Plattformbenutzer

Plattformbenutzer sind die Personen, die sich bei Hydden.Control anmelden und es verwenden können. Administratoren verwalten Plattformbenutzer, weisen Rollen zu und konfigurieren eingeschränkten Zugriff, um sicherzustellen, dass Benutzer angemessene Berechtigungen für ihre Verantwortlichkeiten haben.

Überblick

Plattformbenutzer repräsentieren Personen, die sich bei Hydden.Control anmelden und damit interagieren können. Dies unterscheidet sich von Eigentümern, die Identitätseigentümer (Mitarbeiter, Auftragnehmer, Anbieter) repräsentieren, deren Konten und Zugriff überprüft werden.

Konzept	Beschreibung	Beispiele
Plattformbenutzer	Benutzer, die sich bei Hydden.Control anmelden, um Zugriff zu verwalten und zu überprüfen	Administratoren, Überprüfer, Auditoren
Eigentümer	Identitätseigentümer, deren Konten und Zugriff verwaltet werden	Mitarbeiter mit Konten in verschiedenen Systemen

Plattformbenutzer vs. Eigentümer

Plattformbenutzer haben Rollen, die bestimmen, was sie in Hydden.Control tun können. Eigentümer sind die Personen, deren Zugriff in Kampagnen überprüft wird. Eine Person kann sowohl Plattformbenutzer als auch Eigentümer sein.

Die Plattformbenutzerseite zeigt alle Benutzer in Ihrer Organisation mit ihren:

• Name - Anzeigename des Benutzers
• E-Mail - Authentifizierungs-E-Mail-Adresse (muss mit SSO-Anbieter übereinstimmen)
• Subject - Authentifizierungssubjekt vom SSO-Anbieter
• Anbieter-ID - Identitätsanbieter-Kennung
• Status - Aktiv, Inaktiv oder Gesperrt
• Rollen - Zugewiesene Rolle(n): Administrator, Überprüfer oder Auditor
• Letzte Anmeldung - Neuester Anmeldezeitstempel
• Erstellt - Kontoerstellungsdatum
• Token-Version - Interne Version für Sicherheitstoken-Verwaltung
• Aktionen - Sperren-, Bearbeiten-, Löschen-Optionen

Benutzerrollen

Hydden.Control unterstützt drei Benutzerrollen mit jeweils unterschiedlichen Fähigkeiten:

Rolle	Zweck	Zugriffsstufe
Administrator	Hydden.Control einrichten und verwalten	Voller Zugriff auf alle Funktionen
Überprüfer	An Zugriffsüberprüfungskampagnen teilnehmen	Eingeschränkter Zugriff auf zugewiesene Überprüfungen
Auditor	Kampagnenergebnisse und Berichte ansehen	Schreibgeschützter eingeschränkter Zugriff

Administrator

Administratoren haben vollen Zugriff auf alle Hydden.Control-Funktionen:

• Kampagnen erstellen, ändern und löschen
• Einstellungen, Regeln und Richtlinien konfigurieren
• Plattformbenutzer verwalten
• Auf alle Identitätsdaten zugreifen
• Berichte ansehen und exportieren

Einzelner Administrator-Schutz

Wenn Sie der einzige Administrator sind, können Sie Ihre eigene Rolle nicht herabstufen, um versehentliche Aussperrung zu verhindern.

Überprüfer

Überprüfer nehmen an Zugriffsüberprüfungskampagnen teil:

• Konten in Kampagnen überprüfen, bei denen sie als Überprüfer zugewiesen sind
• Akzeptieren-, Ablehnen- und Markieren-Entscheidungen treffen
• Kommentare zu Überprüfungsentscheidungen hinzufügen
• Kampagnenberichte-Downloads generieren
• Schreibgeschützter Zugriff auf Identitätsdaten innerhalb ihres Umfangs

Auditor

Auditoren sehen Kampagnenergebnisse für Compliance-Zwecke an:

• Schreibgeschützter Zugriff auf Kampagnen
• Überprüfungsentscheidungen und Kommentare ansehen
• Kampagnenberichte-Downloads generieren
• Schreibgeschützter Zugriff auf Identitätsdaten innerhalb ihres Umfangs

Eingeschränkter Zugriff

Überprüfer und Auditoren haben eingeschränkten Zugriff, was bedeutet, dass sie nur auf bestimmte Anwendungen und Kontotypen zugreifen können. Administratoren konfigurieren diesen Umfang beim Erstellen oder Bearbeiten von Benutzern.

Zugewiesene Anwendungen

Geben Sie an, auf welche Anwendungen der Benutzer zugreifen kann:

• Spezifische Anwendungen aus Ihren verbundenen Datenquellen auswählen
• Benutzer kann nur Konten ansehen und überprüfen, die mit diesen Anwendungen verbunden sind
• Leer lassen für keine Anwendungseinschränkungen (Zugriff auf alle Anwendungen)

Kontotypen

Geben Sie an, auf welche Kontotypen der Benutzer zugreifen kann:

Kontotyp	Beschreibung
Benutzerkonto	Standard-Benutzerkonten
Dienstkonto	Nicht-menschliche Dienstkonten
Admin-Konto	Administrative Konten
Föderiertes Konto	Konten aus föderierten Identitätsquellen
Systemkonto	Systemgenerierte Konten

Wählen Sie die Kontotypen aus, die für die Überprüfungsverantwortlichkeiten des Benutzers relevant sind.

Umfangskonfiguration

Für Überprüfer, die bestimmten Kampagnen zugewiesen sind, konfigurieren Sie ihren Umfang so, dass er mit den Zielanwendungen und Kontotypen der Kampagne übereinstimmt.

---

Eigentümerverwaltung

Eigentümer repräsentieren die Personen (Mitarbeiter, Auftragnehmer, Anbieter), deren Konten und Zugriff über Hydden.Control verwaltet werden. Während Plattformbenutzer das System verwalten, sind Eigentümer die Subjekte von Zugriffsüberprüfungen.

Eigentümerattribute

Eigentümer haben umfangreiche Attributprofile, die aus verbundenen Datenquellen synchronisiert werden:

Attributkategorie	Felder
Identitätsinformationen	Identitäts-ID, Identitätsname, Identitäts-E-Mail, Alternative E-Mail
Organisationsdaten	Abteilung, Titel, Standort, Vorgesetzter, Startdatum, Enddatum
Kontaktinformationen	Mobiltelefon, Telefon
Eigentümerklassifizierung	Eigentümertyp (Mitarbeiter, Auftragnehmer, Anbieter), Status (Aktiv, Inaktiv)
Rollenzuweisungen	Zugewiesene Rollen basierend auf Organisationsattributen

Eigentümerstatistiken und Risikometriken

Jedes Eigentümerprofil enthält berechnete Risikometriken und Statistiken:

• Kontoaktivität: Anzahl aktiver, inaktiver und ruhender Konten
• Kontostatistiken: Gesamt besessene Konten, Kontoverteilung nach Typ
• Breach-Daten: In bekannten Breach-Datenbanken identifizierte Konten
• Gruppenmitgliedschaft: Gruppen, denen der Eigentümer über Systeme hinweg angehört
• Passwort und Sicherheit: Passwortalter, MFA-Status über Konten hinweg
• Berechtigung: Anzahl privilegierter und hochprivilegierter Konten
• Gesamtbedrohung: Gesamtrisikobewertung berechnet aus Kontorisiken
• Veraltete Konten: Konten, die seit 90, 180 oder 365 Tagen nicht verwendet wurden
• MFA-Lücken: Konten ohne aktivierte MFA
• Fehlgeschlagene Anmeldungen: Konten mit kürzlichen fehlgeschlagenen Authentifizierungsversuchen

Eigentümer vs. Plattformbenutzer-Beziehung

Szenario	Plattformbenutzer	Eigentümer
IT-Administrator, der Control verwaltet	Ja (Administrator-Rolle)	Möglicherweise (wenn sie Konten haben, die überprüft werden)
Manager, der Teamzugriff überprüft	Ja (Überprüfer-Rolle)	Ja (sie haben auch Konten in Systemen)
Mitarbeiter mit Unternehmenskonten	Nein (verwaltet Control nicht)	Ja (ihre Konten werden überprüft)
Dienstkonto	Nein	Nein (als Konto repräsentiert, nicht als Eigentümer)

Eigentümer synchronisieren

Eigentümerdaten werden aus verbundenen Datenquellen synchronisiert:

1. Navigieren Sie zu Einstellungen > Datensynchronisierung
2. Konfigurieren Sie Synchronisierung für Identitätsquellen (Workday, HR-Systeme usw.)
3. Führen Sie manuelle Synchronisierung aus oder planen Sie automatische Synchronisierung
4. Eigentümerprofile werden basierend auf synchronisierten Identitätsdaten erstellt/aktualisiert
5. Eigentümer werden automatisch über Eigentümerzuordnungsalgorithmen mit ihren Konten verknüpft

Siehe Datensynchronisierung für detaillierte Synchronisierungskonfiguration.

---

Benutzer hinzufügen

Manuelle Benutzererstellung

1. Navigieren Sie zu Einstellungen > Plattformbenutzer.
2. Klicken Sie auf + Benutzer hinzufügen.
3. Geben Sie die E-Mail des Benutzers ein - muss mit der E-Mail des Authentifizierungsanbieters übereinstimmen.
4. Geben Sie den Namen des Benutzers ein - Anzeigename, der in der Anwendung angezeigt wird.
5. Wählen Sie einen Status:
   • Aktiv - Benutzer kann sich anmelden
   • Inaktiv - Benutzer kann sich nicht anmelden (für Reaktivierung erhalten)
   • Gesperrt - Benutzerzugriff vorübergehend widerrufen
6. Wählen Sie die Rolle des Benutzers:
   • Administrator
   • Überprüfer
   • Auditor
7. Wenn die Rolle Überprüfer oder Auditor ist, konfigurieren Sie Eingeschränkten Zugriff:
   • Zugewiesene Anwendungen auswählen
   • Kontotypen auswählen
8. Klicken Sie auf Erstellen.

Benutzer bearbeiten

1. Finden Sie den Benutzer in der Plattformbenutzertabelle.
2. Klicken Sie auf das Symbol Bearbeiten (Stift) in der Spalte Aktionen.
3. Ändern Sie Benutzerdetails nach Bedarf.
4. Klicken Sie auf Speichern.

::: note Rollenänderungen und Token-Invalidierung Wenn die Rolle eines Benutzers geändert wird, wird seine Token-Version erhöht. Dies invalidiert alle vorhandenen Authentifizierungstoken für diesen Benutzer und zwingt ihn, sich erneut mit seiner neuen Rolle anzumelden. Diese Sicherheitsmaßnahme stellt sicher, dass Benutzer sofort unter ihrer neuen Berechtigungsstufe operieren und verhindert Berechtigungserweiterung aus zwischengespeicherten Token. :::

Benutzerstatusverwaltung

Benutzer sperren

Um Zugriff vorübergehend zu widerrufen:

1. Klicken Sie auf das Symbol Sperren in der Spalte Aktionen.
2. Bestätigen Sie die Sperrung.

Gesperrte Benutzer können sich nicht anmelden, aber ihr Konto und ihre Historie bleiben erhalten.

Benutzer reaktivieren

1. Klicken Sie auf Bearbeiten beim gesperrten Benutzer.
2. Ändern Sie den Status von Gesperrt zu Aktiv.
3. Klicken Sie auf Speichern.

Benutzer löschen

1. Klicken Sie auf das Symbol Löschen in der Spalte Aktionen.
2. Bestätigen Sie die Löschung.

Permanente Aktion

Das Löschen eines Benutzers entfernt sein Konto dauerhaft. Erwägen Sie stattdessen zu sperren, um die Audit-Historie zu erhalten.

Rollendefinitionsmatrix

Die folgende Matrix beschreibt Berechtigungen für jede Rolle über Hydden.Control-Funktionen hinweg:

Funktion	Administrator	Überprüfer	Auditor
Konten	Voller Zugriff	Schreibgeschützt (eingeschränkt)	Schreibgeschützt (eingeschränkt)
Eigentümer	Voller Zugriff	Schreibgeschützt (eingeschränkt)	Schreibgeschützt (eingeschränkt)
Rollen	Voller Zugriff	Schreibgeschützt	Schreibgeschützt
Richtlinien	Voller Zugriff	Kein Zugriff	Kein Zugriff
Gruppen	Voller Zugriff	Schreibgeschützt (eingeschränkt)	Schreibgeschützt (eingeschränkt)
Anwendungen	Voller Zugriff	Schreibgeschützt (eingeschränkt)	Schreibgeschützt (eingeschränkt)
Kampagnen	Voller Zugriff	Zugewiesene Elemente überprüfen	Schreibgeschützt
Einstellungen	Voller Zugriff	Kein Zugriff	Kein Zugriff
Job-Historie	Voller Zugriff	Kein Zugriff	Kein Zugriff
Audit-Protokoll	Voller Zugriff	Kein Zugriff	Kein Zugriff
KI-Assistent	Voller Zugriff	Eingeschränkter Zugriff	Eingeschränkter Zugriff
UI-Design	Design auswählen	Design auswählen	Design auswählen
Profil	Ansehen/Bearbeiten	Ansehen/Bearbeiten	Ansehen/Bearbeiten

Kampagnenberechtigungen Detail

Aktion	Administrator	Überprüfer	Auditor
Kampagnen erstellen	Ja	Nein	Nein
Kampagnen ändern	Ja	Nein	Nein
Kampagnen löschen	Ja	Nein	Nein
Kampagnen starten/verlängern/beenden	Ja	Nein	Nein
Elemente überprüfen	Ja	Ja (nur zugewiesene)	Nein
Kampagnenfortschritt ansehen	Ja	Ja (nur zugewiesene)	Ja
Berichte exportieren	Ja	Ja	Ja

Token-Dauer

Authentifizierungstoken haben folgende Ablaufzeiten:

Token-Typ	Dauer
Zugriffs-Token	1 Stunde
Aktualisierungs-Token	24 Stunden

Benutzer werden automatisch abgemeldet, wenn beide Token ablaufen. Sitzungen bleiben aktiv, solange der Benutzer die Anwendung aktiv verwendet und das Aktualisierungs-Token gültig ist.

Best Practices

1. Prinzip der geringsten Berechtigung - Die minimale Rolle zuweisen, die für die Verantwortlichkeiten jedes Benutzers benötigt wird
2. Angemessen eingrenzen - Eingeschränkten Zugriff für Überprüfer und Auditoren konfigurieren, um Datenexposition zu begrenzen
3. Regelmäßige Überprüfung - Plattformbenutzer regelmäßig prüfen und diejenigen entfernen, die keinen Zugriff mehr benötigen
4. Mehrere Admins - Mindestens zwei Administratoren pflegen, um Aussperr-Szenarien zu verhindern
5. Sperrung verwenden - Sperren statt Löschen von Benutzern, um Audit-Historie zu erhalten

Verwandte Themen

• Kampagnen - Kampagnen erstellen und verwalten
• KI-Assistent - KI-Funktionen und Zugriff
• Audit-Protokoll - Benutzeraktivitäten verfolgen
• Einstellungsübersicht - Alle Einstellungsoptionen