Berechtigungen
Konzept
Das primedocs Berechtigungskonzept verfolgt folgende Ziele:
Verringerung des administrativen Aufwandes
Sicherstellung, dass nur benutzerrelevante Daten auf dem Computer der Benutzer synchronisiert werden
Einbindung der Fachabteilungen zur Pflege der Textbausteine
Einschränkung der Sichtbarkeit von Vorlagen und Textbausteinen aufgrund der Organisations- und Rollenzugehörigkeit
Unterstützung von Active Directory und Windows-Gruppen bzw. dem Entra ID (ehemals Azure Active Directory) und die Möglichkeiten des Microsoft Graphs.
Das Berechtigungskonzept basiert auf Rollen, Benutzern, Benutzergruppen und Objekten. Rollen und damit Rechte werden den Objekten durch AD-Gruppen, AD-Benutzer, primedocs-Gruppen oder primedocs-Benutzer verknüpft.
primedocs-Gruppen
primedocs-Gruppen und primedocs-Benutzer sind eigenständige Authorisierungsklassen.
Eine primedocs-Gruppe kann Gruppen bzw. Benutzer enthalten - dies kann sowohl statisch definiert als auch durch eine Konfiguration dynamisch gemacht werden. Bei dynamischen Gruppen wird eine Konfiguration hinterlegt, welche basierend auf Benutzerinformationen einen Benutzer automatisch einer Gruppe zuordnet oder entfernt.
Berechtigungen
Berechtigung / Rolle | Sys-Admin | Org-Admin | Benutzer-Admin | Vorlagen-Admin | Kampagnen-Admin | Textbaustein-Admin | Benutzer |
---|---|---|---|---|---|---|---|
Organisationen verwalten | ☑ | ☑ | ☐ | ☐ | ☐ | ☐ | ☐ |
Logo verwalten | ☑ | ☑ | ☐ | ☐ | ☐ | ☐ | ☐ |
Vorlagen verwalten | ☑ | ☐ | ☐ | ☑ | ☐ | ☐ | ☐ |
Vorlagen und deren Berechtigungen ändern | ☑ | ☐ | ☐ | ☑ 1 | ☐ | ☐ | ☐ |
Benutzer verwalten | ☑ | ☐ | ☑ | ☐ | ☐ | ☐ | ☐ |
Gemeinsame Textbausteine verwalten | ☑ | ☐ | ☐ | ☑ | ☐ | ☑ | ☑ 2 |
Vorlagen-Textbausteine erstellen | ☑ | ☐ | ☐ | ☑ | ☐ | ☐ | ☐ |
Felder verwalten | ☑ | ☐ | ☐ | ☑ | ☐ | ☐ | ☐ |
Kampagnen verwalten | ☑ | ☐ | ☐ | ☐ | ☑ | ☐ | ☐ |
Signaturen verwalten | ☑ | ☐ | ☐ | ☑ | ☐ | ☐ | ☐ |
Sofern der Vorlagenadministrator explizit ein Änderungsrecht auf der Vorlage besitzt.
Sofern der Benutzer explizit ein Änderungsrecht auf dem Textbaustein besitzt.
Folgende Berechtigungen sind in primedocs vorgesehen:
User
“User” steuert, dass der jeweilige Benutzer sich bei primedocs anmelden kann oder nicht. Diese Berechtigung ist standardmässig initial gesetzt.
Dev
“Dev” schaltet Funktionen für Entwickler frei, die reguläre Benutzer nicht benötigen.
Sys - Systemadministrator
Diese Berechtigung beinhaltet alle anderen Berechtigungen von hier an nach rechts (also „Org“, „User“, etc.). Der Systemadministrator kann in primedocs desktop die Rollenzuweisungen für Benutzer und Benutzergruppen vornehmen. Weiter alle er Vorlagen sowie Organisationen, Textbausteine und Benutzer und deren Profile in primedocs verwalten.
Org - Organisationadministrator
Diese Berechtigung erlaubt das Verwalten der Organisationseinheiten (OEs). Hat der Benutzer diese Berechtigung, sieht dieser in primedocs desktop im Register „Organisation“ den Eintrag „Organisationseinheiten“ und kann dort neue OEs erfassen, bestehende anpassen (Logos ändern, Adressänderungen, etc.) und löschen.
User - Benutzeradministrator
Diese Berechtigung erlaubt das Verwalten der Benutzer und deren Profile. Hat der Benutzer diese Berechtigung, sieht dieser in primedocs desktop im Register „Organisation“ den Eintrag „Benutzer- / Profiladministration“. Dort kann er die Benutzer und deren Profile verwalten; Benutzer/Profile erstellen, bearbeiten und löschen sowie Profilfreigaben machen.
Templ. - Vorlagenadministrator
Diese Berechtigung ermöglicht das Pflegen der Vorlagen:
Der Vorlagenadministrator sieht alle Vorlagen und deren Berechtigungen.
Vorlagen und deren Berechtigungen kann ein Benutzer aber nur bearbeiten, wenn er das explizite Änderungsrecht auf der Vorlage besitzt.
Der Vorlagenadministrator kann zudem alle Vorlagen-Textbausteine bearbeiten und neue erstellen. Er hat ein Änderungsrecht auf die globalen Dokumentfunktionen, die Globalen Konfigurationen und Übersetzungen und auf alle Tags.
Campaign - Kampagnenadministrator
Kampagnenadministratoren können E-Mail-Kampagnen erstellen, bearbeiten und löschen.
Snippet - Textbausteinadministrator
Diese Berechtigung ermöglicht die Verwaltung aller gemeinsam genutzten Textbausteine (englisch: „Snippet“). Im Gegensatz zum Vorlagenadministrator, benötigt der Textbausteinadministrator kein explizites Änderungsrecht auf einem Textbaustein oder einer Textbausteinkategorie: er kann immer alle Textbausteine bearbeiten.
HINWEIS
Es ist empfehlenswert, eine Vorlagengruppe pro Amt oder pro Abteilung zu erstellen. So kann die Sichtbarkeit von Vorlagen einfacher eingeschränkt werden, was den Benutzern beim Finden der gewünschten Vorlage hilft.
Berechtigungen für Textbausteine
In primedocs gibt es Gemeinsame, Vorlagen- und eigene Textbausteine. Diese werden unterschiedlich berechtigt. Es werden nur Textbausteine zum primedocs Client synchronisiert, auf welchen der Benutzer auch Leserechte besitzt.
Gemeinsame Textbausteine
Lesezugriff wird für einen Textbaustein oder eine Textbausteingruppe zugelassen, wenn
der Benutzer Lesezugriff auf dem Element selber und allen übergeordneten Textbausteingruppen hat,
es sich um das Stammelement "Gemeinsame Textbausteine" handelt,
er Schreibzugriff durch eine übergeordnete Textbausteingruppe besitzt,
er Textbausteinadminstrator ist,
oder Systemadministrator ist.
Schreibzugriff wird für einen Textbaustein oder eine Textbausteingruppe zugelassen, wenn der Benutzer
Schreibrechte auf dem Element oder einer übergeordneten Textbausteingruppe hat
und dabei das oberste Element mit Schreibrechten sichtbar ist, d. h. der Benutzer muss für dieses auch Leserechte besitzen.
oder Textbaustein-/Systemadministrator ist.
HINWEIS
Zu beachten ist dabei, dass ein Element ohne explizite Berechtigungen alle von der übergeordneten Gruppe erbt und daher keinen Einfluss hat. Das heisst im Umkehrschluss, dass sobald explizit definiert wird, von oben nicht mehr vererbt wird.
Auf der obersten Ebene kann nur ein Textbaustein- oder Systemadministrator Elemente erstellen.
Es ist nicht möglich, eine Textbausteingruppe sichtbar zu machen, wenn die übergeordnete Gruppe nicht auch sichtbar ist. Für einen solchen Fall hilft die einfache Umstrukturierung in weitere Unterordner weiter:
Beispiel
Gruppe Management
├─ Personal
├─ Textbaustein A
├─ Textbaustein B
└─ Textbaustein C
Eine Person soll jetzt auf die Gruppe Personal berechtigt werden, aber nicht die Bausteine in der Gruppe Management selbst sehen. Dazu wird eine weitere Gruppe erstellt und die Textbausteine darin einsortiert:
Gruppe Management
├─ Personal
└─ Weiteres
├─ Textbaustein A
├─ Textbaustein B
└─ Textbaustein C
Jetzt kann der Person einfach das Leserecht für "Weiteres" entzogen werden.
Vorlagentextbausteine
Lesezugriff haben alle Benutzer, d.h. die Textbausteine werden für die Dokumentgenerierung allen Benutzern zur Verfügung gestellt. Sie werden jedoch nur System-/Textbausteinadministratoren angezeigt.
Schreibzugriff haben nur System-/Textbausteinadministratoren.
Private Textbausteine
Lesezugriff und Schreibzugriff hat nur der entsprechende Benutzer. Auch System-/Textbausteinadministratoren haben aus Datenschutzgründen keinen Zugriff.
Berechtigungen im Dashboard vergeben
Öffnen Sie im Browser das Admin Dashboard.
Gehen Sie auf die Registerkarte Security.
Einzelne Benutzer berechtigen
Wählen Sie den zu berechtigenden Benutzer aus oder suchen Sie mittels dem Textfeld Search Query.
(1) Setzen Sie einen Haken in der Zeile des Benutzers und der Spalte der korrekten Berechtigungen.
(2) Klicken Sie in der entsprechenden Zeile auf save.
Alternative: Windows Groups berechtigen
Wählen Sie die Registerkarte windows groups aus.
(1) Suchen Sie im Feld “New User Group” eine existierende AD-Gruppe und fügen Sie sie mit Klick auf +Create User Group hinzu.
(2) Vergeben Sie der hinzugefügten Windows group die gewünschten Berechtigungen.
(3) Klicken Sie in der entsprechenden Zeile auf save.
PrimeSoft AG, Bahnhofstrasse 4, 8360 Eschlikon, Switzerland