Anlegen von Firmenfreigaben

Zurück zu Anlegen von Firmenstrukturen

Arbeitsschritte auf dieser Seite:

Im vorigen Abschnitt wurde die Anlage der im Bild dargestellten Firmenstruktur in Lobster Data Platform / Orchestration beschrieben.

Zur Anmeldung am System soll weiterhin der Benutzer "jabend" verwendet werden, der als "Administrator" im Kontext der Firma "Smart Logistics AG" agiert.

images/download/attachments/62866697/image2015-12-4_9_19_51-version-1-modificationdate-1612347978866-api-v2.png














Nach Anlage aller Firmen für das Beispielszenario sollte die Firmenübersicht aus Sicht der "Smart Logistics AG" ungefähr aussehen wie im folgenden Screenshot dargestellt:

images/download/attachments/62866697/image2020-11-26_9-55-32-version-1-modificationdate-1612347978823-api-v2.png

Überprüfen Sie, dass die Spalte Übergeordnete Firmen (1) jeweils auf die in der Firmenhierarchie (s. Bild oben) übergeordnete Firma verweist!

Alle der "Smart Logistics AG" untergeordneten Firmen innerhalb dieser Hierarchie wurden mit einer Anmeldung als Benutzer "jabend" erstellt, für den die Firma "Smart Logistics AG" (an der Spitze der Hierarchie) automatisch als Firma der Session gilt, da im Benutzerkonto keine anderen Firmen zugewiesen sind.

  • Die Firma der Session wurde deshalb automatisch als Besitzer (2) aller neu angelegten Firmen zugeordnet, wie ein Blick in die entsprechende Spalte der Firmenübersicht bestätigt.

  • Nur aufgrund dieser "Besitzverhältnisse" besteht im Kontext der "Smart Logistics AG" überhaupt Zugriff auf die Konten der neu angelegten Firmen. Dass diese Firmen der "Smart Logistics AG" direkt oder indirekt untergeordnet sind, spielt für den Zugriff dagegen bisher keine Rolle.

Besitzverhältnisse anpassen

Abweichend vom bisherigen Stand sollen im Beispielszenario nun die "Besitzverhältnisse" an die Hierarchiebeziehungen angeglichen werden, so dass der Besitzer (2) einer Firma immer die direkt übergeordnete Firma (1) ist.

WICHTIGDieses Prinzip ("Besitz ≈ Hierarchie") sollte nicht als Best Pratice für ein reales Projekt missverstanden werden. Es wird hier lediglich angewendet, um die Auswirkungen von Freigaben zu demonstrieren. In der Praxis kann es gute Gründe geben, die Firmenhierarchie und die Besitzverhältnisse unterschiedlich auszugestalten. Nicht zuletzt können für dieselbe Firma auch mehrere Übergeordnete Firmen (1) angegeben werden, während der Besitzer (2) eindeutig bestimmt sein muss. In jedem Fall muss das Zusammenspiel zwischen Rollen, Besitzverhältnissen, Firmenhierarchie und den hier im Anschluss vorgestellten Firmenfreigaben immer sorgfältig durchdacht, koordiniert und in der Umsetzung kontrolliert werden, damit alle notwendigen Zugriffe gewährleistet und keine unerwünschten möglich sind.

Konkret müssen nur diejenigen untergeordneten Firmenkonten angepasst werden, die der "Smart Logistics AG" indirekt untergeordnet sind, da nur für diese die übergeordnete Firma noch vom Besitzer abweicht:

  • Die Firma "SL LDN" soll in den Besitz der "SL UK" übertragen werden.

  • Die Firmen "SL BER" ubnd "SL MUC" sollen in den Besitz der "SL Germany" übertragen werden.

Die Hauptkategorie Verwaltung im Ribbon der Firmenübersicht bietet in der Unterkategorie Besitzer ändern eine Combobox an, die den aktuellen Besitzer anzeigt und eine neue Zuordnung per Dropdown ermöglicht:

images/download/attachments/62866697/image2020-11-26_10-44-17-version-1-modificationdate-1612347978760-api-v2.png

Im Bild wurde die Firma "SL LDN" in der Liste ausgewählt, so dass deren Detaildaten angezeigt werden. Im Ribbon sollte nun per Besitzer ändern der Besitzerwechsel von der "Smart Logistics AG" auf die bereits übergeordnete Firma "SL UK" vollzogen werden.

Problem: Beim Aufklappen der Combobox erscheint die Firma "SL UK" nicht im Dropdown!?

Warum kann die Firma "SL UK" nicht als Besitzer ausgewählt werden?

  • Die Firma der Session ("Smart Logistics AG") ist zwar aktuell der Besitzer des Firmenkontos der Firma "SL LDN" und daher grundsätzlich berechtigt Änderungen an diesem Firmenkonto vorzunehmen.

  • Das Ändern des Besitzers für dieses Firmenkonto zu "SL UK" wird vom System allerdings als Eingriff in die Firmenkonten der "SL UK" interpretiert, denen das Konto der Firma "SL UK" hinzugefügt werden soll.

  • Die Firma der Session ("Smart Logistics AG") ist zwar auch der Besitzer des Firmenkontos der Firma "SL UK" und hat deshalb Zugriff auf deren Firmenkonto. Dieser Zugriff schließt Firmenkonten, die die Firma "SL UK" besitzt, aber nicht mit ein.

Fazit: Damit die gewünschten Änderungen durch die "Smart Logistics AG" überhaupt durchführbar sind, muss der Zugriff auf die betreffenden Firmenkonten auch noch nach der Änderung des Besitzers gewährleistet sein.

Der jeweilige neue Besitzer muss zu diesem Zweck der "Smart Logistics AG" den Zugriff auf "seine" Firmenkonten erlauben. Präziser formuliert muss eine Firmenfreigabe eingerichtet werden, die diesen Zugriff ermöglicht. Der "neue Besitzer" hat dabei keine aktive Rolle. Die "Smart Logistics AG" kann die benötigte Freigabe selbst einrichten.

ANMERKUNG◄ Alternativ käme in der gegebenen Situation zum Umstellen des Besitzers sonst nur noch die Verwendung der Rolle "Super User" in Frage, in deren Kontext die "Besitzereinschränkungen" ignoriert werden. Von dieser Möglichkeit sollte allerdings nur in echten Ausnahmefällen und nicht aus Bequemlichkeit Gebrauch gemacht werden, da der leichtfertige Griff zu diesem "außerordentlichen Mittel" schnell zu Konstellationen mit Abhängigkeiten führt, die ohne solche Sonderrechte kaum noch handhabbar und für weniger privilegierte Benutzer unnötig intransparent sind. Nur wenn die Zugriffsrechte durch Freigaben "sauber geregelt" sind, ist eine kontrollierte und ordentliche Arbeitsteilung für administrative Aufgaben möglich, die besondere Berechtigungen (z. B. zum Bearbeiten von Konfigurationen) erfordern, die aber nur mit begrenztem Aktionsradius (z. B. in einem Teil der Firmenhierarchie) ausgeübt werden sollen.

Firmenfreigaben

Der Menüpfad Verwaltung / Konten / Firmenfreigaben öffnet die Übersicht aller bestehenden Firmenfreigaben, für die im Kontext der aktuellen Anmeldung Zugriff besteht:

images/download/attachments/62866697/image2020-11-25_14-30-2-version-1-modificationdate-1612347978732-api-v2.png images/download/attachments/62866697/image2020-11-25_14-30-49-version-1-modificationdate-1612347978724-api-v2.png images/download/attachments/62866697/image2020-11-26_11-6-6-version-1-modificationdate-1612347978716-api-v2.png

Firmenfreigabe anlegen

Die Liste (1) der Firmenfreigaben erscheint für die Firma "Smart Logistics AG" leer, da für diese Firma bislang noch keine Firmenfreigabe angelegt ist.

Die Neuanlage wird über die Schaltfläche Neu (2) im Ribbon gestartet:

images/download/attachments/62866697/image2020-11-26_11-8-3-version-1-modificationdate-1612347978710-api-v2.png

Die umfangreichen Konfigurationsmöglichkeiten für Firmenfreigaben sind bei Bedarf im entsprechenden Handbucheintrag nachzulesen.

Im Beispielszenario soll zunächst nur eine einfache explizite Freigabe von der Firma "SL UK" an die übergeordnete Firma "Smart Logistics AG" vorgenommen werden, um das oben geschilderte "Problem" beim Besitzerwechsel für die Firma "SL LDN" zu beheben:

  • Als Freigebende Firma (1) wird die "SL UK" ausgewählt, die den Zugriff auf ihre Firmenkonten gewähren soll.

  • Unter Explizite Freigabe wird die "Smart Logistics AG" als direkter Empfänger der Freigabe festgelegt, indem sie in Erlaubte Firmen (2) ausgewählt wird.

  • Die Option Aktiviert? (3) muss ausgewählt sein, damit die Freigabe wirksam ist.

  • Anschließend muss im Reiter Berechtigungen (4) der Inhalt für die Freigabe definiert werden. Im Standard-Modus (Benutzerdefiniert) sind die Berechtigungen über einen Baum einzelnen oder in Gruppen (je Knoten) auswählbar, analog zur Handhabung der Berechtigungen von Rollen.

  • Im Bild wurden sämtliche Berechtigungen für den Knoten Verwaltung (5) als Gegenstand der Freigabe ausgewählt, was die vorrangig benötigte Berechtigung zum "Ändern" von Firmenkonten einschließt.

  • Per Klick auf Speichern (6) im Ribbon wird die Firmenfreigabe erstellt und sofort wirksam.

images/download/attachments/62866697/image2020-11-26_11-14-59-version-1-modificationdate-1612347978696-api-v2.png

images/download/attachments/62866697/image2020-11-26_13-29-8-version-1-modificationdate-1612347978615-api-v2.png

Über die neu eingerichtete Firmenfreigabe ist jetzt sichergestellt, dass die "Smart Logistics AG" über die Firma "SL LDN" auch dann noch verfügen kann, wenn diese in den Besitz der "SL UK" übergeht.

Wenn die Firma "SL LDN" in der Liste der Firmenübersicht ausgewählt ist, erscheinen daher jetzt zusätzliche Optionen im Dropdown für Besitzer ändern:

images/download/attachments/62866697/image2020-11-26_14-1-23-version-1-modificationdate-1612347978600-api-v2.png

Im Gegensatz zum ersten Versuch (ohne die Firmenfreigabe) kann die "Smart Logistics AG" nun die Firma "SL UK" als Besitzer der Firma "SL LDN" festlegen.

Nach dem Klick auf "Speichern" der Änderung (im Ribbon-Tab "Allgemein") erscheint in der Liste nun die "SL UK" als Besitzer und als übergeordnete Firma der Firma "SL LDN":

images/download/attachments/62866697/image2020-11-26_14-7-28-version-1-modificationdate-1612347978593-api-v2.png

Um die Auswirkungen der Firmenfreigabe in Bezug auf die Sichtbarkeit der Firmen weiter zu demonstrieren, schließen wir nun innerhalb der bestehenden Freigabe alle Rechte für Firmen aus.

Der im Bild hervorgehobene und aufgeklappte Knoten "Firmen" enthält alle betreffenden Berechtigungen.

Das Abwählen der Checkbox für den Knoten "Firmen" hebt die Freigabe für alle unterhalb aufgelisteten Berechtigungen auf. Dieser Mechanismus greift auch für zugeklappte Knoten.

Nach dem Speichern dieser geänderten Konfiguration für die bestehende Firmenfreigabe erscheint die Firma "SL LDN" im Anmeldekontext der "Smart Logistics AG" nun nicht mehr in der Firmenübersicht (s. Bild unten).

Die Firma "SL LDN" ist jetzt im Besitz der "SL UK" und diese teilt - laut der gerade geänderten Freigabe - den Zugriff auf ihre Firmenkonten ausdrücklich nicht mehr mit der "Smart Logistics AG". Diese kann als Besitzer weiterhin auf die "SL UK" zugreifen, aber nicht mehr auf die Firma "SL LDN" in deren Besitz.

images/download/attachments/62866697/image2020-11-26_14-54-20-version-1-modificationdate-1612347978548-api-v2.png

Sofern die Firmenübersicht bereits vor der Änderung der Freigabe geöffnet war, muss sie per Klick auf Suchen im Ribbon (Unterkategorie "Liste") aktualisiert werden:

images/download/attachments/62866697/image2020-11-26_14-38-36-version-1-modificationdate-1612347978561-api-v2.png

Vererbung von Freigaben

Abweichend von der bisherigen Situation im Beispielszenario soll ein Benutzer, der sich mit der Rolle "Administrator" im Kontext der "Smart Logistics AG" anmeldet, künftig sämtliche Berechtigungen für alle direkt und indirekt untergeordneten Firmen, also die gesamte Hierarchie, erhalten.

Analog zur obigen Vorgehensweise könnte man zu diesem Zweck ausgehend von jeder untergeordneten Firma in der Firmenstruktur eine explizite Freigabe für die "Smart Logistics AG" an der Spitze der Hierarchie erteilen. Im Beispielszenario mit nur fünf betroffenen Firmen mag diese Vorgehensweise noch gangbar erscheinen. Allerdings ist auch zu berücksichtigen, dass dann bei jeder Erweiterung der Firmenstruktur um eine zusätzliche Firma auch an die zugehörige Freigabe gedacht werden müsste. Unter Praxisbedingungen sind oft deutlich umfangreichere Firmenhierarchien anzutreffen, so dass die Anlage expliziter Freigaben für alle relevanten 1:1-Beziehungen in der Hierarchie rasch zu ineffizient und unübersichtlich wird.

Mit Hilfe der der Freigabevererbung, die Lobster Data Platform / Orchestration bei der Definition von Firmenfreigaben unterstützt, reicht die Definition einer einzigen Firmenfreigabe aus, um die hier verfolgte Zielsetzung zu erfüllen.

Die Definition der bereits angelegte Freigabe soll zu diesem Zweck wie folgt angepasst werden:

  • Als Freigebende Firma (1) wird hier die "Smart Logistics AG" ausgewählt, auch wenn dies die einzige Firma der Hierarchie ist, von der effektiv keine Freigabe ausgehen soll. Diese Auswahl definiert lediglich die Spitze einer Teilstruktur der Firmenhierarchie, für die die anschließend definierte Freigabevererbung gelten soll. Im Beispielszenario sollt die Vererbung sogar die gesamte Firmenstruktur betreffen.

  • Unter Freigabevererbung (2) wird die Option "Kinder und Kindeskinder" ausgewählt, da die Freigabe von allen direkt und indirekt untergeordneten Firmen ausgehen soll.

  • Die Option Freigebende Firma ausschließen (3) wird gesetzt, da die Freigebende Firma (1) "Smart Logistics AG" an der Spitze der Hierarchie sich selbst keine Freigabe erteilen muss.

  • Unter Explizite Freigabe (rechts) wird die "Smart Logistics AG" unter Erlaubte Firmen (4) als Empfänger der Freigabe ausgewählt.

  • Die Option Aktiviert? (5) muss ausgewählt sein, damit die Firmenfreigabe wirksam ist.

  • Im Reiter Berechtigungen muss der Modus (6) auf "Alle" umgeschaltet werden, da der "Smart Logistics AG" sämtliche Zugriffe pauschal freigegeben werden sollen. Bestehende individuelle Einstellungen unterhalb sind dann irrelevant, werden aber gespeichert und auch reaktiviert, falls der Modus (6) "Benutzerdefiniert" wieder ausgewählt wird.

  • Die Änderung der Freigabe muss durch Speichern (7) abgeschlossen werden.

images/download/attachments/62866697/image2020-11-26_15-34-58-version-1-modificationdate-1612347978533-api-v2.png

images/download/attachments/62866697/image2020-11-26_15-39-3-version-1-modificationdate-1612347978525-api-v2.png

Die gerade eingerichtete Freigabe stellt sicher, dass ein zentral agierender Administrator innerhalb der gesamten untergeordneten Firmenhierarchie uneingeschränkten Zugriff erhält.

In komplexeren Anwendungsfällen ist es oft gewünscht, dass die Administration in Arbeitsteilung und wahlweise durch Akteure auf unterschiedlichen Hierarchieebenen für die jeweils untergeordneten Firmen ausgeführt werden kann.

Die bestehende Freigabe soll nun entsprechend angepasst werden:

  • Die Einstellungen auf der linken Seite (Wer gibt frei?) für die Freigebende Firma (1), die Freigabevererbung (2) und die Option Freigebende Firma ausschließen (3) werden unverändert beibehalten, da das Vererbungsschema ("gesamte Hierarchie ohne Spitze") weiter gültig bleiben soll.

  • Auf der rechten Seite (An wen wird freigegeben?) wird die Auswahl für Erlaubte Firmen (6) entfernt und stattdessen unter Freigabe an Hierarchie (4) die Option "Alle übergeordneten Firmen" gewählt, so dass jede untergeordnete Firma (s. Wer gibt frei? links) jeweils den übergeordneten Firmen (in allen Ebenen) eine Freigabe erteilt. Die Option Auf Hierarchie einschränken (5) wird hier vorsichtshalber gesetzt, obwohl sie in der bestehenden streng hierarchischen Firmenstruktur keine Auswirkung hat. Sie soll verhindern, dass durch die Freigabe an die übergeordnete Hierarchie (4) Firmen Zugriffe erhalten, die nicht der Hierarchie unterhalb der Freigebenden Firma (1) angehören. Dieser Ausschluss wäre z. B. relevant, wenn der Firma "SL Germany" eine weitere Firma übergeordnet würde, die nicht der "Smart Logistics AG" untergeordnet ist.

  • Die Option Aktiviert? (7) muss gesetzt sein, damit die Freigabe wirksam ist.

  • Diese Änderungen sind wiederum per Speichern im Ribbon abzuschließen.

images/download/attachments/62866697/image2020-11-26_17-49-15-version-1-modificationdate-1612347978518-api-v2.png

Auf der Basis der letzten Anpassung der Firmenfreigabe ergibt sich folgendes Bild:

images/download/attachments/62866697/image2015-12-4_9_18_41-version-1-modificationdate-1612347979640-api-v2.png

  • Die schwarzen Pfeile kennzeichnen die Hierarchiebeziehung von der untergeordneten zur übergeordneten Firma.

  • Grüne Pfeil signalisieren, dass eine Firma Berechtigungen (hier: "alle") an eine andere Firma freigibt.

Im Beispielszenario kann jetzt jede Firma stellvertretend für direkt und indirekt untergeordnete Firmen agieren.

Auf dieser Grundlage sollen nun auch die ausstehenden Änderungen für die "Besitzverhältnisse" innerhalb der Struktur vollzogen werden!

Das Ergebnis sollte sich in der Firmenübersicht wie folgt spiegeln:

images/download/attachments/62866697/image2020-11-26_17-57-7-version-1-modificationdate-1612347978510-api-v2.png

  • Obwohl die "Smart Logistics AG" nur noch die ihr untergeordneten Firmen "SL Germany" und "SL UK" besitzt, erscheinen deren untergeordnete Firmen trotzdem in der Übersicht.

  • Für alle Firmen stimmt der Besitzer mit der übergeordneten Firma überein.

ANMERKUNG◄ Bei genauer Betrachtung fällt auf, dass die letzte Aussage für die Firma "Smart Logistics AG" an der Spitze der Hierarchie nicht zutrifft, da für diese als Besitzer die "Default Company" eingetragen ist. Man könnte auf die Idee kommen, den Besitzer der "Smart Logistics AG" zu löschen, damit die Übereinstimmung mit der Spalte Übergeordnete Firmen perfekt ist. Das ist allerdings nicht empfehlenswert, denn Lobster Data Platform / Orchestration behandelt Entitäten ohne Besitzer generell als "Allgemeingut" für das ohne Beachtung von Besitzereinschränkungen Zugriff besteht.

Die hier ausschließlich anhand der Firmen demonstrierte Zugriffskontrolle unter Berücksichtigung von Besitz und Freigaben greift so oder ähnlich auch für die meisten anderen Entitätstypen in Lobster Data Platform / Orchestration.

Wenn erstellte Entitäten in Listen oder Auswahlfeldern nicht wie erwartet erscheinen, müssen mit hoher Wahrscheinlichkeit Firmenfreigaben oder Besitzverhältnisse angepasst werden.


► Weiter mit Anlegen von externen Firmen