Rechtemanagement
Aus Melin DokuWiki
Melin ist ein mandantenfähiges System. User können dabei einem oder mehreren Mandanten angehören und dadurch Zugriff auf Dokumente und Funktionen erlangen.
Der Zugriff auf Objekte kann über ein mehrstufiges Berechtigungssystem – basierend auf Mandanten, Rollen und Usern – definiert werden.
Inhaltsverzeichnis |
[bearbeiten] Mandanten
Mandanten und Geschäftstellen dazu dienen die Sicht auf Objekte als ganzes zu steuern und den Zugriff abzugrenzen.
Zwei Anwender die getrennten Mandanten angehören haben dabei praktisch keine gemeinsamen Daten, sie bewegen sich im System als ob es die anderen Mandanten nicht gäbe. Zwei Ausnahmen gibt es hierbei: persönlichen Daten zu einem Kunden werden einheitlich gespeichert (z.B. die Werbe-Erlaubnis die immer unternehmensweit gilt) und die globale Hardcore-Sperrliste (Robinsonliste). Wenn ein Kunde darauf besteht keine E-Mail vom Unternehmen mehr zu bekommen ist das nicht auf eine Filiale beschränkt und gilt daher Systemweit.
[bearbeiten] Geschäftststellen
Mandanten können dabei noch in Geschäftsstellen (Business Units) untergliedert werden. Ein Anwender mit einem Mandantenrecht sieht dabei alle Geschäftsstellen des Mandanten. Ein Anwender der nur einer Geschäftsstelle angehört sieht die anderen Geschäftsstellen nicht.
[bearbeiten] Rollen
Rollen sind eine zweite Ebene der Berechtigungssteuerung. Mandanten und Geschäftstellen dazu dienen die Sicht auf Objekte als ganzes zu steuern. Rollen definieren was ein Anwender mit einem Objekt machen darf. Die meisten Anwender erhalten beispielsweise Zugriff auf den Melin-Schreibtisch, aber nur wenige dürfen Dokumente dort auch veröffentlichen.
Zum Start haben sich folgende Rollen bewährt mit denen sich fast alle Anforderungen abdecken lassen:
- Superuser - Zugriff auf alles
- Editor/Autor - Erstellen von Dokumenten
- Publisher/Chefredakteur - Freigeben von Dokumenten für Versand
- Statistik und Abonnentenverwaltung - Zugriff nurauf Abonnentendaten und Statistiken
Zusätzlich können beliebige weitere Rollen definiert werden. Zu beachten ist bei der Rollenanlage dass Rollen die dem Mandant „Superuser“ zugeordnet werden bei allen Mandanten verwendet werden können. Rollen die für einen speziellen Mandant erzeugt werden stehen nur bei diesem Mandant zur Verfügung.
[bearbeiten] Sonderstellung Superuser
Eine Sonderstellung nimmt der Superuser ein der beliebige Rechte annehmen kann. Eine Sonderstellung haben auch User die dem Superuser-Mandant zugeordnet sind: diese haben an einigen Stellen im System mehr Menüoptionen, zum Beispiel können sie Abonnenten systemweit löschen auch wenn diese noch bei anderen Mandanten in Verwendung sind.
[bearbeiten] Menüzugriffsrechte
Die Mandanten und Rollen sind erstmal nur Namen. Die Funktionen und Berechtigungen werden im Menüpunkt „Menüzugriffsrechte“ zugeordnet. Das Menü sollte ausschließlich mit dem Superuser verwendet werden der immer die Übersicht über alle Mandanten und Rollen hat.
Zugriff mit anderen Accounts ist auch möglich, diese sehen jedoch unter Umständen nur einen Ausschnitt. Beispiel: ein Anwender hat keinen Zugriff auf die Rolle „Statistik“. Wenn dieser nun Zugriff auf die Menüzugriffsverwaltung hat sieht er darin die Zuordnung aller seiner Rollen, aber nicht die Statikstik-Rolle. Wenn er jetzt Zugriff auf einen Menüpunkt sperrt kann es sein dass Statistik darauf immer noch Zugriff hat.
Um solche Seiteneffekte zu verhindern sollte der Superuser-Account für diese Basiskonfiguration verwendet werden.
[bearbeiten] Zugriffsrechteverwaltung in der Mediendatenbank
Auch in der Mediendatenbank stehen die Rechte zur Verfügung. Es können sowohl einzelne Bilder mit rechten versehen werden als auch ganze Ordner. Dazu steht jedem User noch ein privater Bereich zur Verfügung auf den kein anderer Anwender Zugriff hat.
Es bietet sich an mit dem Superuser eine Grobstruktur vorzugeben um Wildwuchs in der Mediendatenbank zu vermeiden. Auch sollten Anwender dazu angehalten werden nur in Ausnahmefälllen neue Ober-Ordner in Eigenregie anzulegen.