Konzept Rechteverwaltung

Eine Einführung in die Rechteverwaltung[Bearbeiten | Quelltext bearbeiten]

Mehr als 100 Berechtigungen sind erforderlich, um den Zugriff auf alle Wiki-Funktionen und Erweiterungen zu steuern.

Viele dieser Berechtigungen spielen zusammen und müssen folglich einem bestimmten Benutzertyp zugeteilt werden. Ein Benutzer mit Lesezugriff muss beispielsweise auch in der Lage sein, das Benutzerprofil zu ändern und Seiten zu einer Überwachungsliste hinzuzufügen. Aus diesem Grund verwendet BlueSpice Rollen und Gruppen zur Rechteverwaltung.

Die folgenden Konzepte sind Teil der Rechteverwaltung::

  • Berechtigung: Ermöglicht eine bestimmte Aktion.
  • Rolle: Eine Reihe von Berechtigungen (Berechtigungen können nur durch Auswahl von Rollen erteilt werden).
  • Benutzer: Hat einen eindeutigen Benutzernamen und eine eindeutige Benutzer-ID.
  • Gruppe: Ein Benutzer ist immer einer Gruppe zugeordnet und erhält so Berechtigungen. Eine Gruppe muss daher mindestens eine Rolle erfüllen. Es gibt systeminterne Gruppen (die nicht entfernt oder umbenannt werden können) und benutzerdefinierte Gruppen. In vielen Fällen besteht der Gruppenname aus einem Namensraum-Namen und einer Rollenbezeichnung.
  • Namensraum: Gruppen bekommen Zugriff auf Namensraum-Ebene und nicht pro Seite.

Anwendungsfall: Abteilungsinformationen verwalten[Bearbeiten | Quelltext bearbeiten]

Beispiel Rechteorganisation nach Abteilung
Beispiel Rechteorganisation nach Abteilung


Anna (HR Manager) und Phil (HR Spezialist) pflegen alle Inhalte der Personalabteilung im Unternehmenswiki.

Einige Inhalte sind für alle Mitarbeiter sichtbar. Andere Inhalte dürfen nur für leitende Manager sowie Lea, die Rechtsberaterin des Unternehmens, sichtbar sein.

Nach Überprüfung der Inhalts- und Zugriffsanforderungen beschließt das Unternehmen, HR-Inhalte in zwei Namensräumen zu erstellen: Alle uneingeschränkten Inhalte werden im Haupt-Namensraum erstellt. Vertrauliche Informationen werden in einem benutzerdefinierten Namensraum "HR" verwaltet.

Um diesen Anforderungen gerecht zu werden, muss ein Benutzer mit sysadmin-Recthen die folgenden Schritte ausführen:

  1. Den Namensraum HR auf der Seite Special:NamespaceManager anlegen.
    Screenshot: Namensraum erstellen
  2. Die erforderlichen Gruppen auf der Seite Spezial:GroupManager erstellen.
    Screenshot: Gruppenverwaltung
    • HR_visitor: Benutzer in dieser Gruppe haben nur Leseberechtigungen für den Namensraum (HR:)
    • HR_editor: Benutzer in dieser Gruppe können Seiten im Namensraum (HR:) erstellen und bearbeiten
    • HR_reviewer: Benutzer in dieser Gruppe können zusätzlich Dokumente genehmigen. Damit dies funktioniert, ist für den Namensraum die Funktion "FlaggedRevs" aktiviert. Diese Gruppen sind zunächst "leer".
  3. Jeder Gruppe auf der Seite Special:PermissionManager Rollen zuordnen. Danach hat jede Gruppe bestimmte Berechtigungen:
    1. Die Gruppe HR_visitor:
      Screenshot: Rechteverwaltung

      Der Administrator wählt die Gruppe "HR_visitor" aus und aktiviert die Rolle "reader" nur im HR-Namensraum. Da die Leserrolle im HR-Namensraum jetzt der Gruppe "HR_visitor" zugeordnet ist, haben alle anderen Gruppen keine Leseberechtigungen mehr für diesen Namensraum:
      Screenshot: Rechteverwaltung 2.0

    2. Die Gruppe HR_editor: Der Administrator wählt die Rolle editor nur im Namensraum HR aus. Da die Editor-Rolle nicht alle Berechtigungen von der Reader-Rolle erbt, muss der Administrator zusätzlich die Reader-Berechtigungen prüfen:
      Screenshot: Überprüferberechtigungen

    3. Die Gruppe HR_reviewer: Der Administrator wählt die Rolle des Reviewers nur für den Namensraum HR aus. Da die Rollen HR_visitor und HR_editor zuvor für die Gruppen HR_visitor und/oder HR_editor reserviert waren, müssen auch die Editor- und Leserberechtigungen erteilt werden:
      Screenshot: Editor-Berechtigungen
  4. Benutzer hinzufügen zu den richtigen Benutzergruppen: Da Anna in der Lage sein muss, die Dokumente sowohl im HR- als auch im Main-Namespace zu bearbeiten und zu genehmigen, muss sie sowohl zur Gruppe "HR_reviewer" als auch zur Standardgruppe "Prüfer" hinzugefügt werden:
Screenshot: Hinzufügen eines Benutzers zu Gruppen


Der Administrator fügt auch die anderen betroffenen Benutzer den richtigen Gruppen hinzu. Das Ergebnis ist die folgende Berechtigungskonfiguration:

Benutzer ist in Gruppen Rollen im Namensraum HR Rollen im Haupt-Namensraum Beschreibung
Anna (HR manager) HR_reviewer

Gutachter

Rezensent

Leser

Editor

Rezensent

Leser

Editor

Anna kann jetzt Seiten sowohl im HR- als auch im

Hauptnamensraum

lesen, bearbeiten und genehmigen.

Phil (HR-Spezialist) HR_editor

Editor

Leser

Editor

Leser

Editor

Phil kann jetzt Seiten sowohl im HR- als auch im

Hauptnamensraum

lesen und bearbeiten

Edith (Geschäftsführerin) HR_viewer

Editor

Leser Editor Edith kann jetzt Seiten im HR-Namensraum lesen und Seiten im Hauptnamensraum bearbeiten.
Lea (Rechtsberatung) HR_viewer Leser - Lea kann nur Seiten im HR-Namensraum lesen.
Alle Mitarbeiter Leser - Leser Alle Mitarbeiter können Seiten im

Hauptnamensraum lesen. Sie können die Seiten im HR-Namensraum nicht lesen.


Darüber hinaus sollte der Administrator sicherstellen, dass Anna nicht die einzige Person ist, die Inhalte genehmigen kann. Andernfalls würde es ein Problem geben, wenn Anna im Urlaub ist oder keine Zeit zum Überprüfen von Seitenänderungen hat.

Verwandte Informationen[Bearbeiten | Quelltext bearbeiten]

Verwandte Themen

Anhänge

Diskussionen