Nutzer- und Rechteverwaltung | FORUM Hilfe und Dokumentation

technische Administratoren festlegen

Vorgehensweise zum festlegen technischer Administratoren

Technische Administratoren dürfen in der ForumSuite Mitarbeiter anlegen bzw. die Mitarbeiter mit einem Verzeichnis abgleichen und Berechtigungen vergeben, haben also Zugriff auf die Benutzerverwaltung.

Zusätzlich haben sie auch die Berechtigung, die Konfiguration der Anwendung zu bearbeiten, in der verschiedene Grundeinstellungen der Suite vorgenommen werden.

Auf andere Objekte innerhalb der ForumSuite haben technischen Administratoren, ohne die Zuordnung weiterer Rechte-Profile, keine Zugriffsberechtigung.

Abweichend zur nachfolgenden Beschreibung werden die technischen Administratoren auf der SaaS-Plattform der Atruvia nicht über die application.properties, sondern über den Atruvia HUB eingerichtet.

Einzelnutzer

application.adminusers=nutzer-01,nutzer-02,nutzer-03

An dieser Stelle legen Sie alle technischen Administratoren fest.
Tragen Sie dazu alle Login-Kennungen derjenigen Nutzer (z. Bsp. Werte aus dem Attribut sAMAccountName aus einem AD) ein, welche mit dem entsprechenden Recht ausgestattet werden sollen.
Trennen Sie mehrere Einträge mit Komma und fügen Sie keine zusätzlichen Leerzeichen ein.

Beispiel: application.adminusers=anton.admin,siegbert.sicher

Gruppe

Optional kann auch eine Active Directory (AD) Gruppe mit technischen Administratoren in der Datei application.properties hinterlegt werden.
Dies hat den Vorteil, das technische Administratoren an zentraler Stelle gepflegt werden können.

#Beispiel AD Gruppen-Parameter für technische Administratoren in der Datei application.properties
#Hier wurde eine Gruppe App-ForumSuite-techAdmins im ActiveDirectory angelegt und Mitarbeitern zugeordnet.
application.admingroups=App-ForumSuite-techAdmins

Die hinterlegte Gruppe darf am jeweiligen Benutzer nicht als primäre Standardgruppe hinterlegt sein.

Benutzerverwaltung

Um diesen Bereich sehen und bearbeiten zu dürfen, müssen Sie als technischer Administrator berechtigt sein.

Der Aufruf der Benutzerverwaltung erfolgt entweder aus der Übersicht der ForumSuite rechts oben über den Link Benutzerverwaltung⁽¹⁾ oder aus einem beliebigen Model über den Menüpunkt Benutzerverwaltung⁽²⁾.

Abbildung: Aufruf der Benutzerverwaltung

Import von Mitarbeitern

Um einzelnen Personen innerhalb einer Anwendung Rechte zuweisen zu können, werden im ersten Schritt alle Mitarbeiter aus dem AD oder LDAP des Unternehmens importiert.
Sie können den Import in einem beliebigen Modul im Bereich Stammdaten → Mitarbeiter über die Schaltfläche Mitarbeiter aktualisieren aktivieren oder die Aktualisierung direkt in der Benutzerverwaltung durchführen.

Abbildung: Import von Mitarbeitern zur weiteren Bearbeitung in der Benutzerverwaltung

Nur der technische Administrator hat innerhalb der Anwendung das Recht, Importe und Exporte durchzuführen.

Alternativ ist auch eine manuelle Erfassung von Mitarbeitern möglich – hierbei ist jedoch zu beachten, dass die Notes-Adresse / die Login-Kennung der Mitarbeiter korrekt hinterlegt werden muss und es im Domino Namens- und Adressbuch / AD oder LDAP einen korrespondierenden Eintrag unter dieser Adresse gibt.
Beachten Sie hierzu bitte die ausführlichen Hinweise im Kapitel Mitarbeiter des Anwenderhandbuchs.

Anlegen von Systemnutzern

Der Technische Administrator bekommt nach dem Öffnen der Anwendung im persönlichen Menü den Hinweis (ADMIN / KEIN ZUGRIFF).

Für ihn steht die Benutzerverwaltung als Unterpunkt im persönlichen Menü rechts oben zur Verfügung. Ansonsten sind für ihn in der ForumSuite keine weiteren Inhalte bzw. Schaltflächen sichtbar.

Der Technische Administrator kann nun in der Benutzerverwaltung die sog. Systemnutzer, die eine Notes-Adresse / AD oder LDAP Kennung besitzen, einen sog. Systemnutzer anlegen und die entsprechende Berechtigungen vergeben.

Abbildung: Benutzerverwaltung

In der Übersicht werden die vorhandenen importierten und manuell erfassten Mitarbeiter Ihres Unternehmens angezeigt.

Damit einzelne Personen die Anwendungen nutzen können, müssen für diese entsprechende Systemnutzer angelegt werden.
Verwenden Sie dazu die Schaltfläche

Abbildung: Benutzer anlegen(1)

Ein neuer Systemnutzer wird angelegt, dieser hat standardmäßig zunächst keinen Zugriff.

Abbildung: Benutzer anlegen

Die Checkboxen vor der den einzelnen Namen erlauben eine gezielte Auswahl neuer Nutzer. Über die Schaltflächen Alle, Keine bzw. Invertieren⁽³⁾ ist die Auswahl der neuen Nutzer schneller zu treffen.

Die Schaltfläche Invertieren gestattet Ihnen eine einfache Umkehr der getroffenen Auswahl.

Die Auswahl der Nutzer bestätigen Sie nochmals über die Schaltfläche "Benutzer anlegen" und vergeben anschließend die entsprechenden Rechte.

Abbildung: Auswahldialog in der Benutzerverwaltung

Werkzeuge

Abbildung: Einstieg Werkzeuge

Tool	Kurzbeschreibung
Massenvergabe von Bearbeiten-Berechtigungen für Verantwortliche	Setzt das "Bearbeiter-Recht" in Objekten mit zugeordneten Verantwortungen. Betrifft nur Objekte, in welchen die Spalte "Zugriffsrechte für Verantwortliche" leer ist. Objekte, in welchen in o.a. Spalte explizit das "Lese-Recht" vergeben wurde, sind nicht betroffen.

Sensible Bereiche innerhalb der ForumSuite

Seit Version 2025.7.0 der Forum Suite wurden sensible Bereiche in der Anwendung hinterlegt, die nur mit speziellen Berechtigungen bearbeitet (Bearbeiter+, Manager) oder gelesen (Revisor) werden können.

Zusätzlich können auch in diesem Bereich Benutzer als Verantwortliche hinterlegt werden, die mit dem Rechteprofil "Verantwortlicher" hinterlegt sind. In diesem Fall bekommen sie Zugriff auf genau die Dokumente, für die sie als Verantwortliche eingetragen sind.

Aktuell sind diese Bereiche fest in der Anwendung hinterlegt und können nicht kundenspezifisch angepasst werden.

Speziell handelt es sich um folgende Bereiche in den jeweiligen Modulen:

Modul	Sensible Bereiche
ForumISM	Aktivitäten > ISB-Journal Aktivitäten > Sicherheitsvorfälle Aktivitäten > Sicherheitsrelevante Ereignisse
ForumBCM	Übungen > Ereignisse
ForumNSR	keine definierten sensiblen Bereiche
ForumOSM	Aktivitäten > OSM-Journal Aktivitäten > Vorfälle
ForumDSM	Aktivitäten > DSB-Journal Aktivitäten > Vorgänge Aktivitäten > Datenschutzvorfälle
ForumCMS	Aktivitäten > CMS-Journal Aktivitäten > Ereignisse
ForumWPC	Aktivitäten > WPC-Journal Aktivitäten > Ereignisse
ForumGWP	Ereignisse > Verdachtsfälle Ereignisse > Schadensfälle Ereignisse > Feststellungen Aktivitäten > GWP-Journal
ForumNMS	Aktivitäten > NMS-Journal
ForumTCM	Aktivitäten > TAX-Journal
ForumLKM	Risikomanagement > Indizien für veränderte Risikolage Aktivitäten > LKM-Journal

Zuweisung von Rechten

Die Rechtezuweisung erfolgt pro Systemnutzer durch die Zuweisung einer der folgenden Rollen:

Die verfügbaren Rechte-Profile können auch additiv vergeben werden.

So kann beispielsweise ein "Leser" auch zusätzlich das Recht "Verantwortlicher" bekommen, um spezifische Dokumente bearbeiten zu dürfen.

Rollenübersicht

Rechte-Profil	Beschreibung	Bemerkung
Suite-Manager	Der Suite-Manager kann, übergreifend für alle Module der ForumSuite, sämtliche Dokumente bearbeiten Organisationseinheiten pflegen Mitarbeiter pflegen Einstellungen jedes Moduls bearbeiten Vorschläge einspielen vollen Zugriff auf die sensiblen Bereiche keinen Zugriff auf die Benutzerberechtigungen keinen Zugriff auf die Konfiguration
Suite-Revisor	Der Suite-Revisor hat, übergreifend für alle Module der ForumSuite, auf sämtliche Dokumente und Einstellungen ausschließlich Leserechte. Er hat keinen Zugriff auf die Benutzerberechtigungen.
Bearbeiter	Der Bearbeiter kann, je nach zugeordnetem Modul, grundsätzlich alle Dokumente bearbeiten nur Leserecht für die Einstellungen nur Leserecht für Organisationseinheiten nur Leserecht für Mitarbeiter keinerlei Zugriff auf sensible Bereiche keine Berechtigung zum Einspielen von Vorschlägen keinen Zugriff auf die Benutzerberechtigungen keinen Zugriff auf die Konfiguration	Für jedes Modul ergänzen
Bearbeiter +	Der Bearbeiter+ kann, je nach zugeordnetem Modul, grundsätzlich alle Dokumente bearbeiten nur Leserecht für die Einstellungen nur Leserecht für Organisationseinheiten nur Leserecht für Mitarbeiter vollen Zugriff auf sensible Bereiche keine Berechtigung zum Einspielen von Vorschlägen keinen Zugriff auf die Benutzerberechtigungen keinen Zugriff auf die Konfiguration	Für jedes Modul ergänzen
Leser	Der Leser kann, je nach zugeordnetem Modul, grundsätzlich alle Dokumente lesen nur Leserecht für die Einstellungen nur Leserecht für Organisationseinheiten nur Leserecht für Mitarbeiter keinerlei Zugriff auf sensible Bereiche keine Berechtigung zum Einspielen von Vorschlägen keinen Zugriff auf die Benutzerberechtigungen keinen Zugriff auf die Konfiguration	Für jedes Modul ergänzen
Manager	Der Manager kann, je nach zugeordnetem Modul, sämtliche Dokumente bearbeiten Organisationseinheiten pflegen Mitarbeiter pflegen Einstellungen jedes Moduls bearbeiten Vorschläge einspielen vollen Zugriff auf die sensiblen Bereiche keinen Zugriff auf die Benutzerberechtigungen keinen Zugriff auf die Konfiguration	Für jedes Modul ergänzen
Revisor	Der Revisor hat, je nach zugeordnetem Modul, auf sämtliche Dokumente und Einstellungen ausschließlich Leserechte. Er hat keinen Zugriff auf die Benutzerberechtigungen.	Für jedes Modul ergänzen
Verantwortlicher	Der Verantwortliche hat ausschließlich auf die Ihm zugewiesenen Dokumente Zugriff. Dabei kann über die Zuweisung spezieller Berechtigungen gesteuert werden, ob die Bearbeitung des zugewiesenen Objektes möglich ist, oder ob der Zugriff ausschließlich lesend erfolgen soll. KEIN Zugriff auf Dokumente, für die er nicht als Verantwortlich hinterlegt ist nur Leserecht für die Einstellungen nur Leserecht für Organisationseinheiten nur Leserecht für Mitarbeiter Zugriff auf spezifische Dokumente in sensiblen Bereichen, wenn explizit als "Verantwortlich" hinterlegt keine Berechtigung zum Einspielen von Vorschlägen keinen Zugriff auf die Benutzerberechtigungen keinen Zugriff auf die Konfiguration	Für jedes Modul ergänzen
technischer Administrator	Der technische Administrator wird, wie oben bereits erwähnt, außerhalb der Forum Suite konfiguriert und eingerichtet. Dazu kommt die Datei application.properties im "config"-Verzeichnis der ForumSuite zum Einsatz. im Umfeld der SaaS-Plattform der Atruvia werden die technischen Administratoren über den Atruvia HUB angelegt und gepflegt. Zugriff auf die Benutzerverwaltung Zugriff auf die Konfiguration der ForumSuite keinerlei Zugriff auf Dokumente innerhalb der Module der ForumSuite.

Das Anlegen eines Systemnutzers für einen Mitarbeiter muss nur einmalig erfolgen.
Die Vergabe von Rechten ist jedoch spezifisch für die jeweilige Anwendung durchzuführen.

Pflege von Gruppen für Berechtigungen

Soll in einer Anwendungen einer großen Anzahl von Nutzern ein bestimmtes Zugangsrecht ermöglicht werden, empfiehlt sich die Rechtevergabe über das Anlegen einer Benutzergruppe.

Über die Schaltfläche Benutzergruppe anlegen ⁽¹⁾ können Sie eine neue Gruppe anlegen und mit entsprechenden Rechten versorgen.
Im Reiter Benutzergruppen ⁽²⁾sind alle bereits angelegten Benutzergruppen zu finden und bei gewünschten Änderungen entsprechend bearbeitbar.
Die der Gruppe zugeordneten Rechte sind in der Spalte "Rechte-Profile"⁽³⁾ aufgeführt.

Abbildung: Pflege von Gruppen in der Benutzerverwaltung.

Über die Schaltfläche Benutzergruppe anlegen legen Sie eine Gruppe mit einer aussagekräftigen Bezeichnung an, um eine spätere Bearbeitung zu erleichtern.
Anschließend werden die für die Gruppe vorgesehenen Rechte vergeben und die betreffenden Mitarbeiter über die Schaltfläche Benutzer wählen oder entfernen ausgewählt.

Nach getroffener Auswahl wird über die Schaltfläche Übernehmen der Auswahlvorgang beendet.
Für eine spätere Weiterverarbeitung der Benutzerverwaltung (CSV Export) ist das Hinterlegen einer externen Kennung für die Benutzergruppe möglich.

Das Erstellen der Benutzergruppe wird über die Schaltfläche Speichern und schließen abgeschlossen.

Abbildung: Anlegen einer Benutzergruppe - Einzelansicht

Um die Benutzergruppe löschen zu können, müssen alle Rechteprofile aus der Gruppe entfernt werden.

Verwaiste Systemnutzer

In der Benutzerverwaltung kann zusätzlich der Reiter Verwaiste Systemnutzer angezeigt werden. Hier werden Systemnutzer angezeigt, denen kein aktiver Mitarbeiter zugeordnet ist. Diese verwaisten Nutzer können Sie einfach löschen

Verwaiste Benutzer sind Systemnutzer, welche keinem aktiven Mitarbeiter zugeordnet sind. Diese verwaisten Benutzer können Sie einfach löschen.

Verknüpfungen zu Objekten sollten nicht mehr vorliegen. Falls beim Löschversuch eine Fehlermeldung erscheint, dann sind noch bestehende Verknüpfungen vorhanden, die Sie zuerst lösen sollten.

Exportfunktion der Benutzerrechte

Der Export der Benutzerrechte ist über den Button CSV-Export Berechtigungen möglich.

Es werden drei verschiedene CSV-Dateien für die weitere Bearbeitung zur Verfügung gestellt. Die Dateien geben Inhalte zu Rollen, Rechten und Bezeichnungen aus.

Abbildung: CSV-Export Berechtigungen

Die drei verschiedenen Dateien werden abhängig vom Browser und den Einstellungen am Arbeitsplatz geöffnet. Es kann durchaus erst nach dem Öffnen der ersten Datei das Öffnen der zweiten Datei usw. angeboten werden.

Werkzeuge: Automatisches Setzen von Bearbeiten-Rechten

In der Benutzerverwaltung steht im Bereich Werkzeuge eine Funktion zur Massenvergabe von Bearbeiten-Berechtigungen für Verantwortliche zur Verfügung.

Mit dieser Aktion können Sie die Bearbeiten-Berechtigung für alle Verantwortlichen in sämtlichen Modulen der ForumSuite setzen. Bitte stimmen Sie sich dazu unbedingt im Vorfeld mit den Managern aller Anwendungen ab.

Abbildung: Massenvergabe von Bearbeiten-Rechten

Objektspezifische Rechtevergabe

Die allgemeinen Rechte aus den Rollen und Verantwortungen können pro Objekt durch sogenannte objektspezifische Berechtigungen übersteuert werden. Dies kann erforderlich sein, wenn z.B. bestimmte sensible Dokumente nur von bestimmten Nutzern gelesen oder bearbeitet werden sollen.

Praxisbeispiel aus ForumDSM: Bestimmte Verträge sollen nur einem kleinen Kreis von Nutzern zugänglich sein.

Bevor die Aktivierung der objektspezifischen Berechtigung aktiviert wird, werden Sie als Nutzer durch einen deutlichen Hinweis auf mögliche Folgen hingewiesen.

Abbildung: Hinweis auf objektspezifische Berechtigung

Die Bearbeitung durch Verantwortliche mit Leser-Rechten ist im Übrigen unterbunden.

Aktivierung

Um eine objektspezifische Berechtigung zu aktivieren, muss ein Nutzer Vollzugriff auf das betreffende Objekt haben, d.h. er muss es lesen, ändern und löschen dürfen.

Eine Bearbeitungsmöglichkeit über die Verantwortung ist für die Aktivierung nicht ausreichend.

Bei Aktivierung der objektspezifischen Berechtigung werden alle Rollenrechte anderer Nutzer übersteuert. Der aktivierende Benutzer kann über einen Dialog individuellen Zugriff auf das Objekt an Rollen und weitere Nutzer vergeben. Vergibt er Vollzugriff an andere Nutzer, können diese ebenfalls die objektspezifische Berechtigung ändern.

Bitte beachten Sie, dass Ansichten und Druckversionen durch die Vergabe von objektspezifischen Berechtigungen von Nutzer zu Nutzer abweichen!

Abbildung: Der Weg zur objektspezifischen Berechtigungen - Beispiel ForumDSM

Über die Schaltfläche und den Tab Berechtigungen...gelangen Sie zu den Einstellungen der objektspezifischen Berechtigungen.

Abbildung: Einstellung der objektspezifischen Berechtigungen

Über den Schalter⁽¹⁾ oben links wird die objektspezifische Berechtigung aktiviert. Die im oberen Abschnitt aufgeführten Gruppen⁽²⁾ repräsentieren die in der Anwendung existierenden globalen Rollen. An dieser Stelle kann durch die Vergabe kein Zugriff das Dokument vor allen Nutzern versteckt werden.

Im unteren Abschnitt Benutzer⁽³⁾ können die Mitarbeiter mit Lese- und/oder Bearbeitungsrechten für das Dokument hinterlegt werden.

Ist ein Objekt mit objektspezifischen Berechtigungen versehen, können Sie dies in der Objektansicht an einem Schloss neben dem i erkennen.

Abbildung: Objekt mit objektspezifischen Benutzerrechten

Deaktivierung und Löschung

Eine bestehende objektspezifische Berechtigung kann deaktiviert werden, sodass wieder die Rollenrechte in der betreffenden Anwendung gelten. Sofern gewünscht, kann die objektspezifische Berechtigung zu einem späteren Zeitpunkt im zuvor definierten Umfang wieder aktiviert werden. Für die Reaktivierung muss ein entsprechender Nutzer sowohl gemäß seiner Rolle, als auch gemäß der inaktiven privaten Berechtigung Vollzugriff auf das Objekt haben.

Der jeweils bearbeitende Nutzer kann sich selbst den Vollzugriff allerdings nicht entziehen. Dadurch wird sichergestellt, dass immer mindestens noch ein Nutzer die Berechtigungen ändern kann und somit verhindert, dass sich alle Nutzer aus einem Objekt aussperren. Alternativ kann eine bestehende objektspezifische Berechtigung auch komplett gelöscht werden. Anschließend kann ein beliebiger Nutzer, der aufgrund seiner Rolle Vollzugriff auf das Objekt hat, eine neue objektspezifische Berechtigung definieren.