Project

Benutzer Zuordnung

Benutzergruppen/Rechtepaket | Zuordnungen | Einschränkungen |

Rechtepakete erstellen und zuordnen

Die Erweiterten Benutzerrechte bieten die Möglichkeit, die Zugriffssteuerung zu vereinfachen, indem Berechtigungen in wiederverwendbaren Paketen gebündelt werden.

1. Rechtepakete definieren:

  • Definition: Innerhalb der Erweiterten Benutzerrechte haben Sie die Möglichkeit, individuelle Rechtepakete zu definieren.

  • Zweck: Ein Rechtepaket ist eine Sammlung von Berechtigungen, die den Zugriff auf bestimmte Datensätze und deren Inhalte steuern.

Beispiele für solche Rechtepakete könnten Zugriffe auf:

  • Allgemeine Daten (Basis-Lesezugriff).

  • Spezifische Abteilungen (z. B. nur die Personaldaten der Jugendfeuerwehr).

2. Zuordnung zu Benutzergruppen:

  • Gruppen-Basis: Die erstellten Rechtepakete können anschließend verschiedenen Benutzergruppen zugeordnet werden, wie beispielsweise:

  • Disponenten

  • Sachbearbeitern

  • Leitungen

Durch diese Zuordnung erhalten alle Mitglieder einer Gruppe automatisch die im jeweiligen Rechtepaket definierten Berechtigungen. Dies erleichtert die Verwaltung von Rechten für eine große Anzahl von Benutzern.

Einschränkung des Zugriffs auf Datensätze

Rechtepakete sind das Werkzeug, um eine sehr spezifische und detaillierte Kontrolle darüber zu erhalten, welche Datensätze ein Benutzer sehen, bearbeiten oder ausblenden darf.

Gezielte Einschränkung von Inhalten:

Rechtepakete dienen dazu, den Zugriff auf Datensätze mit bestimmten Inhalten gezielt einzuschränken.

Beispiel (Lese- vs. Schreibrechte):

  • Einem Anwender kann die Berechtigung erteilt werden, den Fachbereich Untersuchungen einzusehen (Lesezugriff), jedoch nicht weiter zu bearbeiten (kein Schreibzugriff).

  • Dies ist wichtig, um die Datenintegrität in sensiblen Bereichen zu schützen.

Ausblenden irrelevanter Daten:

  • Ausblenden von Datensatztypen: Darüber hinaus können andere Untersuchungsarten oder nicht relevante Datensätze für diesen spezifischen Nutzer ausgeblendet werden.

Dadurch erscheinen diese Datensätze nicht in seiner Ansicht, was die Benutzeroberfläche übersichtlicher macht und das Risiko von Fehlbedienungen reduziert.

Einschränkung auf Dienstbereiche (optional)

Sofern diese Funktionalität im Grundsystem definiert und aktiviert ist, besteht die Möglichkeit, den Zugriff für Personen auf einen oder mehrere Dienstbereiche zu beschränken.

  • Standardmäßig sind immer alle Dienste aktiviert.

  • Bei Bedarf kann der Administrator den Zugriff auf spezifische Dienstbereiche für einzelne Benutzer oder Benutzergruppen einschränken, um die Berechtigungen weiter zu verfeinern.

Benutzergruppen / Rechtepakete

Ein Rechtepaket ist die Grundlage für die Zuweisung von Berechtigungen und muss vor der eigentlichen Konfiguration der Zugriffsrechte erstellt werden

Rechtepaket benennen und beschreiben:

  • Name definieren: Zuvor muss der Name eines Rechtepaketes definiert werden (z. B. "Sachbearbeitung_Rettungsdienst" oder "Leitungsfunktion_Einsatz"), dem Sie dann die Einschränkungen auf Daten zuordnen.

  • Informationen hinzufügen: Unter den Rechtepaketen können zudem noch Informationen zur Erklärung hinzugefügt werden, beispielsweise der Text: "Dient zur Freischaltung aller Datensätze".


Zugriffsbereich festlegen:

  • Zweck: Es muss genau angegeben werden, für welchen Bereich (Dateninhalte) der Personalverwaltung der Zugriff erfolgen darf. Unter den Rechtepaketen können zudem noch Informationen beispielsweise Dient zur Freischaltung aller Datensätze hinzugefügt werden.

  • Definition: Dies bedeutet, Sie legen fest, ob das Rechtepaket Zugriff auf sensible Bereiche wie Medizinische Daten, Besoldung oder nur auf allgemeine Daten wie Persönliche Daten gewährt.

Zuordnung der Einschränkungen:

Nach der Namens- und Zweckdefinition werden dem Rechtepaket die konkreten Einschränkungen auf Datensätze, Abteilungen und Organisationseinheiten zugewiesen.


Filter für das Rechtepaket erstellen (Bundleeinschränkungen)

  • Im Formular Erweiterte Benutzerrechte wechseln Sie in den Bereich Rechtepakete.

  • Suchen Sie in der Fußzeile unten rechts das Filter-Icon mit der Bezeichnung Bundleeinschränkungen und klicken Sie darauf.

  • Es öffnet sich der Dialog Erweiterte Rechte für..., in dem das von Ihnen ausgewählte Rechtepaket dargestellt wird.


Grundlegende Einschränkungen zuweisen

  • Im Dialog Erweiterte Rechte für... können Sie nun dem ausgewählten Rechtepaket grundlegende Einschränkungen zuweisen. Hier legen Sie fest, welche Datenzugriffe auf einer höheren Ebene erlaubt oder verboten sind.

Rechte zusätzlich bearbeiten, eingrenzen oder verfeinern

  • Möchten Sie die Rechte des Rechtepaketes zusätzlich detaillierter bearbeiten, eingrenzen oder verfeinern, steht Ihnen innerhalb des Dialogs "Erweiterte Rechte für..." (oder über einen weiteren Klick, falls dies ein separater Unter-Dialog ist) ein spezifischer Bereich zur Verfügung.

  • Hier haben Sie die Möglichkeit, Zugriffsrechte für bestimmte Personen oder ganze Personengruppen festzulegen.

  • Sie können Berechtigungen entweder zum Lesen (aktivieren Sie die Checkbox Schreibgeschützt, um nur Leserechte zu gewähren) oder zum Bearbeiten (volle Lese- und Schreibrechte) einstellen.

  • Wählen Sie, ob Sie Rechte zuordnen (Whitelisting) möchten (d.h., nur explizit zugewiesene Rechte sind erlaubt) oder entfernen (Blacklisting) möchten (d.h., alle Rechte sind erlaubt, außer die explizit entfernten).

  • Wichtiger Hinweis: Die Einstellungen für Whitelisting/Blacklisting sind unter Stammdaten-Konfiguration im System möglich und beeinflussen das globale Verhalten der Rechtevergabe.


Hinweis: um die Zuordnungen einer Gruppe zu prüfen, empfiehlt es sich eine Testperson zu definieren, mit der die Einstellungen dann geprüft werden kann.

Zuordnungen

Dieser Abschnitt beschreibt den Prozess der Zuordnung von Benutzern zu Gruppen und der Zuweisung von Rechtepaketen zu diesen Gruppen, um eine effiziente Verwaltung der Zugriffsrechte zu gewährleisten.

Zuordnung von Benutzern zu Gruppen:

  • Wie im nebenstehenden Beispiel dargestellt, erfolgt die Zuweisung eines oder mehrerer Benutzer zu einer Gruppe durch die Aktivierung der jeweiligen Checkbox neben dem Benutzernamen in der Ansicht der Benutzergruppen. Dies erlaubt eine flexible Gruppierung von Benutzern basierend auf ihrer Rolle oder ihren Verantwortlichkeiten.

Zuordnung von Gruppen zu Rechtepaketen

Nachdem die Benutzergruppen definiert und die Benutzer diesen zugeordnet wurden, erfolgt die Verknüpfung der Benutzergruppen mit den entsprechenden Rechtepaketen:

  • Wechseln Sie in den Tab Gruppen zu Rechtepaket-Zuordnung.

  • In diesem Tab wird nun die gewünschte Benutzergruppe (z.B. "Atemschutzgerätewarte", "Disponenten", "Sachbearbeiter Personal") selektiert.

  • Anschließend wird dieser selektierten Benutzergruppe ein oder mehrere Rechtepakete zugeordnet (z.B. "Allgemeine Daten", "Alle Daten", "Atemschutz relevante Daten").

Vorteile der Gruppen-Rechtevergabe

Die Zuweisung von Berechtigungen über Benutzergruppen anstelle einzelner Benutzer bietet erhebliche administrative und operative Vorteile, insbesondere bei Organisationen mit vielen Mitarbeitern und unterschiedlichen Rollen.

1. Massive Vereinfachung der Verwaltung:

  • Zentrale Definition: Die Verwaltung wird erheblich vereinfacht, da Berechtigungen nicht für jeden einzelnen Benutzer, sondern einmal zentral für die Gruppe definiert werden können.

  • Gleiche Einschränkungen: Es ist wichtig zu verstehen, dass mehrere Benutzergruppen die gleichen oder ähnliche Einschränkungen erhalten können, wodurch redundante Konfigurationen vermieden werden.

2. Konsistenz und Nachvollziehbarkeit:

  • Standardisierte Rechte: Alle Benutzer einer Gruppe (z. B. "Disponenten") erhalten automatisch standardisierte, konsistente Rechte.

  • Einfache Überprüfung: Dies macht die Rechtevergabe nachvollziehbarer und erleichtert die Überprüfung der Sicherheitsrichtlinien.

3. Effizienz bei Personalwechsel:

  • Eintritt: Neue Mitarbeiter erhalten ihre notwendigen Berechtigungen sofort beim Eintritt, indem sie einfach der entsprechenden Benutzergruppe zugeordnet werden.

  • Wechsel/Austritt: Bei einem Rollenwechsel oder Austritt müssen die Rechte nicht mühsam bei der Einzelperson entzogen werden, sondern werden durch Entfernen aus der Gruppe oder durch Deaktivierung des Accounts effizient verwaltet.

Übersicht der Gruppenmitglieder

Der Abschnitt Benutzer der Gruppe xy (wobei "xy" durch den Namen der aktuell selektierten Benutzergruppe ersetzt wird) dient der schnellen Überprüfung, welche Benutzer die in diesem Rechtepaket definierten Berechtigungen erhalten.

  • Auflistung: Es werden alle Benutzer aufgelistet, die dieser aktuell ausgewählten Gruppe zugeordnet wurden.

  • Anzeigedaten: Die Übersicht zeigt die wichtigsten Identifikationsmerkmale der Benutzer:

  • Die Benutzer-ID

  • Die Kennung (Login-Name)

  • Den vollständigen Namen der jeweiligen Benutzer.

Dies erleichtert die Nachvollziehbarkeit und Überprüfung der Zuordnungen und stellt sicher, dass nur die korrekten Personen die Gruppenrechte erben.


Einschränkungen von Zugriffsrechten

Hinweis zu Hierarchien bei der Rechtevergabe:

Bei der Definition von Zugriffsrechten in hierarchischen Strukturen (wie z. B. bei Organisationseinheiten oder Abteilungen) wendet das System das Prinzip der Vererbung an.

  • Vererbung: Eine Freigabe auf einer höheren Ebene (dem "Eltern-Element", z. B. die Hauptdienststelle) führt automatisch zur Freigabe aller untergeordneten ("Kind-")Elemente (z. B. der einzelnen Löschzüge, die dieser Hauptdienststelle unterstellt sind).

  • Ausnahme (Enthaltung): Dieses Vererbungsprinzip gilt nur, sofern keine spezifischen, entgegenstehenden Berechtigungen auf niedrigerer Ebene existieren.

Das bedeutet, wenn Sie einer übergeordneten Einheit Lese- oder Schreibrechte erteilen, erstrecken sich diese Rechte auf die gesamte untergeordnete Struktur, es sei denn, Sie definieren explizit eine restriktivere Regel für ein spezifisches Unterelement.


Auswahl und Anzeige von Einschränkungen

Dieser Prozess beschreibt, wie Sie die einem Rechtepaket zugeordneten Einschränkungen anzeigen und zur detaillierten Bearbeitung öffnen.

Auswahl und Sichtbarkeit:

  • Rechtepaket wählen: Im Textfeld Rechtepaket innerhalb des entsprechenden Tabs finden Sie eine Aufklappfunktion (▼), über die Sie weitere, detaillierte Einschränkungen auswählen können.

  • Bearbeitbarkeit: Es ist wichtig zu verstehen, dass hier nur Elemente bearbeitet oder ausgewählt werden können, die zuvor freigeschaltet wurden.

  • Übersicht: Diese freigeschalteten Elemente werden im Bereich Einschränkungen zusammen mit der Anzahl der zugehörigen Dateien übersichtlich dargestellt.

Detaillierung der Zugriffsrechte:

  • Bearbeitung starten: Durch Klicken auf die Schaltfläche Bearbeiten gelangen Sie in das Formular Erweiterte Benutzerberechtigungen, wo die eigentliche Detaillierung der Zugriffsrechte erfolgt.

  • Detaillierung: In diesem Formular erfolgt die eigentliche Detaillierung der Zugriffsrechte, also die Festlegung der Lese-, Schreib- oder Ausblend-Berechtigungen für die einzelnen Datensätze und Inhalte.

Detaillierte Einschränkungen im Formular "Erweiterte Benutzerberechtigungen"

Wie im nachfolgend dargestellten Beispiel veranschaulicht, wurde im Formular Erweiterte Benutzerberechtigungen unter der Sektion Freizuschaltende Daten der Datentyp Schutzausrüstungs-Einsatzgrund selektiert.

  • Daraufhin werden alle in den Stammdaten definierten Schutzausrüstungs-Einsatzgründe aufgelistet. Diese können nun einzeln dem gewählten Rechtepaket zugeordnet werden.

  • Für jeden dieser Fachbereiche können Sie nun festlegen, ob die Daten nur lesbar sein sollen (durch Aktivierung der Checkbox Schreibgeschützt) oder ob sie auch bearbeitet werden dürfen.

  • Nachdem Sie die gewünschten Selektionen vorgenommen haben, werden diese durch Auswahl des entsprechenden Buttons in das gewählte Rechtepaket übernommen.

Geltungsbereich der Einschränkungen (Wichtig!)

Es ist von entscheidender Bedeutung, in der Konfiguration der Personalverwaltung festzulegen, ob diese definierten Einschränkungen:

  • nur in den Stammdaten greifen sollen,

  • nur im Personalstammblatt wirken sollen,

  • oder in beiden Bereichen Gültigkeit haben sollen.

Diese Einstellung bestimmt, wo im System die Zugriffsregeln angewendet werden.


Ergebnis der Einschränkungen für den Benutzer

Die Zugriffsrechte, die Sie über Rechtepakete und Orga-Einheiten definiert haben, steuern, welche Dateninhalte der Benutzer im System sehen und bearbeiten darf.

Sichtbarkeit und Ausblendung:

  • Dargestellte Daten: Nachdem ein Benutzer ausgewählt wurde, werden im rechten Formularbereich (der Hauptansicht) ausschließlich die für ihn freigegebenen und verfügbaren Dateninhalte dargestellt.

  • Ausblendung: Dateien oder Fachbereiche, für die der Benutzer keine Berechtigung besitzt, werden ausgeblendet und sind für ihn nicht sichtbar. Dies sorgt für eine aufgabenorientierte und sichere Benutzeroberfläche.

Unterscheidung von Lese- und Schreibrechten (Beispiel):

Die Einschränkungen definieren präzise, ob der Benutzer die Daten nur einsehen oder auch bearbeiten darf:

  • Feuerlöschübungsanlage und Heißausbildung: Der Benutzer darf die Daten lediglich zum lesen/nutzen. Der Zugriffstyp ist Schreibgeschützt.

  • Alle anderen Fachbereiche: Der Benutzer besitzt die Berechtigung, Daten der Personen als auch Begrifflichkeiten in den Stammdaten zu ändern/bearbeiten. Der Zugriffstyp Lese- und Schreibrechte.

Dies gewährleistet, dass der Benutzer nur in den Bereichen ändernde Eingriffe vornehmen kann, für die er explizit zuständig ist.

In diesem Dokument