Versions Compared

Old Version 2

changes.mady.by.user Dinah Bolli (Unlicensed)

Saved on

compared with

New Version Current

changes.mady.by.user Dinah Bolli (Unlicensed)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Fixed Sys role description

...

Table of Contents
minLevel1
maxLevel2

...

Concept

Das primedocs Berechtigungskonzept verfolgt folgende Ziele:

  • Verringerung des administrativen Aufwandes

  • Sicherstellung, dass nur benutzerrelevante Daten auf dem Computer der Benutzer synchronisiert werden

  • Einbindung der Fachabteilungen zur Pflege der Textbausteine

  • Einschränkung der Sichtbarkeit von Vorlagen und Textbausteinen aufgrund der Organisations- und Rollenzugehörigkeit

  • Unterstützung von Active Directory und Windows-Gruppen bzw. dem Azure Active Directory und die Möglichkeiten des Microsoft Graphs.

Das Berechtigungskonzept basiert auf Rollen, Benutzern, Benutzergruppen und Objekten. Rollen und damit Rechte werden den Objekten durch AD-Gruppen, AD-Benutzer, primedocs-Gruppen oder primedocs-Benutzer verknüpft.

View file
nameInvalid file id - UNKNOWN_MEDIA_ID

primedocs-Gruppen

primedocs-Gruppen und primedocs-Benutzer sind eigenständige Authorisierungsklassen.

Eine primedocs-Gruppe kann Gruppen bzw. Benutzer enthalten - dies kann sowohl "statisch" definiert als auch durch eine Konfiguration "dynamisch" gemacht werden. Bei "dynamischen" Gruppen wird eine Konfiguration hinterlegt, welche basierend auf Benutzerinformationen einen Benutzer automatisch einer Gruppe zuordnet oder entfernt.

Rollen

...

Berechtigung / Rolle

...

Sys-Admin

...

Org-Admin

...

Benutzer-Admin

...

Vorlagen-Admin

...

Kampagnen-Admin

...

Textbaustein-Admin

...

Benutzer

...

The primedocs authorization concept pursues the following goals:

  • Reduce administrative overhead

  • Ensuring that only user-relevant data is synchronized on the user's computer

  • Involving the specialist departments in the maintenance of snippets

  • Restricting the visibility of templates and snippets based on organizational and role affiliation

  • Support of Active Directory and Windows groups or Entra ID (formerly Azure Active Directory), respectively as well as Microsoft Graph’s possibilities.

The authorization concept is based on roles, users, user groups and objects. Roles and thus permissions are linked to the objects by AD groups, AD users, primedocs groups or primedocs users.

...

primedocs groups

primedocs groups and primedocs users are independent authorization classes.

A primedocs group can contain groups or users - this can be defined statically or made dynamic by a configuration. For dynamic groups, a configuration is stored which automatically assigns or removes a user from a group based on user information.

...

Permissions

Permission / Role

Sys admin

Org admin

User admin

Template admin

Campaign admin

Snippet admin

User

Manage organizations

Logo verwalten

Manage logo

Vorlagen verwalten

Manage templates

Vorlagen und deren Berechtigungen ändern

Modify templates and their permissions

1

Benutzer verwalten

Manage users

Gemeinsame Textbausteine verwalten

Manage shared snippets

2

Vorlagen-Textbausteine erstellen

Create template snippets

Felder verwalten

Manage fields

Kampagnen verwalten

Manage campaigns

Signaturen verwalten

Manage signatures

  1. Sofern der Vorlagenadministrator explizit ein Änderungsrecht auf der Vorlage besitzt.

  2. Sofern der Benutzer explizit ein Änderungsrecht auf dem Textbaustein besitzt.

Folgende Rollen sind in primedocs vorgesehen:

Systemadministrator

Höchste Berechtigung. Der Systemadministrator kann die Rollenzuweisungen für Benutzer- und Gruppen vornehmen. Zudem kann er alle Vorlagen bearbeiten (auch jene, auf die der Benutzer kein explizites Änderungsrecht besitzt) sowie Organisationen, Textbausteine, Benutzer und Felder verwalten.

Organisationadministrator

Berechtigung für die Modifikation von allen Organisationseinheiten (neue erstellen, löschen, Logos einfügen, Adressänderungen, etc.).

Benutzeradministrator

Berechtigung für die Administration aller Benutzer und Profile: das ist für alle diejenigen sinnvoll, die Support für eine primedocs-Umgebung leisten.

Vorlagenadministrator

Berechtigung, um Vorlagen zu bearbeiten und zu erstellen: Der Vorlagenadministrator sieht alle Vorlagen und deren Berechtigungen. Vorlagen können aber nur bearbeitet werden, wenn der Benutzer das explizite Änderungsrecht auf der Vorlage bzw. Vorlagengruppe besitzt. Dies gilt auch für die jeweiligen Berechtigungen der Vorlagen.
Der Vorlagenadministrator kann zudem alle Vorlagen-Textbausteine bearbeiten und neue erstellen. Er hat ein Änderungsrecht auf die globalen Dokumentfunktionen, die Globalen Konfigurationen und Übersetzungen und auf alle Tags.

Kampagnenadministrator

Berechtigung, um Kampagnen zu bearbeiten und zu erstellen.

Textbausteinadministrator

Berechtigung, um gemeinsam genutzte Textbausteine zu bearbeiten und zu erstellen: Der Textbausteinadministrator benötigt kein explizites Änderungsrecht auf die zu bearbeitenden Textbausteine. Er kann immer alle Textbausteine bearbeiten.

NOTE

Es ist empfehlenswert, eine Vorlagengruppe pro Amt oder pro Abteilung zu erstellen. So kann die Sichtbarkeit von Vorlagen einfacher eingeschränkt werden, was den Benutzern beim Finden der gewünschten Vorlage hilft.

Berechtigungen für Textbausteine

In primedocs gibt es Gemeinsame, Vorlagen- und eigene Textbausteine. Diese werden unterschiedlich berechtigt. Es werden nur Textbausteine zum primedocs Client synchronisiert, auf welchen der Benutzer auch Leserechte besitzt.

Gemeinsame Textbausteine

Lesezugriff wird für einen Textbaustein oder eine Textbausteingruppe zugelassen, wenn

  • der Benutzer Lesezugriff auf dem Element selber und allen übergeordneten Textbausteingruppen hat,

  • es sich um das Stammelement "Gemeinsame Textbausteine" handelt,

  • er Schreibzugriff durch eine übergeordnete Textbausteingruppe besitzt,

  • er Textbausteinadminstrator ist,

  • oder Systemadministrator ist.

Schreibzugriff wird für einen Textbaustein oder eine Textbausteingruppe zugelassen, wenn der Benutzer

  • Schreibrechte auf dem Element oder einer übergeordneten Textbausteingruppe hat

  • und dabei das oberste Element mit Schreibrechten sichtbar ist, d. h. der Benutzer muss für dieses auch Leserechte besitzen.

  • oder Textbaustein-/Systemadministrator ist.

Zu beachten ist dabei, dass ein Element ohne explizite Berechtigungen alle von der übergeordneten Gruppe erbt und daher keinen Einfluss hat.

Auf der obersten Ebene kann nur ein Textbaustein- oder Systemadministrator Elemente erstellen.

NOTE

Es ist nicht möglich, eine Textbausteingruppe sichtbar zu machen, wenn die übergeordnete Gruppe nicht auch sichtbar ist. Für einen solchen Fall hilft die einfache Umstrukturierung in weitere Unterordner weiter.

Beispiel

  • Code Block
    Gruppe Management
├─ Personal
├─ Textbaustein A
├─ Textbaustein B
└─ Textbaustein C

Eine Person soll jetzt auf die Gruppe Personal berechtigt werden, aber nicht die Bausteine in der Gruppe Management selbst sehen. Dazu wird eine weitere Gruppe erstellt und die Textbausteine darin einsortiert:

  • Code Block
    Gruppe Management
├─ Personal
└─ Weiteres
   ├─ Textbaustein A
   ├─ Textbaustein B
   └─ Textbaustein C

Jetzt kann der Person einfach das Leserecht für "Weiteres" entzogen werden.

Vorlagen-Textbausteine

Lesezugriff haben alle Benutzer, d.h. die Textbausteine werden für die Dokumentgenerierung allen Benutzern zur Verfügung gestellt. Sie werden jedoch nur System-/Textbausteinadministratoren angezeigt.

Schreibzugriff haben nur System-/Textbausteinadministratoren.

Private-Textbausteine

...

  1. Provided that the template administrator has an explicit modification right on the template.

  2. Provided that the user has an explicit modification right on the snippet.

The following permissions are provided in primedocs:

User

"User" controls whether the respective user can log in to primedocs or not. This authorization is initially set by default.

Dev

"Dev" enables functions for developers that regular users don't need.

System administrator

This permission includes all other permissions from here to the right (i.e. "Org", "User", etc.). The system administrator can set permissions for users and user groups in primedocs desktop. Furthermore, they can manage all templates as well as organizations, snippets and users and their profiles in primedocs.

Organization administrator

This permission allows the administration of organizational units (OUs). If the user has this permission, they will see the "Organizational units" entry in the "Organization" tab in primedocs desktop and can create new OUs, modify existing ones (change logos, change addresses, etc.) and delete them.

User administrator

This permission allows the user to manage users and their profiles. If the user has this permission, they will see the "User / profile administration" entry in the "Organization" tab in primedocs desktop. There they can manage users and their profiles; create, edit and delete users/profiles as well as share profiles in the name of other users.

Template administrator

This permission enables the maintenance of templates:

  • The template administrator sees all templates and their permissions.

  • However, a user can only edit templates and their authorizations if they have the explicit right to make changes to the template.

  • The template administrator can also edit all designer snippets and create new ones. They have the right to make changes to the global document functions, the global configurations and translations and to all tags.

Campaign administrator

Campaign administrators can create, edit and delete email campaigns.

Snippet administrator

This authorization enables the administration of all shared text modules ("snippet"). In contrast to the template administrator, the snippet administrator does not require explicit editing rights to a snippet or snippet category: they can always edit all snippets.

NOTE
It is recommended to create one template group per office or per department. This makes it easier to limit the visibility of templates, which in return helps users in finding the template they need.

...

Permissions for snippets

In primedocs there are Shared snippets, Template snippets as well as Private snippets. Only snippets for which the user has read access will be synchronized to the OneOffixx Client.

Shared snippets

Read access is allowed for a snippet or a snippet group if

  • the user has read access to the element itself and all parent snippet groups,

  • it is the root element "Shared snippets"

  • the user has write access via one parent snippet group

  • the user is a snippet administrator

  • or the user is system administrator.

Write access is allowed for a snippet or snippet group if the user

  • has write permissions to the element or one parent snippet group

  • and the top-level element is visible with write access, i.e. the user must also have read access for this element

  • or they are snippet/system administrator.

NOTE
Note that an element without explicit permissions inherits all permissions from the parent group and therefore has no influence. Conversely, this means that as soon as explicitly defined, it is no longer inherited from above.

Info

Only snippet/system administrators can create elements at the top level.

It is not possible to make a snippet group visible if the parent group is not visible as well. For such a case, simply restructuring into further subfolders may help:

Example

Code Block
Group Management
├─ Personnel
├─ Snippet A
├─ Snippet B
└─ Snippet C

A person is now to be authorized to the Personnel group, but not to see the modules in the management group itself. To do this, another group is created and the snippets are moved into it:

Code Block
Group Management
├─ Personnel
└─ More
   ├─ Snippet A
   ├─ Snippet B
   └─ Snippet C

Now the person can simply have the read access for "Further" revoked.

Template snippets

Read access is granted to all users, i.e. the text modules are made available to all users for document generation. However, they are only displayed to system/text module administrators.

Write access is only granted the system and snippet administrators.

Private snippets

Read access and Write access is only granted the corresponding user. System and snippet administrators do not have access for privacy reasons.

...

Assigning permissions in the dashboard

Open the Admin Dashboard in the browser.

Go to the Security tab.

Authorize individual users

Select the user to be authorized or search using the Search Query text field.

Alternatively, you can also create primedocs groups or assign the authorizations to a Windows group that is available to you. With the latter, the authorized users can be regulated via your internal authorization concepts instead of via primedocs.

You can find a screenshot of this below under Alternative: Authorize Windows groups.

(1) Place a tick in the row of the user and the column of the correct permission(s).

(2) Click on save in the corresponding line.

...

Alternative: Authorize Windows Groups

Select the windows groups tab.

(1) Search for an existing AD group in the "New User Group" field and add it by clicking on +Create User Group.

(2) Assign the required authorizations to the added Windows group.

(3) Click on save in the corresponding line.

...