLs aufgenommen und beispielsweise Rollen zugeordnet werden, führen diese Änderungen zu einem erheblichen administrativen Aufwand. Außerdem müssen die Änderungen zumindest teilweise über den AdminP- Prozess auch aufwändig in einzelnen Datenbanken umgesetzt werden. Wenn mit Gruppen gearbeitet wird, beschränkt sich der Konfigurationsaufwand dagegen darauf, die Mitgliedschaft in den Gruppen bei Bedarf anzupassen. Da einzelne Gruppen meist bei mehreren Datenbanken beispielsweise für die Vergabe von Zugriffsberechtigungen verwendet werden, verringert sich der administrative Aufwand auf diese Weise erheblich. Außerdem wird die gesamte Administration übersichtlicher und auch die Nachvollziehbarkeit der aktuellen Sicherheitskonfiguration erhöht.