🔐Rechteverwaltung: globale Rechte und explizite Einheiten-Genehmigungen

Wenn Sie Benutzerrechte oder Gruppenrechte ändern, welche noch nich sychronisierte Änderungen auf Endgeräten enthalten, können die Änderungen vorloren gehen. Bevor Sie Benutzer oder Gruppenrechte verändern gehen Sie also sicher, dass dieser seine Daten vorher Synchronisiert hat.

Rund um die Rechteverwaltung

Grundlegend gibt es zwei verschiedene Rechtearten:

  1. Explizite Rechte (in der App “Einheiten Genehmigungen” genannt, bezogen auf einzelne Datenendpunkte)

  2. Globale Rechte (auf Benutzer oder Gruppen bezogen)

Alle Rechte können nur in der Cloud vergeben und bearbeitet werden.

Die expliziten Rechte haben eine höhere Priorität als die globalen Rechte.

Ein Nutzer kann nur Rechte vergeben die er selber besitzt. Ein Nutzer kann sich selber keine Rechte entziehen oder mehr Rechte geben als er selbst besitzt.

Durch eine zeitliche Abfolge von Rechteänderungen von Nutzern, kann es zu Synchonisationsproblemen oder Konflikten kommen.

Serverrolle, Qualifikation des Prüfers

Im Benutzerprofil gibt es zwei Definitionen:

  • Serverrolle: Nur Administratoren sollten die Rolle “Serveradmin” besitzen.

  • Qualifikation des Prüfers: Experte ermöglicht das Weiterprüfen obwohl ein Fehler bei einer Messung auftritt.

1. Explizite Rechte oder Einheiten Genehmigungen

Die expliziten Rechte können über das Teilensymbol vergeben werden. Die Rechte können für einzelne Benutzer oder für Benutzergruppen definiert werden. Es ist zusätzlich möglich, ein Enddatum für die Rechtevergabe zu definieren. Nach diesem Zeitpunkt wirkt die explizite Rechtevergabe dann nicht mehr.

Explizite Rechte existieren für folgende Daten:

  • Kunden: Rechte bezogen auf die Kunden und die Stammdaten im Kundenprofil

  • Elementgruppen: Rechte bezogen auf die Elementgruppen und die Stammdaten im Elementgruppenprofil

  • Prozeduren: Bezogen auf die Prozedur und die Daten im Prozedurenprofil

  • Protokollvorlagen: Bezogen auf die Protokollvorlagen und die Daten im Protokollvorlagenprofil

  • Elementkataloge: Bezogen auf einzelne Elementkatalogeinträge

  • Feldkataloge: Bezogen auf einzelne Feldkatalogeinträge

  • Standortbäume: Bezogen auf einzelne Standortbäume welche in dem Kunden existieren

Es gibt keine expliziten Rechte auf Elemente oder Prüfungen oder Weiteres.

Explizite Rechte überschreiben globale Rechte für den einzelnen Dateneintrag. Das bedeutet beispielweise, dass ich global alle Kunden lesen darf, aber mir durch ein explizites Recht das Lesen eines einzelnen Kunden verwehrt bleibt. Somit sehe ich, obwohl ich global alle Kunden lesen darf, den expliziten Kunden nicht, bei dem mir das Leserecht explizit eingeschränkt wurde.

Bei den Einheiten-Genehmigungen gibt es die folgenden Optionen der Rechtevergabe:

  • Lesen: ermöglicht das Anzeigen und Lesen der Daten

  • Erstellen: ermöglicht das Erstellen von Daten

  • Bearbeiten: ermöglicht das Bearbeiten von Daten

  • Löschen: ermöglicht das Löschen von Daten

  • keine der Optionen (Lesen, Erstellen, Bearbeiten, Löschen): Keine Rechte auf den Datensatz, auch wenn globale Rechte vorhanden.

Ab der Version 0.40.0 wurde die Möglichkeit implementiert, beim Erstellen von Kunden direkt Einheitengenehmigungen zu hinterlegen von Benutzern oder Gruppen. Das ermöglicht es, auch wenn man nicht das globale Recht hat, alle Kunden zu lesen, einen Kunden zu erstellen und auf diesen sich selbst Rechte zu vergeben. Somit hat man Zugriff auf den von einem selbst erstellten Kunden, der sonst wegen mangelnder globaler Rechte auf Kunden nicht sichtbar/lesbar war.

Wo befindet sich die Rechteverwaltung für die expliziten Rechte bzw. Einheiten-Genehmigungen?

Diese befindet sich bei den jeweiligen Datensätzen beim Wählen des Teilen-Symbols:

 

2. globale Rechte

Globale Rechte können für Benutzer und für Gruppen definiert werden. Die Rechte funktionieren additiv. Das bedeutet, dass die Rechte aus mehreren Quellen, wie mehreren Gruppen und dem Benutzerprofil, sich aufaddieren, also erweitern. Es bietet sich also an, die Rechtestruktur mit Gruppen modular aufzubauen. Wie oben beschrieben, haben explizite Rechte, also Einheiten-Genehmigungen Vorrang und überschreiben globale Rechte.

Globale Rechte existieren für folgende Daten:

Sonderfunktion Rechtevergabe Dienstleister

Es ist möglich, Dienstleistern die Administration ihrer eigenen Benutzer zu ermöglichen, ohne dass der Dienstleister Zugriff auf alle anderen vorhandenen Unternehmen und Benutzerdaten hat. Dazu wird dem Admin des Dienstleisters das Recht zum Erstellen und Bearbeiten von Nutzern und Nutzerrechten vergeben, aber nicht die Rechte Unternehmen zu lesen, zu schreiben oder zu löschen.

 

Wo befindet sich die Rechteverwaltung der globalen Rechte?

  • Öffnen Sie Remote-Master-Cloud. In der iOS- oder Android-Version ist diese Einstellung nicht möglich.

  • Öffnen Sie die Einstellungen indem Sie oben rechts auf das Zahnrad-Symbol klicken.

  • Die Rechteverwaltung einzelner Benutzer befindet sich unter den Einstellungen für Nutzer.

  •  

  • In der Übersicht kann durch “Erstellen” ein neuer Nutzer angelegt werden.

     

  • Nach der Eingabe der Stammdaten können die Rechte vergeben werden. ⚠ Die Rechte können vom Administrator inklusive ihm selber entzogen werden⚠

     

  • Lesen: Der Benutzer kann die hinterlegten Daten nur lesen.

  • Schreiben: Der Benutzer kann neue Datendatensätze erstellen und bearbeiten.

  • Löschen: Der Benutzer kann die Datensätze löschen.

Konflikte bei der Synchronisation durch das Entziehen von Rechten

Durch eine zeitliche Abfolge beim Vergeben oder vielmehr beim Entziehen von Rechten können Sie Konflikte bei der Synchronisation verursachen.

Wir erklären das hier anhand eines Beispiels:

Nutzer 1 bekommt zum Zeitpunkt 1 durch den Nutzer 2 die explizite Einheiten-Genehmigung zum Lesen, Schreiben und Löschen auf einen Kunden und die darunter liegenden Elementgruppen und Elemente.

Der Nutzer 1 synchronisiert die ihm nun freigegebenen Daten auf sein Clientgerät.

Der Nutzer 1 löscht nun zum Zeitpunkt 2 Elemente in dem freigegebenen Kunden und synchronisiert die Änderungen.

Nach der Synchronisierung löscht der Nutzer 1 weitere Elemente zum Zeitpunkt 3 und synchronisiert die Änderungen nicht.

Zum Zeitpunkt 4 entzieht der Nutzer 2 die explizite Einheiten-Genehmigung zum Lesen, Schreiben und Löschen auf den Kunden und die darunter liegenden Elementgruppen und Elemente, da der Auftrag abgeschlossen ist.

Der Nutzer 1 will zum darauf folgenden Zeitpunkt 5 seinen Client synchronisieren und bekommt dabei die Meldung “Fehler: Fehlende Berechtigungen! Synchen Sie nochmals, um weiter zu machen”. Siehe folgendes Bild:

Die einzige Möglichkeit, das Problem ohne den Verlust der letzten Änderungen von Nutzer 1 zu beheben ist, ihm die Rechte so lange zu gewähren oder wieder zu gewähren bis alle Änderungen synchronisiert wurden. Danach können ihm die Rechte entzogen werden ohne einen Konflikt zu verursachen.

Ebenen

Die Rechte lassen sich auf Gruppen- und Benutzerebene ändern, dabei gilt:

Die Rechte der Benutzer überschreiben die Rechte von Gruppen, welchen ein Benutzer angehört summieren sich auf.

 

Verwandte Artikel