Konzept
Das primedocs Berechtigungskonzept verfolgt folgende Ziele:
Verringerung des administrativen Aufwandes
Sicherstellung, dass nur benutzerrelevante Daten auf dem Computer der Benutzer synchronisiert werden
Einbindung der Fachabteilungen zur Pflege der Textbausteine
Einschränkung der Sichtbarkeit von Vorlagen und Textbausteinen aufgrund der Organisations- und Rollenzugehörigkeit
Unterstützung von Active Directory und Windows-Gruppen bzw. dem Azure Active Directory und die Möglichkeiten des Microsoft Graphs.
Das Berechtigungskonzept basiert auf Rollen, Benutzern, Benutzergruppen und Objekten. Rollen und damit Rechte werden den Objekten durch AD-Gruppen, AD-Benutzer, primedocs-Gruppen oder primedocs-Benutzer verknüpft.
primedocs-Gruppen
primedocs-Gruppen und primedocs-Benutzer sind eigenständige Authorisierungsklassen.
Eine primedocs-Gruppe kann Gruppen bzw. Benutzer enthalten - dies kann sowohl "statisch" definiert als auch durch eine Konfiguration "dynamisch" gemacht werden. Bei "dynamischen" Gruppen wird eine Konfiguration hinterlegt, welche basierend auf Benutzerinformationen einen Benutzer automatisch einer Gruppe zuordnet oder entfernt.
Rollen
Berechtigung / Rolle | Sys-Admin | Org-Admin | Benutzer-Admin | Vorlagen-Admin | Kampagnen-Admin | Textbaustein-Admin | Benutzer |
|---|---|---|---|---|---|---|---|
Organisationen verwalten | ☑ | ☑ | ☐ | ☐ | ☐ | ☐ | ☐ |
Logo verwalten | ☑ | ☑ | ☐ | ☐ | ☐ | ☐ | ☐ |
Vorlagen verwalten | ☑ | ☐ | ☐ | ☑ | ☐ | ☐ | ☐ |
Vorlagen und deren Berechtigungen ändern | ☑ | ☐ | ☐ | ☑ 1 | ☐ | ☐ | ☐ |
Benutzer verwalten | ☑ | ☐ | ☑ | ☐ | ☐ | ☐ | ☐ |
Gemeinsame Textbausteine verwalten | ☑ | ☐ | ☐ | ☑ | ☐ | ☑ | ☑ 2 |
Vorlagen-Textbausteine erstellen | ☑ | ☐ | ☐ | ☑ | ☐ | ☐ | ☐ |
Felder verwalten | ☑ | ☐ | ☐ | ☑ | ☐ | ☐ | ☐ |
Kampagnen verwalten | ☑ | ☐ | ☐ | ☐ | ☑ | ☐ | ☐ |
Signaturen verwalten | ☑ | ☐ | ☐ | ☑ | ☐ | ☐ | ☐ |
Sofern der Vorlagenadministrator explizit ein Änderungsrecht auf der Vorlage besitzt.
Sofern der Benutzer explizit ein Änderungsrecht auf dem Textbaustein besitzt.
Folgende Rollen sind in primedocs vorgesehen:
Systemadministrator
Höchste Berechtigung. Der Systemadministrator kann die Rollenzuweisungen für Benutzer- und Gruppen vornehmen. Zudem kann er alle Vorlagen bearbeiten (auch jene, auf die der Benutzer kein explizites Änderungsrecht besitzt) sowie Organisationen, Textbausteine, Benutzer und Felder verwalten.
Organisationadministrator
Berechtigung für die Modifikation von allen Organisationseinheiten (neue erstellen, löschen, Logos einfügen, Adressänderungen, etc.).
Benutzeradministrator
Berechtigung für die Administration aller Benutzer und Profile: das ist für alle diejenigen sinnvoll, die Support für eine primedocs-Umgebung leisten.
Vorlagenadministrator
Berechtigung, um Vorlagen zu bearbeiten und zu erstellen: Der Vorlagenadministrator sieht alle Vorlagen und deren Berechtigungen. Vorlagen können aber nur bearbeitet werden, wenn der Benutzer das explizite Änderungsrecht auf der Vorlage bzw. Vorlagengruppe besitzt. Dies gilt auch für die jeweiligen Berechtigungen der Vorlagen.
Der Vorlagenadministrator kann zudem alle Vorlagen-Textbausteine bearbeiten und neue erstellen. Er hat ein Änderungsrecht auf die globalen Dokumentfunktionen, die Globalen Konfigurationen und Übersetzungen und auf alle Tags.
Kampagnenadministrator
Berechtigung, um Kampagnen zu bearbeiten und zu erstellen.
Textbausteinadministrator
Berechtigung, um gemeinsam genutzte Textbausteine zu bearbeiten und zu erstellen: Der Textbausteinadministrator benötigt kein explizites Änderungsrecht auf die zu bearbeitenden Textbausteine. Er kann immer alle Textbausteine bearbeiten.
NOTE
Es ist empfehlenswert, eine Vorlagengruppe pro Amt oder pro Abteilung zu erstellen. So kann die Sichtbarkeit von Vorlagen einfacher eingeschränkt werden, was den Benutzern beim Finden der gewünschten Vorlage hilft.
Berechtigungen für Textbausteine
In primedocs gibt es Gemeinsame, Vorlagen- und eigene Textbausteine. Diese werden unterschiedlich berechtigt. Es werden nur Textbausteine zum primedocs Client synchronisiert, auf welchen der Benutzer auch Leserechte besitzt.
Gemeinsame Textbausteine
Lesezugriff wird für einen Textbaustein oder eine Textbausteingruppe zugelassen, wenn
der Benutzer Lesezugriff auf dem Element selber und allen übergeordneten Textbausteingruppen hat,
es sich um das Stammelement "Gemeinsame Textbausteine" handelt,
er Schreibzugriff durch eine übergeordnete Textbausteingruppe besitzt,
er Textbausteinadminstrator ist,
oder Systemadministrator ist.
Schreibzugriff wird für einen Textbaustein oder eine Textbausteingruppe zugelassen, wenn der Benutzer
Schreibrechte auf dem Element oder einer übergeordneten Textbausteingruppe hat
und dabei das oberste Element mit Schreibrechten sichtbar ist, d. h. der Benutzer muss für dieses auch Leserechte besitzen.
oder Textbaustein-/Systemadministrator ist.
Zu beachten ist dabei, dass ein Element ohne explizite Berechtigungen alle von der übergeordneten Gruppe erbt und daher keinen Einfluss hat.
Auf der obersten Ebene kann nur ein Textbaustein- oder Systemadministrator Elemente erstellen.
NOTE
Es ist nicht möglich, eine Textbausteingruppe sichtbar zu machen, wenn die übergeordnete Gruppe nicht auch sichtbar ist. Für einen solchen Fall hilft die einfache Umstrukturierung in weitere Unterordner weiter.
Beispiel
Gruppe Management ├─ Personal ├─ Textbaustein A ├─ Textbaustein B └─ Textbaustein C
Eine Person soll jetzt auf die Gruppe Personal berechtigt werden, aber nicht die Bausteine in der Gruppe Management selbst sehen. Dazu wird eine weitere Gruppe erstellt und die Textbausteine darin einsortiert:
Gruppe Management ├─ Personal └─ Weiteres ├─ Textbaustein A ├─ Textbaustein B └─ Textbaustein C
Jetzt kann der Person einfach das Leserecht für "Weiteres" entzogen werden.
Vorlagen-Textbausteine
Lesezugriff haben alle Benutzer, d.h. die Textbausteine werden für die Dokumentgenerierung allen Benutzern zur Verfügung gestellt. Sie werden jedoch nur System-/Textbausteinadministratoren angezeigt.
Schreibzugriff haben nur System-/Textbausteinadministratoren.
Private-Textbausteine
Lesezugriff und Schreibzugriff hat nur der entsprechende Benutzer. Auch System-/Textbausteinadministratoren haben aus Datenschutzgründen keinen Zugriff.