Sie können Windows-Konten und Windows-Gruppen im System deklarieren, um diesen einen Zugriff auf eigene Anwendungen zu erteilen.

Sie können Gruppen erstellen und diese in einer Hierarchie verwalten. Jede Gruppe kann Untergruppen, Benutzerkonten aus Benutzername und Kennwort oder Windows-Benutzerkonten enthalten. Sie können einer Gruppe eine Rolle zuweisen. In diesem Fall erhalten alle Benutzer in dieser Gruppe oder in ihren Untergruppen diese Rolle.

Benutzer in Produktionsumgebungen starten Windows-Sitzungen wie gewohnt. Öffnet ein Benutzer eine Anwendung, verwendet Visual Guard das aktuelle Windows-Benutzerkonto zur Authentifizierung gegenüber dem Active Directory. Im Ergebnis braucht ein Benutzer seine Anmeldeinformationen zum Zugriff auf Anwendungen nicht wiederholt anzugeben. Dieses Verfahren wird bezeichnet als „Einmaliges Anmelden“ (Single Sign-On).

Mit dieser Funktionalität von Visual Guard können die Nutzer Ihrer Anwendung(en) mit mehreren Kontenarten arbeiten. Beispielsweise können Sie interne Benutzer über ihre Windows-Konten authentifizieren und externe über Benutzerkonten auf Basis von Benutzernamen/Kennworten.

Für eine höhere Sicherheit können Sie Regeln deklarieren, die Visual Guard durchsetzt, wenn Benutzer ihre Kennworte festlegen.

Sie können die Benutzerauthentifizierung für mehrere Websites zusammenfassen, selbst wenn sich diese in verschiedenen Netzwerken oder Unternehmen befinden. Benutzer melden sich einmalig bei Besuch der ersten Website an. Danach ist ein Wechsel zu einer anderen Website möglich, ohne dass die Anmeldeinformationen erneut angegeben werden müssen.

Sie können die Active Directory-Repositories verschiedener Netzwerke oder Unternehmen zusammenfassen. Administratoren können Windows-Konten und Windows-Gruppen aus diesen Active Directories in einem zentralen Visual Guard-Repository deklarieren. Dann können die entsprechenden Benutzer auf die vom System gesicherten Anwendungen zugreifen. Im Ergebnis bekommen Sie ein zentrales Sicherheitssystem, selbst wenn die Benutzer über verschiedene unabhängige Windows-Domains verteilt sind.

Wird eine Windows-Anwendung (Winform oder WPF) an einem entfernten Standort ausgeführt, beispielsweise auf einem über das Internet verbundenen PC, der nicht zu derselben Domäne gehört wie das Windows-Konto des Benutzers, gibt der Benutzer seine Windows-Anmeldeinformationen an und wird durch Visual Guard authentifiziert.

Falls Sie eine Winform- oder WPF-Anwendung einsetzen, können Ihre Nutzer auf diese selbst dann zugreifen, wenn kein Zugang zum Visual Guard-Repository besteht. Visual Guard umfasst einen Offlinespeicher, der die Benutzerberechtigungen der Clientseite enthält und der die Benutzeraktionen innerhalb der Anwendung protokolliert. Sobald die Anwendung wieder eine Verbindung zum Server besitzt, wird der Offlinespeicher automatisch mit dem Visual Guard-Repository synchronisiert.

Sie können Berechtigungen einrichten, um zu definieren, in welchem Umfang Benutzer auf Anwendungen und deren Funktionen zugreifen dürfen.
Berechtigungen werden in Berechtigungssätzen gruppiert. Berechtigungssätze werden Rollen zugewiesen. Rollen werden Benutzern und Gruppen zugewiesen.

Jede Berechtigung entspricht einer Aktion oder mehreren Aktionen, um Funktionalitäten einer Anwendung zu aktivieren, deaktivieren oder modifizieren.
Mit statischen Berechtigungen werden diese Aktionen in einer Anwendung codiert: Die Anwendung ruft Visual Guard auf, um Benutzerberechtigungen zu erhalten, und führt dann die entsprechenden Aktionen aus, um die Anwendung entsprechend der Benutzerberechtigungen anzupassen.

Jede Berechtigung entspricht einer Aktion oder mehreren Aktionen, um Funktionalitäten einer Anwendung zu aktivieren, deaktivieren oder modifizieren.
Mit dynamischen Berechtigungen werden diese Aktionen ausschließlich in Visual Guard definiert. Sie werden dann dynamisch durch das Visual Guard-Laufzeitmodul angewendet. Auf diese Weise bleibt der Anwendungscode unverändert und enthält keine Anweisungen zur Definition von Berechtigungen.

In Visual Guard eingerichtete Berechtigungen (statisch oder dynamisch) können Benutzeroberflächenkomponenten Ihrer Anwendungen verbergen oder deaktivieren. Berechtigungen können generell jede Eigenschaft einer .NET- oder PowerBuilder-Komponente modifizieren. Bei dynamischen Berechtigungen werden diese Änderungen dynamisch durch Visual Guard durchgeführt, ohne Änderungen am Anwendungscode durchführen zu müssen.

Sie können den Zugriff von Benutzern auf eine Untermenge der Anwendungsdaten beschränken.
Beispielsweise können Sie eine Liste oder Tabelle entsprechend der Benutzerprofile filtern.

Sie können eine Rolle definieren, die alle Benutzerberechtigungen für eine Anwendung zusammen gruppiert.

Sie können eine Rolle definieren, die alle Benutzerberechtigungen für mehrere Anwendungen zusammen gruppiert.

Sie können eine Rolle an einen Benutzer zuweisen, der entweder über ein Benutzerkonto aus Benutzername und Kennwort oder über ein Windows-Benutzerkonto verfügt.

Sie können eine Rolle einer Visual Guard-Benutzergruppe zuweisen. Alle Benutzerkonten in dieser Gruppe oder in ihren Untergruppen erhalten damit diese Rolle. Sie können eine Rolle außerdem einer Windows-Gruppe zuweisen. In diesem Fall erhalten alle Windows-Benutzerkonten in dieser Active Directory-Gruppe diese Rolle.

Visual Guard-Administratoren und Auditoren können Berichte über die aktuellen Sicherheitsdaten generieren (Benutzer, Gruppen, Rollen, Berechtigungen usw.)

Sie können alle sensiblen Operationen protokollieren, die Benutzer in von Visual Guard gesicherten Anwendungen durchführen. Sie können dann Berichte zu diesen Vorgänge generieren: Wer tat was und wann...

Sie können alle Operationen protokollieren, die Visual Guard-Administratoren durchführen, beispielsweise die Erstellung von Benutzerkonten, die Vergabe von Berechtigungen usw.
Sie können dann Berichte zu diesen Vorgänge generieren: Wer tat was und wann...