Nutzer- und Rechteverwaltung
technische Administratoren festlegen
Was technische Administratoren dürfen
Technische Administratoren dürfen in der ForumSuite Mitarbeiter anlegen bzw. die Mitarbeiter mit einem Verzeichnis abgleichen und Berechtigungen vergeben.
Auf andere Objekte innerhalb der ForumSuite haben technischen Administratoren zunächst keine Zugriffsberechtigung.
Einzelnutzer
Beispiel; technische Administratoren in Datei config\application.poperties
application.adminusers=nutzer-01,nutzer-02,nutzer-03An dieser Stelle legen Sie alle technischen Administratoren fest.
Tragen Sie dazu alle Login-Kennungen derjenigen Nutzer (z. Bsp. Werte aus dem Attribut sAMAccountName aus einem AD) ein, welche mit dem entsprechenden Recht ausgestattet werden sollen.
Trennen Sie mehrere Einträge mit Komma und fügen Sie keine zusätzlichen Leerzeichen ein.
Beispiel: application.adminusers=anton.admin,siegbert.sicher
Gruppe
Optional kann auch eine Active Directory (AD) Gruppe mit technischen Administratoren in der Datei application.properties hinterlegt werden.
Dies hat den Vorteil, das technische Administratoren an zentraler Stelle gepflegt werden können.
Beispiel; Gruppe mit technischen Administratoren in Datei config\application.properties
#Beispiel AD Gruppen-Parameter für technische Administratoren in der Datei application.properties
#Hier wurde eine Gruppe App-ForumSuite-techAdmins im ActiveDirectory angelegt und Mitarbeitern zugeordnet.
application.admingroups=App-ForumSuite-techAdmins
Die hinterlegte Gruppe darf am jeweiligen Benutzer nicht als primäre Standardgruppe hinterlegt sein.
Benutzerverwaltung
Die Kompetenzvergabe für Mitarbeiter erfolgt ausschließlich innerhalb der Anwendung.
Import von Mitarbeitern
Um einzelnen Personen innerhalb einer Anwendung Rechte zuzuweisen, werden im ersten Schritt alle Mitarbeiter aus dem AD oder LDAP des Unternehmens importiert.
Über die Schaltfläche Mitarbeiter aktualisieren aktivieren Sie den Import.
Mitarbeiter importieren
Nur der Administrator hat innerhalb der Anwendung das Recht, Importe und Exporte durchzuführen.
Alternativ ist auch eine manuelle Erfassung von Mitarbeitern möglich – hierbei ist jedoch zu beachten, dass die Notes-Adresse / die Login-Kennung der Mitarbeiter korrekt hinterlegt werden muss und es im Domino Namens- und Adressbuch / AD oder LDAP einen korrespondierenden Eintrag unter dieser Adresse gibt.
Beachten Sie hierzu bitte die ausführlichen Hinweise im Kapitel Mitarbeiter des Anwenderhandbuchs.
Anlegen von Systemnutzern
Der Technische Administrator bekommt nach dem Öffnen der Anwendung im persönlichen Menü den Hinweis (ADMIN / KEIN ZUGRIFF).
Der Technische Administrator kann in der Benutzerverwaltung den Administrator der Anwendung, der eine Notes-Adresse / AD oder LDAP Kennung besitzt, einen sog. Systemnutzer anlegen und die entsprechende Berechtigungen vergeben.
Der Administrator der Anwendung legt nun die weiteren Systemnutzer für die Anwendung fest. Somit ist eine technische und fachliche Trennung für die Arbeit an und mit der Anwendung gegeben.
In diesem Modus sind keine weiteren Inhalte bzw. Schaltflächen sichtbar.
Als Anwendungsadministrator oder technischer Administrator können Sie die Benutzerverwaltung als Unterpunkt im persönlichen Menü rechts oben aufrufen und bearbeiten.
In der Übersicht werden die vorhandenen importierten und manuell erfassten Mitarbeiter Ihres Unternehmens angezeigt.
Damit einzelne Personen die Anwendungen nutzen können, müssen für diese entsprechende Systemnutzer angelegt werden.
Verwenden Sie dazu die Schaltfläche
In der Benutzerverwaltung besteht die Möglichkeit, neue Benutzer per Auswahldialog zu übernehmen.
Über die Schaltfläche Nutzer hinzufügen (1) kommen Sie in den Auswahldialog der Nutzer, welche Sie hinzufügen möchten.
Die Checkboxen vor der den einzelnen Namen erlauben eine gezielte Auswahl neuer Nutzer. Über die Schaltfläche Alle bzw. Keine ist die Auswahl der neuen Nutzer schneller zu treffen.
Die Schaltfläche Invertieren gestattet Ihnen eine einfache Umkehr der getroffenen Auswahl.
Die Auswahl der Nutzer bestätigen Sie über die Schaltfläche "Benutzer anlegen" (2) und vergeben anschließend die entsprechenden Rechte.
Sensible Bereiche innerhalb der ForumSuite
Seit Version 2025.7.0 der Forum Suite wurden sensible Bereiche in der Anwendung hinterlegt, die nur mit speziellen Berechtigungen bearbeitet (Bearbeiter+, Manager) oder gelesen (Revisor) werden können.
Aktuell sind diese Bereiche fest in der Anwendung hinterlegt und können nicht kundenspezifisch angepasst werden.
Speziell handelt es sich um folgende Bereiche in den jeweiligen Modulen:
| Modul | Sensible Bereiche |
|---|---|
| ForumISM |
|
ForumBCM |
|
| ForumNSR | keine definierten sensiblen Bereiche |
| ForumOSM |
|
| ForumDSM |
|
| ForumCMS |
|
| ForumWPC |
|
| ForumGWP |
|
| ForumNMS |
|
| ForumTCM |
|
| ForumLKM |
|
Zuweisung von Rechten
Die Rechtezuweisung erfolgt pro Systemnutzer durch die Zuweisung einer der folgenden Rollen:
Rollenübersicht
| Rechte-Profil | Beschreibung | Bemerkung |
|---|---|---|
| Suite-Manager | Der Suite-Manager kann, übergreifend für alle Module der ForumSuite,
| |
| Suite-Revisor | Der Suite-Revisor hat, übergreifend für alle Module der ForumSuite, auf sämtliche Dokumente und Einstellungen ausschließlich Leserechte. Er hat keinen Zugriff auf die Benutzerberechtigungen. | |
Bearbeiter | Der Bearbeiter kann, je nach zugeordnetem Modul,
| Für jedes Modul ergänzen |
| Bearbeiter + | Der Bearbeiter+ kann, je nach zugeordnetem Modul,
| Für jedes Modul ergänzen |
| Leser | Der Leser kann, je nach zugeordnetem Modul,
| Für jedes Modul ergänzen |
| Manager | Der Manager kann, je nach zugeordnetem Modul,
| Für jedes Modul ergänzen |
| Revisor | Der Revisor hat, je nach zugeordnetem Modul, auf sämtliche Dokumente und Einstellungen ausschließlich Leserechte. Er hat keinen Zugriff auf die Benutzerberechtigungen. | Für jedes Modul ergänzen |
| Verantwortlicher | Der Verantwortliche hat ausschließlich auf die Ihm zugewiesenen Dokumente Zugriff. Dabei kann über die Zuweisung spezieller Berechtigungen gesteuert werden, ob die Bearbeitung des zugewiesenen Objektes möglich ist, oder ob der Zugriff ausschließlich lesend erfolgen soll.
| Für jedes Modul ergänzen |
| technischer Administrator | Der technische Administrator wird, wie oben bereits erwähnt, außerhalb der Forum Suite konfiguriert und eingerichtet. Innerhalb der Suite hat er ausschließlich auf die Benutzerberechtigungen Zugriff. |
sämtliche Dokumente bearbeiten
keinen Zugriff auf die Benutzerberechtigungen
nur Leserecht für die EinstellungenDas Anlegen eines Systemnutzers für einen Mitarbeiter muss nur einmalig erfolgen.
Die Vergabe von Rechten ist jedoch spezifisch für die jeweilige Anwendung.
Pflege von Gruppen für Berechtigungen
Soll in einer Anwendungen einer großen Anzahl von Nutzern ein bestimmtes Zugangsrecht ermöglicht werden, empfiehlt sich die Rechtevergabe über das Anlegen einer Benutzergruppe.
Über die Schaltfläche Benutzergruppe anlegen (1) können Sie eine neue Gruppe anlegen und mit entsprechenden Rechten versorgen.
Im Reiter Benutzergruppen (2) sind alle bereits angelegten Benutzergruppen zu finden und bei gewünschten Änderungen entsprechend bearbeitbar.
Die der Gruppe zugeordneten Rechte sind in der Spalte "Rechte-Profile"(3) aufgeführt.
Über die Schaltfläche "Benutzergruppe anlegen" legen Sie eine Gruppe mit einer aussagekräftigen Bezeichnung an, um eine spätere Bearbeitung zu erleichtern.
Anschließend werden die für die Gruppe vorgesehenen Rechte vergeben und die betreffenden Mitarbeiter über die Schaltfläche "Benutzer wählen" oder entfernen ausgewählt.
Nach getroffener Auswahl wird über die Schaltfläche Übernehmen der Auswahlvorgang beendet.
Für eine spätere Weiterverarbeitung der Benutzerverwaltung (CSV Export) ist das Hinterlegen einer externen Kennung für die Benutzergruppe möglich.
Das Erstellen der Benutzergruppe wird über die Schaltfläche Speichern und schließen abgeschlossen.
Um die Benutzergruppe löschen zu können, müssen alle Rechteprofile aus der Gruppe entfernt werden.
Verwaiste Benutzer
In der Benutzerverwaltung kann zusätzlich der Reiter “verwaiste Benutzer” angezeigt werden.
Die Nutzer unter "Verwaiste Benutzer" sind Systemnutzer, welche keinem aktiven Mitarbeiter zugeordnet sind. Diese verwaisten Benutzer können Sie einfach löschen.
Verknüpfungen zu Objekten sollten nicht mehr vorliegen. Falls beim Löschversuch eine Fehlermeldung erscheint, dann sind noch bestehende Verknüpfungen vorhanden, die Sie zuerst lösen sollten.
Objektspezifische Rechtevergabe
Die allgemeinen Rechte aus den Rollen und Verantwortungen können pro Objekt durch sogenannte objektspezifische Berechtigungen übersteuert werden. Dies kann erforderlich sein, wenn z.B. bestimmte sensible Dokumente nur von bestimmten Nutzern gelesen oder bearbeitet werden sollen.
Praxisbeispiel aus ForumDSM: Bestimmte Verträge sollen nur einem kleinen Kreis von Nutzern zugänglich sein.
Bevor die Aktivierung der objektspezifischen Berechtigung aktiviert wird, werden Sie als Nutzer durch einen deutlichen Hinweis auf mögliche Folgen hingewiesen.
Die Bearbeitung durch Verantwortliche mit Leser-Rechten ist im Übrigen unterbunden.
Aktivierung
Um eine objektspezifische Berechtigung zu aktivieren, muss ein Nutzer Vollzugriff auf das betreffende Objekt haben, d.h. er muss es lesen, ändern und löschen dürfen.
Eine Bearbeitungsmöglichkeit über die Verantwortung ist für die Aktivierung nicht ausreichend.
Bei Aktivierung der objektspezifischen Berechtigung werden alle Rollenrechte anderer Nutzer übersteuert. Der aktivierende Benutzer kann über einen Dialog individuellen Zugriff auf das Objekt an Rollen und weitere Nutzer vergeben. Vergibt er Vollzugriff an andere Nutzer, können diese ebenfalls die objektspezifische Berechtigung ändern.
Bitte beachten Sie, dass Ansichten und Druckversionen durch die Vergabe von objektspezifischen Berechtigungen von Nutzer zu Nutzer abweichen!
Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren.
Über die Schaltfläche
und den Tab Berechtigungen...gelangen Sie zu den Einstellungen der objektspezifischen Berechtigungen.
Über den Schalter(1) oben links wird die objektspezifische Berechtigung aktiviert. Die im oberen Abschnitt aufgeführten Gruppen(2) repräsentieren die in der Anwendung existierenden globalen Rollen. An dieser Stelle kann durch die Vergabe kein Zugriff das Dokument vor allen Nutzern versteckt werden.
Im unteren Abschnitt Benutzer(3) können die Mitarbeiter mit Lese- und/oder Bearbeitungsrechten für das Dokument hinterlegt werden.
Ist ein Objekt mit objektspezifischen Berechtigungen versehen, können Sie dies in der Objektansicht an einem Schloss neben dem i erkennen.
Deaktivierung und Löschung
Eine bestehende objektspezifische Berechtigung kann deaktiviert werden, sodass wieder die Rollenrechte in der betreffenden Anwendung gelten. Sofern gewünscht, kann die objektspezifische Berechtigung zu einem späteren Zeitpunkt im zuvor definierten Umfang wieder aktiviert werden. Für die Reaktivierung muss ein entsprechender Nutzer sowohl gemäß seiner Rolle, als auch gemäß der inaktiven privaten Berechtigung Vollzugriff auf das Objekt haben.
Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren. Alternativ kann eine bestehende objektspezifische Berechtigung auch komplett gelöscht werden. Anschließend kann ein beliebiger Nutzer, der aufgrund seiner Rolle Vollzugriff auf das Objekt hat, eine neue objektspezifische Berechtigung definieren.
Exportfunktion der Benutzerrechte
Der Export der Benutzerrechte ist aktuell nicht möglich, wird aber in Kürze wieder verfügbar sein.