Grundlagen zum Berechtigungsmanagement
Im neuen Rechte-Management werden Berechtigungen innerhalb der jeweiligen Module der ForumSuite, auf spezifische Objektarten und auf einzelne Objekte über Benutzer, Benutzergruppen und der Verknüpfung zu entsprechenden Rechte-Profilen vergeben.
Mitarbeiter, Benutzer und Benutzergruppen
Der Einstieg erfolgt dabei immer über die Objektart Mitarbeiter. Hierbei handelt es sich um einzelne Datensätze, die Personen im Unternehmen beschreiben. Hierzu werden Felder, wie z.B. Nachname, Vorname, Titel, E-Mail-Adresse, Telefonnummer sowie eine Login-Kennung erfasst. Mitarbeiter-Objekte können entweder manuell angelegt oder per Import aus einem Active Directory oder LDAP-Verzeichnis in ForumSuite eingelesen werden.
Zu jedem Mitarbeiter kann ein Benutzer (auch „Systemnutzer“) angelegt werden. Dieser ist mit einem Mitarbeiter über die Login-Kennung im Datensatz des Mitarbeiters logisch zugeordnet.
Für einen Benutzer wird automatisch eine Einzel-Benutzergruppe angelegt. Diese ist ausschließlich diesem Benutzer zugeordnet und wird ansonsten wie eine normale Benutzergruppe verwendet.
Einer Benutzergruppe können beliebig viele Einzel-Benutzergruppen (indirekt also Benutzer) zugeordnet werden. Benutzergruppen sind derzeit nicht hierarchisch untergliedert.
Rechte-Profile
Für ein Rechte-Profil (Standard-Profil) sind bestimmte Rechte auf Anwendungen und Objektarten fest definiert, die nicht verändert werden können. Einem Rechte-Profil können Einzel-Benutzergruppen und Benutzergruppen zugeordnet werden.
Anwendungsspezifische Profile
Pro Anwendung bzw. Modul der ForumSuitegibt es jeweils vordefinierte Rechte-Profile für Manager, Bearbeiter, Leser und Verantwortliche, z.B. ISM-Manager, ISM-Bearbeiter, ISM-Leser und ISM-Verantwortlicher für ForumISM.
Der Platzhalter <APP> steht hierbei für das Kürzel der jeweiligen Anwendung:
| Rechte-Profil | Rechte | |
|---|---|---|
<APP>-Bearbeiter | Der Bearbeiter kann grundsätzlich alle Dokumente bearbeiten. Für die Einstellungen hat er ein Leserecht. Auf sensible Bereiche hat der Bearbeiter keinen Zugriff. | Für jedes Modul ergänzen |
| <APP>-Bearbeiter + | Der Bearbeiter + kann alle Dokumente bearbeiten. Für die Einstellungen hat er ein Leserecht. Zusätzlich kann er sensible Bereiche der Anwendung einsehen und bearbeiten. | Für jedes Modul ergänzen |
| <APP>-Leser | Der Leser hat grundsätzlich für alle Dokumente und Einstellungen im jeweiligen Modul Leserechte. Auf sensible Bereiche hat der Leser keinen Zugriff. | Für jedes Modul ergänzen |
| <APP>-Manager | Der Manager ist der fachlich Verantwortliche innerhalb der Organisation, der für ein bestimmtes Modul zuständig ist. Er kann alle Dokumente bearbeiten und zusätzlich Organisationseinheiten und Mitarbeiter pflegen. Zudem kann ein Manager die Einstellungen bearbeiten. | Für jedes Modul ergänzen |
| <APP>-Revisor | Der Revisor hat für alle Dokumente und Einstellungen im jeweiligen Modul ausschließlich Leserechte. | Für jedes Modul ergänzen |
| <APP>-Verantwortlicher | Der Verantwortliche hat Lese- oder Bearbeitungsrechte für die Ihm zugewiesenen Dokumente. Zudem kann er auf die Einstellungen lesend zugreifen. Darüber hinaus hat der Verantwortliche keine Leserechte auf weitere Dokumente. Auf sensible Bereiche hat der Verantwortliche keinen Zugriff. | Für jedes Modul ergänzen |
Für die Zukunft sind weitere, ggf. fachlich differenzierte Spezialprofile denkbar, wie z.B. ein <APP>-Revisor, der vollständigen lesenden Zugriff auf sämtliche Anwendungsdaten ohne die nachfolgend genannten Ausnahmen hätte.
Ausnahmen
In den regulären Standard-Profilen für Bearbeiter, Leser und Verantwortliche sind je nach Anwendung bereits einige Ausnahmen definiert, welche die Sichtbarkeit bestimmter Objektarten auf Anwendungs-Manager beschränken.
Für ForumISM sind diese Ausnahmen beispielsweise:
- Aktivitäten, d.h. Einträge im ISB-Journal
- Sicherheitsvorfälle
- Sicherheitsrelevante Ereignisse
Übergreifende Profile
Für Benutzer, die Zugriff auf alle Anwendungen der ForumSuite haben sollen, gibt es die folgenden Rechte-Profile:
| Rechte-Profil | Rechte |
|---|---|
| Suite-Manager | Der Manager kann übergreifend für alle Module der ForumSuite sämtliche Dokumente bearbeiten und zusätzlich Organisationseinheiten und Mitarbeiter pflegen. Zudem kann ein Suite-Manager die Einstellungen jedes Moduls bearbeiten. |
| Suite-Revisor | Der Suite-Revisor hat übergreifend für alle Module der ForumSuite auf sämtliche Dokumente und Einstellungen ausschließlich Leserechte. |
Die übergreifenden Profile sind derzeit noch ohne Funktion, werden aber für das in Arbeit befindliche Stammdaten-Cockpit genutzt.
Technische Administratoren
Für die technische Administratoren wird das Rechte-Profil Tech-Admin benötigt:
| Rechte-Profil | Rechte |
|---|---|
| Tech-Admin |
|
Im Unterschied zu den anderen Profilen kann dieses Profil nicht durch Bearbeitung innerhalb der Anwendung zugewiesen werden, sondern wird durch spezielle Einträge in der technischen Konfiguration der ForumSuite automatisch den jeweiligen Nutzern zugewiesen (Java-Plattform: Einträge application.adminusers bzw. application.admingroups in der Datei application.properties).