Grundlagen zum Berechtigungsmanagement
Im neuen Rechte-Management werden Berechtigungen innerhalb der jeweiligen Module der ForumSuite, auf spezifische Objektarten und auf einzelne Objekte über Benutzer, Benutzergruppen und der Verknüpfung zu entsprechenden Rechte-Profilen vergeben.
Mitarbeiter, Benutzer und Benutzergruppen
Der Einstieg erfolgt dabei immer über die Objektart Mitarbeiter. Hierbei handelt es sich um einzelne Datensätze, die Personen im Unternehmen beschreiben. Hierzu werden Felder, wie z.B. Nachname, Vorname, Titel, E-Mail-Adresse, Telefonnummer sowie eine Login-Kennung erfasst. Mitarbeiter-Objekte können entweder manuell angelegt oder per Import aus einem Active Directory oder LDAP-Verzeichnis in ForumSuite eingelesen werden.
Zu jedem Mitarbeiter kann ein Benutzer (auch „Systemnutzer“) angelegt werden. Dieser ist mit einem Mitarbeiter über die Login-Kennung im Datensatz des Mitarbeiters logisch zugeordnet.
Für einen Benutzer wird automatisch eine Einzel-Benutzergruppe angelegt. Diese ist ausschließlich diesem Benutzer zugeordnet und wird ansonsten wie eine normale Benutzergruppe verwendet.
Einer Benutzergruppe können beliebig viele Einzel-Benutzergruppen (indirekt also Benutzer) zugeordnet werden. Benutzergruppen sind derzeit nicht hierarchisch untergliedert.
Rechte-Profile
Für ein Rechte-Profil (Standard-Profil) sind bestimmte Rechte auf Anwendungen und Objektarten fest definiert, die nicht verändert werden können. Einem Rechte-Profil können Einzel-Benutzergruppen und Benutzergruppen zugeordnet werden.
Anwendungsspezifische Profile
Pro Anwendung bzw. Modul der ForumSuitegibt es jeweils vordefinierte Rechte-Profile für Manager, Bearbeiter, Leser und Verantwortliche, z.B. ISM-Manager, ISM-Bearbeiter, ISM-Leser und ISM-Verantwortlicher für ForumISM.
Der Platzhalter <APP> steht hierbei für das Kürzel der jeweiligen Anwendung:
Rechte-Profil | Rechte |
---|---|
<APP>-Manager | darf alle Daten sowie die Einstellungen der Anwendung uneingeschränkt lesen und bearbeiten |
<APP>-Bearbeiter | darf alle Daten in der Anwendung mit bestimmten Ausnahmen (s.u.) bearbeiten |
<APP>-Leser | darf alle Daten in der Anwendung mit bestimmten Ausnahmen lesen |
<APP>-Verantwortlicher | darf alle Daten in der Anwendung mit bestimmten Ausnahmen lesen sowie diejenigen Objekte bearbeiten, für die dem Nutzer direkt oder indirekt eine Verantwortung mit Bearbeitungsrechten zugewiesen wurde (Erläuterung siehe unten) |
Für die Zukunft sind weitere, ggf. fachlich differenzierte Spezialprofile denkbar, wie z.B. ein <APP>-Revisor, der vollständigen lesenden Zugriff auf sämtliche Anwendungsdaten ohne die nachfolgend genannten Ausnahmen hätte.
Ausnahmen
In den regulären Standard-Profilen für Bearbeiter, Leser und Verantwortliche sind je nach Anwendung bereits einige Ausnahmen definiert, welche die Sichtbarkeit bestimmter Objektarten auf Anwendungs-Manager beschränken.
Für ForumISM sind diese Ausnahmen beispielsweise:
- Aktivitäten, d.h. Einträge im ISB-Journal
- Sicherheitsvorfälle
- Sicherheitsrelevante Ereignisse
Übergreifende Profile
Für Benutzer, die Zugriff auf alle Anwendungen der ForumSuite haben sollen, gibt es die folgenden Rechte-Profile:
Rechte-Profil | Rechte |
---|---|
Suite-Manager | darf alle Daten und die Konfiguration in allen Anwendungen bearbeiten |
Suite-Bearbeiter | darf alle Daten in allen Anwendung bearbeiten |
Suite-Leser | darf alle Daten in allen Anwendung lesen |
Suite-Verantwortlicher | darf alle Daten in allen Anwendungen lesen und die Dokumente bearbeiten, für die er verantwortlich ist |
Die übergreifenden Profile sind derzeit noch ohne Funktion, werden aber für das in Arbeit befindliche Stammdaten-Cockpit genutzt.
Technische Administratoren
Für die technische Administratoren wird das Rechte-Profil Tech-Admin benötigt:
Rechte-Profil | Rechte |
---|---|
Tech-Admin |
|
Im Unterschied zu den anderen Profilen kann dieses Profil nicht durch Bearbeitung innerhalb der Anwendung zugewiesen werden, sondern wird durch spezielle Einträge in der technischen Konfiguration der ForumSuite automatisch den jeweiligen Nutzern zugewiesen (Java-Plattform: Einträge application.adminusers bzw. application.admingroups in der Datei application.properties).
Basis-Profile
Es gibt folgende Basis-Profile. Diese sollten nicht einzelnen Benutzern zugeordnet werden und werden in der finalen Version noch verborgen.
Rechte-Profil | Rechte |
---|---|
öffentlich | dient als Grundlage für alle Rechte-Profile und legt grundlegende Berechtigungen auf vorwiegend technische Objekte fest |
Basis-Leser | dient als Grundlage für alle Rechte-Profile <APP>-Leser |
Basis-Bearbeiter | dient als Grundlage für alle Rechte-Profile <APP>-Bearbeiter |
Basis-Administrator | dient als Grundlage für alle Rechte-Profile <APP>-Manager |