Firmenfreigaben

Firmenfreigaben regeln die Freigabe von Berechtigungen zwischen Firmen. Solange keine Freigaben eingerichtet sind, erlaubt Lobster Data Platform / Orchestration keiner Firma den Zugriff auf Daten, die im Besitz "fremder" Firmen sind. Auch wenn eine Firma einer anderen durch Beziehungen in der Firmenhierarchie direkt oder indirekt übergeordnet ist, erhält sie dadurch nicht automatisch Zugriff auf deren Daten.

Beim Aufbau von Firmenhierarchien ist zu berücksichtigen, dass dies auch für den Zugriff auf Firmenkonten gilt. Im Beispielszenario (s. Bild) legt die Smart Logistics AG zunächst die Unterfirma SL Germany an und wird dabei automatisch als Besitzer des neuen Firmenkontos eingetragen. Der Besitzer darf auch ohne Freigaben Änderungen am Firmenkonto vornehmen oder dieses löschen. Allerdings berechtigt der Besitz an SL Germany die Smart Logistics AG nicht dazu, bei der Anlage einer weiteren Firma (etwa SL MUC) die SL Germany als Besitzer einzutragen. Auch wenn die Smart Logistics AG die neue Firma SL MUC zunächst im eigenen Namen anlegt, kann sie den Besitz an der SL MUC der SL Germany ohne Freigabe für den Zugriff auf deren Firmenkonten nicht übertragen.

images/download/attachments/15152425/image2015-12-4_9_19_51-version-1-modificationdate-1512751495000-api-v2.png

Eine Freigabe der SL Germany an die Smart Logistics AG kann unterschiedliche Berechtigungen für Firmenkonten umfassen:

  • Erstellen: Für eine direkte Neuanlage der SL MUC mit Besitzer SL Germany benötigt die Smart Logistics AG eine Freigabe der SL Germany für das Erstellen von Firmenkonten.

  • Ändern: Wenn die Firma SL MUC bereits angelegt wurde und aktuell in Besitz der Smart Logistics AG ist, kann der Besitz an die SL Germany übergeben werden, wenn das Ändern von Firmenkonten zulässig ist.

  • Lesen: Die Firma SL Germany muss der Smart Logistics AG keine Freigabe für das Lesen ihrer Firmenkonten erteilen. Ohne Lesezugriff wird die Firma SL MUC für die Smart Logistics AG "unsichtbar", sobald der Besitz bei der SL Germany liegt.

  • Löschen: Auch das Löschen von Firmenkonten in ihrem Besitz kann die SL Germany der Smart Logistics AG per Freigabe erlauben.

Eine Freigabe gilt immer unspezifisch, so dass ggf. alle Firmenkonten im Besitz der SL Germany gelesen, gelöscht oder geändert werden können (oder nicht). Ob ein Benutzer der Smart Logistics AG die gewährten Berechtigungen tatsächlich nutzen kann, hängt natürlich zusätzlich von der grundsätzlichen Freischaltung der entsprechenden Berechtigungen in der bei der Anmeldung gewählten oder automatisch zugeordneten Rolle ab.

Ein kontrollierter Zugriff auf innerhalb von Firmenhierarchien oder auch zwischen Firmen ohne Hierarchiebeziehungen gemeinsam genutzte Datenobjekte erfordert Regeln für die vielfältigen Beziehungen der beteiligten Firmen. Glücklicherweise bietet Lobster Data Platform / Orchestration eine Reihe von cleveren Mechanismen für die Definition von Firmenfreigaben an, so dass nicht alle Beziehungen zwischen Firmen ausdrücklich und individuell konfiguriert werden müssen. Durch den geschickten Einsatz von Vererbungslogik in Verbindung mit der Struktur der Firmenhierarchie gelingt es häufig, mit einigen generischen und wenigen speziellen Freigaben die Verteilung von Zugriffsrechten im Gesamtsystem maßgeschneidert und trotzdem überschaubar zu gestalten.

Der folgende Abschnitt beschreibt die Elemente der Benutzeroberfläche für die Konfiguration von Freigaben und erklärt typische Konfigurationen an Beispielen.

Einen Überblick zu wirksamen Freigaben aus der Sicht einer bestimmten Firma bietet der Menüpunkt Effektive Freigaben.

Anlegen von Firmenfreigaben

Freigabeübersicht

images/download/attachments/201678054/image2018-7-12_12_1_5-version-1-modificationdate-1747746875170-api-v2.png


In der Liste "Firmenfreigaben" (1) werden die im aktuellen Kontext zugänglichen Firmenfreigaben angezeigt. Mit dem Freigabe-Editor (2) können neue Firmenfreigaben erstellt und bestehende bearbeitet werden.

Freigabe-Editor

Die Möglichkeiten, Freigaben zu erteilen, sind relativ umfangreich. Dabei kann ein gewünschtes Ergebnis oftmals auf ganz unterschiedlichen Wegen erzielt werden.

Nachfolgend werden zunächst die Bedienelemente des Editor erörtert. Anschließend werden die Einsatzmöglichkeiten an Beispielen vorgestellt.

images/download/attachments/201678054/image2018-7-12_12_1_17-version-1-modificationdate-1747746875174-api-v2.png


Im Reiter "Berechtigungen" (2) werden die Berechtigungen spezifiziert, die freigegeben werden.

"Firmenfreigabe" (1): Definition der an der Freigabe beteiligten Firmen

Der Reiter "Firmenfreigabe" (1) enthält die Elemente, die definieren zwischen welchen Firmenkonten oder Hierarchiestrukturen Berechtigungen freigegeben werden sollen.

Die Elemente auf der linken Seite legen fest, welche Firmen für die unter (2) inhaltlich abgegrenzten Berechtigungen eine Freigabe erteilen sollen.

  • Als "Freigebende Firma" (3) muss exakt eine Firma ausgewählt werden, die in einfachen Fällen die einzige Firma ist, von der Freigaben ausgehen.

  • Über Angaben zur "Freigabevererbung" (4) kann die Firmenauswahl auf die untergeordnete Hierarchie der Freigebenden Firma ausgedehnt werden.

    • Die Einstellung "Direkte Kinder" bezieht sich dabei nur auf die erste Unterebene.

    • Die Einstellung "Kinder und Kindeskinder" bezieht die gesamte untergeordnete Hierarchie ein.

  • Die Option "Freigebende Firma ausschließen" (5) wird gesetzt, wenn von der Firma an der Spitze, bzw. dem Einstiegspunkt in eine per Freigabevererbung definierte Hierarchie, keine Freigaben ausgehen sollen. Das kann z. B. notwendig sein, um eine Freigabe "nach oben" abzugrenzen, die sich an die übergeordnete Hierarchieebene (7) (10) richtet. Es ist eröffnet auch eine einfache Möglichkeit, eine bestimmte Gruppe von Firmen (ggf. mit ihren Unterfirmen) gezielt zu adressieren, ohne dass die übergeordnete "Gruppe" (s. Firmen-Metatyp) Berechtigungen gewährt.

Die Elemente auf der rechten Seite spezifizieren, welchen Firmen die unter (2) inhaltlich abgegrenzte Freigabe gewährt werden soll. Für die "Empfängerauswahl" werden zwei Methoden angeboten, die auch in Kombination genutzt werden können. Diese Methoden werden - soweit parametriert - auf alle Firmen angewendet, die nach den Definitionen auf der linken Seite als "erteilend" qualifiziert sind:

  • Die Elemente im Bereich rechts oben spezifizieren die Empfänger der Freigabe relativ zur erteilenden Firma, wobei per "Freigabe an Hierarchie" (7) jeweils eine oder alle Ebenen unter- oder oberhalb in der Hierarchie adressiert werden können:

    • Die Einstellung "Direkte Kinder" bezieht sich dabei nur auf die erste Unterebene.

    • Die Einstellung "Kinder und Kindeskinder" bezieht die gesamte untergeordnete Hierarchie ein.

    • Die Einstellung "Übergeordnete Firma" bezieht sich dabei nur auf die direkt übergeordneten Ebene, also die Firmen die im Firmenkonto der erteilenden Firma als "übergeordnete Firmen" angegeben sind.

Die Beschreibung (6) kann zum Beschreiben der Freigabe verwendet werden (optional). Die Empfehlung dafür ist, das Freigabeverhalten grob mit Worten zu beschreiben, um die Freigaben später einfacher nachvollziehen zu können.

Die in (3), (4) und (5) getroffenen Einstellungen ergeben die Menge der freigebenden Firmen.

Die Felder (7), (8), (9) und (10) definieren die Firmen/Firma an welche die eingestellten Berechtigungen freigegeben werden. Hierbei können die "Zielfirmen" erneut auch hierarchisch definiert werden. Es ist dabei zeitgleich möglich:

  1. Freigeben an Hierarchie relativ zu den freigebenden Firmen (7 + 8)

  2. Freigeben an definierte Zielfirmen (9) und deren Hierarchien (10)

Hinweis: Das hier eingestellte Freigabeverhalten bezieht sich nicht nur auf die freigebende Firma, sondern auf die gesamte Menge der freigebenden Firmen!

In der Auswahlliste "Freigabe an" (7) stehen folgende Möglichkeiten zur Verfügung:

  1. "Direkte Kinder" - Freigeben an alle direkten Unterfirmen der freigebenden Firmen

  2. "Kinder und Kindeskinder" - Freigeben an sämtliche Unterfirmen (hierarchisch absteigend) der freigebenden Firmen

  3. "Übergeordnete Firma" - Freigeben an alle direkt übergeordneten Firmen der freigebenden Firmen

  4. "Alle übergeordneten Firmen" - Freigeben an sämtliche übergeordnete Firmen (hierarchisch aufsteigend) der freigebenden Firmen. "Auf Hierarchie beschränken" (8) begrenzt dabei das Aufsteigen auf sämtliche Firmen unterhalb der freigebenden Firma, einschließlich der freigebenden Firma, wenn nicht (5) angewählt ist

Als "Erlaubte Firmen" (9) können explizit Firmen ausgewählt werden, welche die Freigabe erhalten. Zusätzlich kann auch hier analog zu (7) die Freigabe hierarchisch erteilt werden.

Freigegebene Berechtigungen


images/download/attachments/201678054/07-02-_2018_09-58-49-version-1-modificationdate-1747746875129-api-v2.png images/download/attachments/201678054/07-02-_2018_10-21-57-version-1-modificationdate-1747746875125-api-v2.png images/download/attachments/201678054/07-02-_2018_10-25-29-version-1-modificationdate-1747746875120-api-v2.png


Unter dem Reiter "Berechtigungen" lassen sich detailliert die Rechte festlegen, welche freigegeben werden sollen.

Wird unter Modus (1) "Alle" (2) angewählt, werden sämtliche Rechte freigegeben. Unter "Benutzerdefiniert" (3) lassen sich die Berechtigungen durch an- und abwählen im Berechtigungsbaum (4) freigeben oder nicht.

Die Rechte sind hierbei in Kategorien und Gruppen aufgeteilt. Das Anwählen einer Kategorie oder Gruppe selektiert automatisch alle darunter enthaltenen Gruppen und Berechtigungen.

Mithilfe des Suchfeldes (5) kann gezielt nach Berechtigungen und Kategorien/Gruppen gesucht werden (6).

Beispiele

Die folgenden Beispiele nehmen Bezug auf das Beispielszenario dieser Dokumentation. Die freigegebenen Berechtigungen werden in den Beispielen nicht weiter beachtet, da lediglich das Freigabeverhalten demonstriert werden soll.

Ein grüner Pfeil A -> B bedeutet, dass Firma A an Firma B freigibt.

Beispiel 1a - Explizite Freigabe

images/download/attachments/201678054/image2018-7-12_12_13_50-version-1-modificationdate-1747746875197-api-v2.png



Die Firma SL Germany (1) gibt die eingestellten Berechtigungen explizit an die Firma SL UK (2) frei.


Beispiel 1b - Explizite Freigabe an mehrere Firmen

images/download/attachments/201678054/image2018-7-12_12_15_33-version-1-modificationdate-1747746875193-api-v2.png


Die Firma SL Germany (1) gibt die eingestellten Berechtigungen an SL UK (2) und Smart Logistics AG (3) frei

images/download/attachments/201678054/22-02-_2018_11-55-30_1-version-1-modificationdate-1747746874955-api-v2.png

Beispiel 2a - Hierarchische Freigabe

images/download/attachments/201678054/image2018-7-12_12_16_20-version-1-modificationdate-1747746875189-api-v2.png



Die Firma SL Germany (1) und ihre unmittelbar untergeordneten Firmen (2) geben die eingestellten Berechtigungen an die Firma SL UK (3) frei.

images/download/attachments/201678054/22-02-_2018_11-55-30_2-version-1-modificationdate-1747746874952-api-v2.png

Beispiel 2b - Rekursiv hierarchische Freigaben

images/download/attachments/201678054/image2018-7-12_12_17_13-version-1-modificationdate-1747746875186-api-v2.png



Sämtliche der Smart Logistics AG (1) untergeordneten Firmen (2 + 3) geben die eingestellte Rechte an die Smart Logistics AG (4) frei.

images/download/attachments/201678054/22-02-_2018_11-55-30_3-version-1-modificationdate-1747746874948-api-v2.png

Beispiel 3a - Freigaben an Firmen-Hierarchien

images/download/attachments/201678054/image2018-7-12_12_18_4-version-1-modificationdate-1747746875182-api-v2.png


Die Firma SL LDN (1) gibt die eingestellten Berechtigungen an die Smart Logistics AG (2) und ihre unmittelbaren Unterfirmen (3) frei.


Beispiel 3b - Freigaben an relative Hierarchien

images/download/attachments/201678054/image2018-7-12_12_19_52-version-1-modificationdate-1747746875178-api-v2.png


Sämtliche der Smart Logistics AG (1) untergeordnete Firmen (2 + 3) geben die eingestellten Berechtigungen jeweils an ihre sämtlichen Übergeordneten Firmen (4) frei. Dabei wird sichergestellt, dass nur an Firmen freigegeben wird, welche sich hierarchisch unterhalb der Smart Logistics AG befinden oder an die Smart Logistics AG selbst (5). Die Einstellung (5) zu aktivieren ist in den meisten Fällen empfohlen, da es vorkommen kann, dass beispielsweise die SL UK neben der Smart Logistics AG noch einer anderen Firma untergeordnet wird, welche keine Subfirma der Smart Logistics AG ist und dann ebenfalls die Freigabe erhalten würde.

images/download/attachments/201678054/22-02-_2018_11-55-30_5-version-1-modificationdate-1747746874940-api-v2.png

Beispiel 4 - Effektive Freigaben Analyse

images/download/attachments/201678054/27-02-_2018_08-30-51-version-1-modificationdate-1747746875436-api-v2.png images/download/attachments/201678054/27-02-_2018_09-37-18-version-1-modificationdate-1747746875432-api-v2.png


Die Firma Transportunternehmer (1) gibt den Firmen SL UK (2) und SL Germany (4) bestimmte Rechte für Sendungen (3) frei. Im Detail (siehe auch Rechts) dürfen SL UK und SL Germany die Firma "Transportunternehmer" in einer Sendung (5) als Beteiligten verwenden (6).

images/download/attachments/201678054/27-02-_2018_11-31-45-version-1-modificationdate-1747746875427-api-v2.png