Authorization Check Plug-in Wizard

Öffnen Sie den Authorization Check Plug-in Wizard über das System Management Panel -> Registerkarte Berechtigung.

Der Authorization Check Plug-in Wizard besteht aus drei Registerkarten:

Beachten Sie, dass die Einstellungen der Registerkarten im WinCC OA-System unmittelbar nach der Eingabe aktiv (online) sind.

Listen

Auf der Registerkarte "Listen" kann durch eine White- und Blacklist Managern der Zugriff erlaubt oder verweigert werden.

Die Registerkarte "Listen" erfasst die beiden Bereiche: "Manager Ansicht" sowie "Whitelist/Blacklist".

Abbildung 1. Authorization Check Plug-in Wizard - Registerkarte "Listen"

Manager Ansicht

In der Manager Ansicht ist durch die Anzahl der Einträge ersichtlich welche Einschränkungen/Erlaubnisse für die einzelnen Manager der Manager Ansicht hinzugefügt wurden.

Abbildung 2. Manager Ansicht

Die Manager Ansicht zeigt die Anzahl der Berechtigungen, die insgesamt konfiguriert worden sind, an.

Whitelist/Blacklist

Um einen Eintrag (Hostname und Argumente) zu einer White- oder Blacklist des Managers hinzuzufügen, wählen Sie einen Manager in der Manager Ansicht (Schritt 1) aus, geben den Hostnamen und die erlaubten Argumente für den Manager ein (Schritt 2) und klicken Sie auf die Schaltfläche „+“. Um einen bestehenden Manager zu ändern, klicken Sie auf die Schaltfläche (Schritt 3).

Hostname

Geben Sie hier jene Hostnamen ein, auf denen WinCC OA Managern der Zugriff erlaubt (Whitelist) oder verweigert (Blacklist) werden soll. Wenn ein Hostname in beiden Listen vorhanden ist, wird die Blacklist berücksichtigt. Auch die Wildcard * (Stern) kann für alle Hosts eines WinCC OA-Systems verwendet werden. Zu jedem Host wählen Sie, die Manager aus der Manager Ansicht (Schritt 1) aus. Die Überprüfung im Authorization Check Plugin erfolgt anhand der Kombination aus Hostname, Manager und Manager Argument.

Die White- und Blacklists mit den Manager-Argumenten werden überprüft bevor der Server (Data/Event Manager) die Verbindungsanfrage eines Clients (Manager auf einem bestimmten Host) erlaubt.

Abbildung 3. Client-Server-Kommunikation

Argumente

Geben Sie hier die Manager-Argumente für den jeweiligen Manager ein, die beim Start eines Managers erlaubt oder verboten sind. Manager-Argumente (Optionen) werden überprüft bevor der Server die Verbindungsanfrage eines Clients zum Server erlaubt. Als Argumente können die Manageroptionen für die einzelnen Manager eingetragen werden.

Für White- und Blacklists werden die angegebenen Argumente inklusive die Reihenfolge der Argumente überprüft.

Wenn z.B. die Argumente "-num 4 -m para" in der Whitelist vorhanden sind, kann ein User Interface nicht mit den Argumenten "-m para -num 4" gestartet werden, sondern nur mit den Argumenten "-num 4 -m para".

Eine detaillierte Beschreibung der Manageroptionen finden Sie unter Einführung zu den Manageroptionen sowie in den weiterführenden Kapiteln wie WCCOAui.

In der Abbildung unterhalb darf auf dem Host "ATPC10FA" ein User Interface das Modul GEDI aber kein Modul PARA starten.

Anmerkung:

Für den Betrieb von WinCC OA zwingend erforderlichen Datenstrukturen, können globale Einstellungen in den Registerkarten DPE bzw. Views definiert werden.

Abbildung 4. Client "ATPC10FA" und White- und Blacklists

Löscht nach Selektion einer Zeile einen einzelnen Manager (Zeile) aus der Whitelist/Blacklist-Tabelle.

Löscht alle Manager aus der Whitelist/Blacklist-Tabelle.

VORSICHT:

Beachten Sie, dass die Einstellungen im WinCC OA-System gleich aktiv (online) sind.

Views

Das Authorization Check Plug-in basiert auf Einstellungen, die im Anlagenmodell einer Anlage hinterlegt sind. Vor der Anwendung des Authorization Check Plug-ins muss daher ein Anlagenmodell entworfen und im Anlagenmodell Editor eingetragen werden.

Zur Veranschaulichung wird ein einfaches Modell in den weiteren Beispielen verwendet:

Die View "Windpark1" enthält die Knoten "Turbine1" und "Turbine2" und diese wiederum den Knoten "Geschwindigkeit".

Die View "Windpark2" enthält die Knoten "Turbine1", "Turbine2", "Turbine3" und "Turbine4" und diese wiederum die Knoten "inBetrieb", "Geschwindigkeit" und "Stromstärke".

Es muss eine View im Anlagenmodell Editor erstellt werden. Diese View wird dann im Plug-in angezeigt.

VORSICHT:

Beachten Sie, dass bei Zuweisung von Benutzerrollen zu einer View, für diese Rollen im Anlagenmodell Hilfs-Views erstellt werden. Pro Rolle wird eine zusätzliche View erstellt.

Abbildung 5. Die gleiche View im Plug-in und im Anlagenmodell Editor

Auf der Registerkarte "Views" sehen Sie die anlagenmodell-spezifischen Views. Für jede View werden die Rechte definiert, die ein Benutzer für den Zugriff mitbringen muss. Datenpunktberechtigungen werden einer Rolle zugewiesen und die Rolle einer View. Dadurch wird eingestellt wie ein Benutzer Datenpunkte anzeigen, lesen und auf die Datenpunkte schreiben darf.

Die Registerkarte "Views" erfasst die folgenden Bereiche: Views, Rolle, Erforderliche Berechtigungsstufen, Zugriffsrecht, Berechtigungen sowie Globale Einstellungen.

Wählen Sie den View unter der Ansicht Views (Schritt 1) und weisen Sie dem View eine Rolle zu (Schritt 2). Setzen Sie die Berechtigungsbits, die einen Zugriff ermöglichen, sowie das Zugriffsrecht für View und Rolle (Schritt 3). Speichern Sie die Konfiguration für den View (Schritt 4).

Abbildung 6. Authorization Check Plug-in Wizard - Registerkarte "Views"

VORSICHT:

Beachten Sie, dass die Kopien einer Anlagenmodell-View nicht im Wizard angezeigt werden.

Berechtigung

Neben dem Knotennamen wird die Berechtigung für den Knoten angezeigt - siehe Beschreibung der Berechtigungen.

Rollen

Rollen erstellen Sie über die Spalte "..." und die Option "Neue Rolle". . In der Abbildung oberhalb wurde die Rolle "SCADA_Dev" der View "Windpark1" zugewiesen. Die Rolle Chef hat Schreibrechte für die Datenpunkte: "windpark1_SCADA_Dev:turbine1.geschwindigkeit" and "windpark1_SCADA_DEV:turbine2.geschwindigkeit". Die Datenpunktberechtigungen werden einer Rolle zugewiesen.

VORSICHT:

Beachten Sie, dass bei Zuweisung von Benutzerrollen zu einer View, für diese Rollen im Anlagenmodell Hilfs-Views erstellt werden. Pro Rolle wird eine zusätzliche View erstellt.

Anmerkung:

Wenn z.B. Nodename im Anlagenmodell-Editor geändert wird, wird im Authorization Check Plug-in Wizard eine Meldung angezeigt.

Mit dieser Schaltfläche ist es möglich die Rollen auf Fehler zu überprüfen und dann zu ändern. Es werden alle Einträge im Authorization Check Plug-in Wizard auf inkonsistente Änderungen überprüft:

  • Anlagenmodell Views: ein Knoten wurde gelöscht oder hinzugefügt.

  • Eine Datenpunktverknüpfung wurde geändert.

  • Ein Knoten wurde umbenannt wird als Meldung "Knoten wurde gelöscht und ein neuer wurde erstellt", angezeigt.

Erforderliche Berechtigungsstufen

Die Zugriffsberechtigungen in Views werden durch Bitmuster aus Berechtigungsbits für eine View gesetzt. Für eine genauere Beschreibung der Bits, siehe Kapitel Berechtigungsstufen. Die Berechtigungsstufen setzen Sie für eine View. Die Benutzer Bits gelten danach auch für die Knoten des Views. Die View muss selektiert sein, um Bits setzen zu können. Mögliche Werte in der Bitmaske sind: 1, 0 oder X. Mit 1 wird das Bit gesetzt (Benutzer muss das Berechtigungsbit haben) und mit 0 das Bit gelöscht (Benutzer darf das Bit nicht haben). X bedeutet, dass das Berechtigungsbit an dieser Stelle der Bitmaske nicht geprüft wird (Don’t Care).

Die hier gesetzten Berechtigungsstufen werden mit den Berechtigungsstufen einer Benutzergruppe verglichen. Wenn eine Gruppe und dadurch ein Benutzer das gleiche WinCC OA-Bitmuster wie die View besitzt, hat der Benutzer das Zugriffsrecht auf die Datenpunkte. Das Beispiel demonstriert die Verwendung von Berechtigungsstufen (Userbits).

VORSICHT:

Die Berechtigungsstufen (Benutzerbits), die in WinCC OA bereits verwendet werden, dürfen nicht für das Plug-in gesetzt werden und sind inaktiv und auf X gestellt (siehe Dialog Berechtigungsstufen ). In einem neu angelegten WinCC OA-Projekt sind das mindestens die Bits 1-5.

Einer View wurde mit dem Wizard das Bit 8 zugewiesen:

Benutzer Andreas hat in WinCC OA die Bits:

Benutzer Hanna hat in WinCC OA die Bits:

Benutzer Max hat in WinCC OA die Bits:

Die Benutzer Andreas und Max haben das gleiche Bitmuster wie die View aber der Benutzer Hanna hat es nicht. D.h. dass nur die Benutzer Andreas und Max das Zugriffsrecht auf diese View und für die Knoten und Datenpunkte der View haben.

Erforderliche Berechtigungsstufen (Bits) für eine View setzen

Abbildung 7. Benutzer Bits für eine View setzen

Die Rolle "Operator_Windpark" hat hier die Berechtigungsstufe 8.

Anmerkung:

Berücksichtigen Sie die allgemeinen WinCC OA-Berechtigungsstufen.

Zugriffsrecht

  • Vom übergeordneten Knoten übernehmen - das Zugriffsrecht wird von dem Parent-Knoten (übergeordneten Knoten) übernommen. ACHTUNG: Wenn es keinen übergeordneten Knoten gibt, wird keine Berechtigung eingestellt (die Berechtigung wird "gelöscht").

  • Nur für diesen Knoten übernehmen - das hier definierte Zugriffsrecht gilt nur für diesen Knoten

  • Für diesen und für Subknoten anwenden - das hier definierte Zugriffsrecht gilt für diesen Knoten sowie alle Subknoten

  • Block: dem Benutzer werden die Datenpunkte nicht angezeigt

  • Lesen: definiert ob der Knoten lesbar ist.

  • Schreiben: definiert ob der Knoten beschreibbar ist.

Unterschiedliche Zugriffsrechte können für den gleichen Datenpunkt gesetzt werden, z.B. einmal Leseberechtigung und einmal Schreibberechtigung. Damit können für den gleichen Datenpunkt über unterschiedliche Knoten einer Views unterschiedliche Zugriffsrechte festgelegt werden. Wenn mehrere Zugriffsrechte definiert sind, werden alle überprüft. Das höhere Zugriffsrecht hat den Vorrang.

Zugriffsrecht Auswertungsreihenfolge
Block 0
Lesen 1
Schreiben 2

Wenn z.B. der Datenpunkt "Geschwindigkeit" einmal mit Zugriffsrecht "Lesen" mit dem Knoten "Turbine1" verknüpft ist und einmal mit dem Knoten "Turbine2" mit Zugriffsrecht "Schreiben", hat das höhere Zugriffsrecht "Schreiben" den Vorrang. (Auswertungsreihenfolge: 2).

Berechtigungen

Unter Berechtigungen werden nach Anklicken eines Views alle Knoten und Datenpunkte dieses Views in einer eigenen Zeile angezeigt. In der Spalte "Berechtigung" wird angezeigt welches Zugriffsrecht für diesen Datenpunkt zugewiesen wurde - Siehe Beschreibung des Zugriffsrechts weiter oben.

Abbildung 8. Views und Berechtigungen
Abbildung 9. Berechtigungen für die unterschiedlichen Knoten einer View

Globale Einstellungen

CNS Key

Unter diesem Schlüssel (Key) werden die Berechtigungen des Authorization Check Plug-ins gespeichert. Beispiel: der Schlüssel „OA:ACP“ wird parametriert. Die Berechtigungsinformationen werden unter diesem Schlüssel gespeichert. Der Schlüssel darf nur einmal definiert werden. Der Defaultwert ist OA:ACP.

VORSICHT:

Dieser Schlüssel muss im Projekt definiert werden und kann nach bereits erfolgter Konfiguration der Zugriffsberechtigungen nicht mehr geändert werden.

Standardberechtigung

Im Feld Standardberechtigung wird die Standardberechtigung für alle Datenpunkte festgelegt. Die Standardberechtigung gilt für alle DPE, die nicht auf der Registerkarte "Views" mit einem Anlagenmodell-Knoten verknüpft wurden und die nicht in der Public-Datenpunktliste (in der Registerkarte DPE) enthalten sind.

Abbildung 10. Standardberechtigung

DPE

Auf der Registerkarte "DPE" können globale Berechtigungen auf Datenpunkte für Manager eingestellt werden. Diese Berechtigungen gelten für das ganze WinCC OA-Projekt unabhängig vom Benutzer.

Die Registerkarte "DPE" erfasst die folgenden Bereiche: Manager Ansicht, Datenpunkttyp/Datenpunktelement, Zugriffsrecht, Berechtigungen und DP Ansicht/DP Voransicht.

Wählen Sie einen Manager aus der Manager Ansicht (Schritt 1). Ziehen Sie einen Datenpunkt per Drag &Drop in das Feld "Datenpunktelement" bzw. den Datenpunkttyp in das gleichnamige Feld (Schritt 2&3) oder ziehen Sie einen Datenpunkt mittels Drag&Drop in die Tabelle (siehe Abbildung unterhalb). Setzen Sie das Zugriffsrecht für die Datenpunkte (Schritt 4) und speichern Sie die Konfiguration (Schritt 5). Die Beschreibungen der einzelnen Felder finden Sie weiter unten.

Abbildung 11. Authorization Check Plug-in Wizard - Registerkarte "DPE"

Manager Ansicht

Wählen Sie aus der Manager Ansicht einen Manager für den Berechtigungen gesetzt werden sollen.

Abbildung 12. Manager Ansicht

Datenpunkttyp/ Datenpunktelement

Es kann der Zugriff auf bestimmte Datenpunkte über das Feld "Datenpunkttyp" bzw. "Datenpunktelement" konfiguriert werden. Dabei kann die Wildcard * für Datenpunktelemente verwendet werden.

Zugriffsrecht

Die folgenden Berechtigungen können für die Manager global gesetzt werden. Die Berechtigungen gelten für das gesamte Projekt unabhängig vom Benutzer:

  • Block: dem Benutzer werden die Datenpunkte nicht angezeigt

  • Lesen: definiert ob der Knoten lesbar ist.

  • Schreiben: definiert ob der Knoten beschreibbar ist.

Systemrelevante DPE hinzufügen

Fügt die für den Betrieb von WinCC OA relevanten Datenpunktelemente zu der Berechtigungen -Tabelle unterhalb hinzu - siehe Abbildung unterhalb.

Abbildung 13. Systemrelevante DPE

Berechtigungen

Unter Berechtigungen werden die konfigurierten Datenpunkttypen und Datenpunkte sowie die Berechtigung (Block, Lesen oder Schreiben) angezeigt.

DP-Ansicht/Voransicht

Aus der DP-Ansicht können Datenpunkttypen und Datenpunkte mittels Drag & Drop selektiert werden.

Abbildung 14. Datenpunkt Ansicht

DP-Voransicht

Die Schaltfläche zeigt an welche Datenpunkte bei Verwendung von Wildcards selektiert werden. Die Abbildung unterhalb veranschaulicht die Datenpunkt-Voransicht. Selektieren Sie Datenpunkttypen und Datenpunkte mittels Drag & Drop (Schritt 1) und zeigen Sie die Datenpunkte über die Schaltfläche an (Schritt 2).

Der Datenpunkt der selektierten Zeile wird über die Schaltfläche angezeigt. Wenn Sie den Stern (*) für das Datenpunktelement-Feld verwenden, werden alle Datenpunktelemente des spezifischen Datenpunkttyps angezeigt. D.h., dass nicht nur die Datenpunktelemente, die über Drag&Drop selektiert wurden, angezeigt werden, sondern alle Datenpunktelemente des spezifischen Typs.

Abbildung 15. DPE-Registerkarte und DP Voransicht - alle Datenpunktelemente des Datenpunkttyps "Windpark1" werden über den Stern * angezeigt

Abbildung 16. DPE-Registerkarte und DP Voransicht - der Datenpunkt "w1_turbine2.speed" des Datenpunkttyps "Windpark1" wird angezeigt.