Rollen

Wie bereits im Kapitel Benutzer beschrieben, ergeben die sich die effektiven Zugriffsrechte eines Benutzers aus der Kombination der Auswahl oder Zuordnung einer Rolle und einer Firma im Rahmen einer konkreten Anmeldung (Sitzung, Session).

Dabei entscheidet die Rolle "kategorisch", welche Berechtigungen grundsätzlich verfügbar sein sollen und vor allem, welche grundsätzlich ausgeschlossen sind.

Damit Berechtigungen, die sich auf Datenobjekte beziehen (etwa: das Ändern eines Benutzerkontos), effektiv genutzt werden können, muss neben der grundsätzlichen Erlaubnis in der Rolle auch der Zugriff der Firma auf das jeweilige Datenobjekt gewährleistet sein. Nur für Datenobjekte, die eine Firma besitzt, ist das selbstverständlich der Fall. Alle Zugriffe auf Daten im Besitz anderer Firmen, erfordern Firmenfreigaben. Sonderfälle sind dabei Datenobjekte ohne Besitzer und spezielle Daten (ausgewählte Stammdaten, z. B. auch die "Rollen"), für die der Besitzer per Definition nicht beachtet wird. In beiden Fällen haben alle Firmen Vollzugriff und nur Einschränkungen durch die Rolle greifen.

Über den Bezug zu einer Firma ergibt sich der "Aktionsradius", in dem die Rolle effektiv ausgeübt werden kann, soweit es um Berechtigungen geht, für die der Firmenzugriff (Besitz oder Freigabe) relevant ist.

Die Berechtigungsstrukturen für die Definition von Rollen und Firmenfreigaben sind in großen Teilen analog aufgebaut, so dass die Überschneidungen (s. a. Beispiel) einfach nachvollzogen und effizient verwaltet werden kann.

Die Rollendefinition umfasst aber auch rein funktionale Berechtigungen (z. B. den Zugriff auf administrative Werkzeuge), die nicht Gegenstand von Firmenfreigaben sind. Umgekehrt können Freigaben für Berechtigungen erteilt werden, die in der Rollendefinition nicht enthalten sind.

Beispiel

Ein Benutzer meldet sich mit einer Rolle an, die das Lesen von Sendungen erlaubt, nicht aber das Ändern, Erstellen und Löschen. Die im Zuge der Anmeldung zugeordnete Firma verfügt aufgrund einer Firmenfreigabe ausdrücklich über die Genehmigung, Sendungen einer anderen Firma nicht nur zu Lesen sondern auch zu Ändern. In dieser Konstellation darf der Benutzer die Sendungen der fremden Firma lesen. Ändern darf er aufgrund der Rolle weder fremde noch eigene Sendungen.

Stark vereinfacht könnte man von einer Schnittmenge zwischen den per Rolle und per Firma getroffenen Regeln sprechen, soweit es um Berechtigungen geht, die beide Ebenen betreffen.

Die Berechtigung "Anzeigen" (s. Bild) gibt es dagegen nur in der Rollendefinition. Sie greift in Verbindung mit der Firmenfreigabe für das "Lesen" auch für fremde Sendungen.

images/download/attachments/78263259/image2018-9-26_10-10-20-version-1-modificationdate-1632217964444-api-v2.png

Rollenübersicht

Rollen können über den Menüpunkt "Rollenübersicht" mit einer Kombination von Liste und Detailmaske verwaltet werden:

images/download/attachments/78263259/03-04-_2018_11-30-28-version-1-modificationdate-1632217964458-api-v2.png


Die Liste (1) zeigt alle für den angemeldeten Benutzer sichtbare Rollen, die bereits im System eingetragen sind.

Die Reiter Rolle (2) und Berechtigungen (3) enthalten die Details zur Rolle.

Abhängig von den jeweiligen Berechtigungen kann der Benutzer eine Rolle per Ribbon "Neu" erstellen oder eine bestehende Rolle aus der Liste (1) auswählen und diese "Kopieren", bearbeiten und "Speichern" oder "Löschen".

Der Rollenname (4) dient als Klartextname für die Rolle und muss systemweit eindeutig sein. Optional kann außerdem ein Beschreibungstext (5) hinterlegt werden, um den Zweck der Rolle zu charakterisieren.
Tipp: Der Rollenname kann über die Sprachverwaltung (Bundle: "rolename", Schlüssel: Name der Rolle) übersetzt werden. Das Bundle "rolename" muss unter Umständen erst angelegt werden.

Wie ein Benutzer kann auch eine Rolle aktiv (6) oder inaktiv gesetzt werden. Inaktive Rollen können nicht für eine Anmeldung am System verwendet werden. Das bedingt, dass einem Benutzer, dem keine aktive Rolle zugeordnet ist, der Zugang zum System verwehrt ist.

Jede Rolle (ausgenommen der Super User Rolle) muss sich auf eine übergeordnete Rolle (7) beziehen. Aus der Definition dieser Beziehungen zwischen Rollen ergibt sich eine Rollenhierarchie, für die folgende Prinzipien gelten:

  • Die für eine Anmeldung verwendete Rolle wird als Rolle der Session bezeichnet. Für die Rolle der Session selbst besteht nur Lesezugriff. Sie kann nicht geändert oder gelöscht werden.

  • Der Zugriff auf Rollen ist auf die Hierarchie abwärts von der Rolle der Session beschränkt. Die Rollenübersicht zeigt neben der Rolle der Session also nur dieser direkt oder indirekt untergeordnete Rollen.

  • Beim Anlegen einer neuen Rolle kann die übergeordnete Rolle nur aus den Rollen ausgewählt werden, für die Zugriff besteht. Die neue Rolle kann also nur innerhalb der Hierarchie der Rolle der Session eingeordnet werden.

  • Verweise auf Rollen, für die innerhalb der aktuellen Sitzung kein Zugriff besteht, zeigen die Beschriftung "Versteckte Rolle". Mit Verweisen auf "Versteckte Rollen", können Rollen oder Benutzerkonten nicht gespeichert werden.

  • Für eine Rolle können nur Berechtigungen gewährt werden, die in der übergeordneten Rolle abgedeckt sind. In der Regel geben übergeordnete Rollen nur eine Teilmenge ihrer Berechtigungen weiter. Wichtige Details hierzu beschreibt der folgende Abschnitt.

HINWEIS◄ "Rollen" gehören zu den Datenobjekten, für die der Besitz nicht beachtet wird. Der Zugriff auf Rollen hängt nur von der Rolle der Session in Verbindung mit der Rollenhierarchie ab. Die Firma der Session hat keinen Einfluss, weshalb es auch keine Berechtigungen für Rollen in Firmenfreigaben gibt.

Berechtigungen

images/download/attachments/78263259/03-04-_2018_11-43-23-version-1-modificationdate-1632217964461-api-v2.png


Der Reiter "Berechtigungen" dient zur Definition der Berechtigungen, die für die Rolle erteilt werden sollen. Dabei werden drei unterschiedliche Modi (1) unterstützt:

Modus

Berechtigungen

"Alle"

Für die Rolle gelten pauschal sämtliche Berechtigungen als erteilt, über die die übergeordnete Rolle verfügt.

"Alle aber beachte Besitzereinschränkungen"

Für die Rolle gelten pauschal sämtliche Berechtigungen als erteilt, über die die übergeordnete Rolle verfügt,
außer den Berechtigungen vom Typ "Besitzereinschränkung ignorieren".

"Benutzerdefiniert"

Ausgehend von den Berechtigungen, über die die übergeordnete Rolle verfügt, kann anhand einer Baumstruktur (s. Screenshot) eine Teilmenge definiert werden.

Details zum Modus "Benutzerdefiniert"

Berechtigungen werden durch An- und Abwählen im Berechtigungsbaum (2) erteilt oder verweigert. Der Baum gruppiert die einzelnen Berechtigungen ggf. über mehrere Stufen, die auch pauschal an- oder abgewählt werden können.

Für jedes Gruppenelement im Baum sind dabei drei Statuswerte möglich:

  • Ein "Haken" signalisiert, dass alle unterhalb aufgeführten Berechtigungen erteilt werden.

  • Ein "leeres Feld" signalisiert, dass alle unterhalb ausgeführten Berechtigungen verweigert werden.

  • Ein "ausgefülltes Feld" signalisiert, dass die unterhalb aufgeführten Berechtigungen teilweise erteilt und teilweise verweigert werden.

►WICHTIG◄ Die Baumstruktur beinhaltet nur Berechtigungen (inkl. übergeordneten Gruppenelementen), die laut der aktuellen Definition für die übergeordnete Rolle "erteilt" sind. Die beschriebene Symbolik für die Gruppenelemente bezieht sich dabei immer auf die Elemente die akut im Baum angezeigt werden. Diese Einschränkung gilt auch dann, wenn der Baum mit der nachfolgend beschriebenen Suchfunktion gefiltert wird.

Durch Eingabe einer Zeichenfolge in das Suchfeld (3) kann gezielt nach bestimmten Berechtigungen oder Gruppenelementen gesucht werden. Die Suche startet beim Drücken der Eingabetaste und reduziert die Baumdarstellung auf Äste, die einen Treffer enthalten. In den Suchergebnissen können dann wieder Berechtigungen oder Gruppenelemente an- und abgewählt werden.

Um zum ungefilterten Baum zurückzukehren, kann man entweder das Suchfeld (3) löschen und die Eingabetaste drücken oder das x-Symbol anklicken, das anstelle der Lupe links neben dem Suchfeld erscheint, wenn eine Suche ausgeführt wurde:

images/download/attachments/78263259/image2018-10-1_15-12-23-version-1-modificationdate-1632217964432-api-v2.png

images/s/-95e2zf/9012/8yg2g7/_/images/icons/emoticons/warning.svgWARNUNGimages/s/-95e2zf/9012/8yg2g7/_/images/icons/emoticons/warning.svg Wenn der Berechtigungsumfang einer Rolle reduziert wird, entfällt diese Berechtigung effektiv auch für alle direkt oder indirekt untergeordneten Rollen. Entsprechend reduziert sich auch die Baumansicht um die weggefallenen Elemente. Soweit die Rollendefinition einer untergeordneten Rolle eine betroffene Berechtigung ausdrücklich gewährt hatte, bleibt diese Zuordnung dabei allerdings latent erhalten, solange die Rollendefinition nicht verändert wird. Falls der Berechtigungsumfang der übergeordneten Rolle zu eine späteren Zeitpunkt wieder erweitert oder etwa eine andere Rolle mit entsprechenden Berechtigungen übergeordnet werden sollte, gelten "latente" Berechtigungen für die untergeordnete Rolle sofort wieder als erteilt.