Benutzerzuordnung

Merke: Rechte immer in dieser Reihenfolge prüfen: Rollen-/Gruppenzuordnung → Rechtepaket → benutzerabhängige Einschränkungen → Praxistest mit Testbenutzer.

Benutzergruppen/Rechtepaket | Zuordnungen | Einschränkungen |

Rechtepakete erstellen und zuordnen

Die Erweiterten Benutzerrechte bündeln Berechtigungen in wiederverwendbaren Paketen. Dadurch wird die Rechteverwaltung übersichtlicher und leichter pflegbar.

Vorgehensweise:

• Rechtepaket anlegen: Definieren Sie ein neues Rechtepaket innerhalb der Erweiterten Benutzerrechte.

• Zweck festlegen: Legen Sie fest, auf welche Inhalte sich das Paket bezieht (z. B. Allgemeine Daten oder Spezifische Abteilungen).

• Gruppen zuordnen: Verknüpfen Sie das Rechtepaket mit passenden Benutzergruppen (z. B. Disponenten, Sachbearbeiter, Leitungen).

Was bewirkt diese Zuordnung?

• Automatische Rechtevergabe: Alle Mitglieder der Gruppe übernehmen die im Rechtepaket definierten Berechtigungen.

• Einheitliche Rollenrechte: Benutzer mit gleicher Aufgabe arbeiten auf derselben Berechtigungsbasis.

• Weniger Pflegeaufwand: Änderungen erfolgen zentral am Rechtepaket statt pro Einzelbenutzer.

Einschränkung des Zugriffs auf Datensätze

Rechtepakete ermöglichen eine präzise und detaillierte Kontrolle darüber, welche Datensätze ein Benutzer sehen, bearbeiten oder ausblenden darf.

Typische Einsatzfälle:

• Lesen ohne Bearbeiten: Ein Benutzer darf den Fachbereich Untersuchungen einsehen, aber nicht ändern.

• Gezielte Ausblendung: Nicht relevante Datensatztypen können für bestimmte Benutzer ausgeblendet werden.

Was bewirken diese Einschränkungen?

• Datenintegrität: Sensible Inhalte bleiben vor unbeabsichtigten Änderungen geschützt.

• Übersichtlichkeit: Benutzer sehen nur die für ihre Aufgaben erforderlichen Inhalte.

• Sicherheit: Das Risiko von Fehlbedienungen wird reduziert.

Einschränkung auf Dienstbereiche (optional)

Sofern diese Funktionalität im Grundsystem aktiviert ist, kann der Zugriff auf einen oder mehrere Dienstbereiche eingeschränkt werden.

Vorgehensweise:

• Standard prüfen: Standardmäßig sind alle Dienste aktiviert.

• Bereiche eingrenzen: Beschränken Sie bei Bedarf den Zugriff auf spezifische Dienstbereiche.

• Benutzer oder Gruppen zuordnen: Wenden Sie die Einschränkung gezielt auf einzelne Benutzer oder Benutzergruppen an.

Nutzen:

• Feingranulare Steuerung: Berechtigungen lassen sich zusätzlich zur Rechtepaketlogik weiter verfeinern.

Benutzergruppen / Rechtepakete

Ein Rechtepaket ist die Grundlage für die Zuweisung von Berechtigungen und muss vor der eigentlichen Konfiguration der Zugriffsrechte erstellt werden.

Vorgehensweise:

• Name definieren: Legen Sie einen eindeutigen Namen für das Rechtepaket fest (z. B. "Sachbearbeitung_Rettungsdienst" oder "Leitungsfunktion_Einsatz").

• Beschreibung ergänzen: Hinterlegen Sie eine kurze fachliche Erläuterung, z. B. "Dient zur Freischaltung aller Datensätze".

Zugriffsbereich festlegen:

• Zweck: Geben Sie an, für welche Dateninhalte der Personalverwaltung der Zugriff erlaubt ist.

• Bereiche definieren: Legen Sie fest, ob das Rechtepaket Zugriff auf sensible Bereiche wie Medizinische Daten, Besoldung oder nur auf allgemeine Daten wie Persönliche Daten gewährt.

Zuordnung der Einschränkungen:

Nach der Namens- und Zweckdefinition weisen Sie dem Rechtepaket die konkreten Einschränkungen für Datensätze, Abteilungen und Organisationseinheiten zu.

Was bewirkt diese Konfiguration?

• Klare Rechteabgrenzung: Jedes Rechtepaket bildet einen klar definierten Zugriffsumfang ab.

• Wiederverwendbarkeit: Einmal definierte Pakete können in mehreren Gruppen verwendet werden.

Filter für das Rechtepaket erstellen (Bundleeinschränkungen)

Vorgehensweise:

• Wechseln Sie im Formular Erweiterte Benutzerrechte in den Bereich Rechtepakete.

• Klicken Sie in der Fußzeile unten rechts auf das Filter-Icon Bundleeinschränkungen.

• Der Dialog Erweiterte Rechte für... öffnet sich und zeigt das ausgewählte Rechtepaket.

Was bewirkt dieser Schritt?

• Bearbeitungszugang: Sie öffnen den zentralen Dialog zur Definition von Einschränkungen.

• Paketbezug: Alle Änderungen beziehen sich direkt auf das aktuell ausgewählte Rechtepaket.

Grundlegende Einschränkungen zuweisen

Im Dialog Erweiterte Rechte für... weisen Sie dem ausgewählten Rechtepaket grundlegende Einschränkungen zu.

Was legen Sie hier fest?

• Grundsatzrechte: Welche Datenzugriffe auf höherer Ebene erlaubt oder verboten sind.

• Rahmen für Detailrechte: Die späteren Feineinstellungen bauen auf diesen Vorgaben auf.

Rechte zusätzlich bearbeiten, eingrenzen oder verfeinern

Wenn Sie Rechte zusätzlich eingrenzen möchten, nutzen Sie im Dialog Erweiterte Rechte für... den Bereich für die Detailkonfiguration.

Vorgehensweise:

• Ziel auswählen: Definieren Sie Rechte für bestimmte Personen oder ganze Personengruppen.

• Zugriffstyp setzen: Legen Sie Lesen (Checkbox Schreibgeschützt) oder Bearbeiten (Lese- und Schreibrechte) fest.

• Regelprinzip wählen: Entscheiden Sie zwischen zuordnen (Whitelisting) und entfernen (Blacklisting).

• Wichtiger Hinweis: Die Einstellungen für Whitelisting/Blacklisting sind unter Stammdaten-Konfiguration im System möglich und beeinflussen das globale Verhalten der Rechtevergabe.

Hinweis: Um die Zuordnungen einer Gruppe zu prüfen, empfiehlt es sich, eine Testperson zu definieren, mit der die Einstellungen anschließend geprüft werden können.

Zuordnungen

In diesem Abschnitt ordnen Sie Benutzer den Gruppen zu und verknüpfen diese Gruppen mit Rechtepaketen. So lassen sich Zugriffsrechte zentral und nachvollziehbar verwalten.

Vorgehensweise:

• Benutzergruppe auswählen: Öffnen Sie die gewünschte Gruppe in der Ansicht Benutzergruppen.

• Benutzer zuordnen: Aktivieren Sie die Checkboxen neben den Benutzern, die dieser Gruppe angehören sollen.

• Zuordnung prüfen: Kontrollieren Sie die Auswahl im Bereich Benutzer der Gruppe, bevor Sie den Dialog verlassen.

Was bewirkt diese Zuordnung?

• Rechtevererbung: Zugeordnete Benutzer übernehmen automatisch die Rechte der gewählten Gruppe.

• Einheitliche Rechtebasis: Benutzer mit gleicher Rolle erhalten konsistente Berechtigungen.

• Weniger Pflegeaufwand: Änderungen werden zentral an der Gruppe vorgenommen und nicht pro Einzelbenutzer.

Zuordnung von Gruppen zu Rechtepaketen

Nachdem die Benutzergruppen definiert und die Benutzer diesen zugeordnet wurden, erfolgt die Verknüpfung der Benutzergruppen mit den entsprechenden Rechtepaketen.

Vorgehensweise:

• Wechseln Sie in den Tab Gruppen zu Rechtepaket-Zuordnung.

• In diesem Tab wird nun die gewünschte Benutzergruppe (z. B. "Atemschutzgerätewarte", "Disponenten", "Sachbearbeiter Personal") ausgewählt.

• Anschließend werden dieser ausgewählten Benutzergruppe ein oder mehrere Rechtepakete zugeordnet (z. B. "Allgemeine Daten", "Alle Daten", "Atemschutzrelevante Daten").

Was bewirkt diese Verknüpfung?

• Skalierbarkeit: Rechtepakete können mehrfach verwendet und verschiedenen Gruppen zugewiesen werden.

• Schnelle Anpassung: Rollenwechsel werden durch Umgruppierung oder Paketwechsel ohne Einzelpflege umgesetzt.

• Transparenz: Die Rechtevergabe bleibt pro Gruppe und Rechtepaket klar nachvollziehbar.

Vorteile der Gruppen-Rechtevergabe

Die Zuweisung von Berechtigungen über Benutzergruppen statt über Einzelbenutzer bietet deutliche organisatorische Vorteile.

Zentrale Vorteile:

• Weniger Administrationsaufwand: Berechtigungen werden einmal pro Gruppe definiert und gelten automatisch für alle zugeordneten Benutzer.

• Konsistente Rechtevergabe: Benutzer mit gleicher Rolle erhalten einheitliche und nachvollziehbare Berechtigungen.

• Schnelle Änderungen: Bei Rollenwechsel oder Austritt genügt die Anpassung der Gruppenzuordnung statt einer Einzelpflege je Benutzer.

• Bessere Prüfbarkeit: Gruppen- und Rechtepaketzuordnungen lassen sich einfacher kontrollieren und dokumentieren.

Übersicht der Gruppenmitglieder

Im Abschnitt Benutzer der Gruppe xy prüfen Sie schnell, welche Benutzer aktuell einer ausgewählten Gruppe zugeordnet sind.

Was zeigt die Übersicht?

• Alle Gruppenmitglieder: Es werden alle Benutzer gelistet, die der aktuell ausgewählten Gruppe zugeordnet sind.

• Benutzer-ID: Eindeutige technische Identifikation des Benutzers.

• Kennung: Login-Name des Benutzers.

• Vollständiger Name: Klare Zuordnung zur Person.

Diese Übersicht unterstützt die Nachvollziehbarkeit der Rechtevergabe und vereinfacht die fachliche Kontrolle.

Einschränkungen von Zugriffsrechten

Bei der Definition von Zugriffsrechten in hierarchischen Strukturen (wie z. B. bei Organisationseinheiten oder Abteilungen) wendet das System das Prinzip der Vererbung an.

Regelwerk für Hierarchien:

• Vererbung: Eine Freigabe auf einer höheren Ebene (dem "Eltern-Element", z. B. die Hauptdienststelle) führt automatisch zur Freigabe aller untergeordneten ("Kind-Elemente") (z. B. der einzelnen Löschzüge, die dieser Hauptdienststelle unterstellt sind).

• Ausnahme (Enthaltung): Dieses Vererbungsprinzip gilt nur, sofern keine spezifischen, entgegenstehenden Berechtigungen auf niedrigerer Ebene existieren.

Das bedeutet: Wenn Sie einer übergeordneten Einheit Lese- oder Schreibrechte erteilen, gelten diese Rechte für die untergeordnete Struktur, sofern keine explizit restriktivere Regel auf Unterebene definiert ist.

Auswahl und Anzeige von Einschränkungen

Dieser Prozess beschreibt, wie Sie die einem Rechtepaket zugeordneten Einschränkungen anzeigen und zur detaillierten Bearbeitung öffnen.

Auswahl und Sichtbarkeit:

• Rechtepaket wählen: Im Textfeld Rechtepaket innerhalb des entsprechenden Tabs finden Sie eine Aufklappfunktion (▼), über die Sie weitere, detaillierte Einschränkungen auswählen können.

• Bearbeitbarkeit: Es ist wichtig zu verstehen, dass hier nur Elemente bearbeitet oder ausgewählt werden können, die zuvor freigeschaltet wurden.

• Übersicht: Diese freigeschalteten Elemente werden im Bereich Einschränkungen zusammen mit der Anzahl der zugehörigen Dateien übersichtlich dargestellt.

Detaillierung der Zugriffsrechte:

• Bearbeitung starten: Durch Klicken auf die Schaltfläche Bearbeiten gelangen Sie in das Formular Erweiterte Benutzerberechtigungen, in dem die eigentliche Detaillierung der Zugriffsrechte erfolgt.

• Detaillierung: In diesem Formular erfolgt die eigentliche Detaillierung der Zugriffsrechte, also die Festlegung der Lese-, Schreib- oder Ausblend-Berechtigungen für die einzelnen Datensätze und Inhalte.

Detaillierte Einschränkungen im Formular "Erweiterte Benutzerberechtigungen"

Im nachfolgend dargestellten Beispiel wurde im Formular Erweiterte Benutzerberechtigungen unter der Sektion Freizuschaltende Daten der Datentyp Schutzausrüstungs-Einsatzgrund ausgewählt.

• Daraufhin werden alle in den Stammdaten definierten Schutzausrüstungs-Einsatzgründe aufgelistet. Diese können nun einzeln dem gewählten Rechtepaket zugeordnet werden.

• Für jeden dieser Fachbereiche können Sie nun festlegen, ob die Daten nur lesbar sein sollen (durch Aktivierung der Checkbox Schreibgeschützt) oder ob sie auch bearbeitet werden dürfen.

• Nachdem Sie die gewünschten Selektionen vorgenommen haben, werden diese durch Auswahl des entsprechenden Buttons in das gewählte Rechtepaket übernommen.

Geltungsbereich der Einschränkungen (Wichtig!)

Es ist von entscheidender Bedeutung, in der Konfiguration der Personalverwaltung festzulegen, ob diese definierten Einschränkungen:

• nur in den Stammdaten greifen sollen,

• nur im Personalstammblatt wirken sollen,

• oder in beiden Bereichen Gültigkeit haben sollen.

Diese Einstellung bestimmt, wo im System die Zugriffsregeln angewendet werden.

Ergebnis der Einschränkungen für den Benutzer

Die Zugriffsrechte, die Sie über Rechtepakete und Organisationseinheiten definiert haben, steuern, welche Dateninhalte der Benutzer im System sehen und bearbeiten darf.

Was sieht der Benutzer im Formular?

• Dargestellte Daten: Nachdem ein Benutzer ausgewählt wurde, werden im rechten Formularbereich (der Hauptansicht) ausschließlich die für ihn freigegebenen und verfügbaren Dateninhalte dargestellt.

• Ausblendung: Dateien oder Fachbereiche, für die der Benutzer keine Berechtigung besitzt, werden ausgeblendet und sind für ihn nicht sichtbar. Dies sorgt für eine aufgabenorientierte und sichere Benutzeroberfläche.

Praxisbeispiel zu Lese- und Schreibrechten:

Die Einschränkungen definieren präzise, ob der Benutzer die Daten nur einsehen oder auch bearbeiten darf:

• Feuerlöschübungsanlage und Heißausbildung: Der Benutzer darf die Daten lediglich lesen und nutzen. Der Zugriffstyp ist schreibgeschützt.

• Alle anderen Fachbereiche: Der Benutzer besitzt die Berechtigung, sowohl Personendaten als auch Begrifflichkeiten in den Stammdaten zu ändern und zu bearbeiten. Der Zugriffstyp ist Lese- und Schreibrechte.

Damit sind Änderungen nur in den Bereichen möglich, für die der Benutzer explizit zuständig ist.

Kurz-Check vor dem Speichern

• Rechtepaket geprüft: Sind Name, Zweck und Geltungsbereich fachlich korrekt?

• Einschränkungen geprüft: Sind Orga-/Abteilungsregeln und Detailrechte konsistent gesetzt?

• Whitelisting/Blacklisting geprüft: Entspricht das Regelprinzip der gewünschten Zugriffspolitik?

• Resultat geprüft: Entspricht die sichtbare Datenmenge im Benutzertest der Erwartung?

• Änderungen dokumentiert: Sind Grund, Zeitpunkt und verantwortliche Person nachvollziehbar festgehalten?