Menü der Dokumentation

Berechtigungskonzept

Das Berechtigungskonzept in d.3 legt fest, "Wer auf Was Wie zugreifen darf".

Im Berechtigungskonzept bestimmen Sie über Dokumentklassen das Was, z.B. eine Teilmenge aller Dokumente einer Dokumentart. Bsp: Nur Dokumente mit einem bestimmten Buchungskreis.

Berechtigungskonzept allgemein

Die Art des Zugriffs, also das Wie, kann die folgenden Ausprägungen haben (z.T. noch erweiterbar):

Lesen

UUID-b35f195a-d846-bde3-f5df-c7cf1c823677.png

Schreiben

UUID-a2930b04-f9a2-2f02-cd49-a8e62470e429.png

Statuswechsel

UUID-d66de47c-aa15-df60-30cf-4641da223ed3.png

Verknüpfungen von Dokumenten in eine Akte oder ein anderes Dokument.

UUID-752cafde-4c93-56f7-64b3-15cddd4c3e4c.png

Zu allen Rechten treffen Sie Festlegungen:

Recht erteilt: Voraussetzung, dass ein User überhaupt auf ein Dokument zugreifen darf

Recht verweigert: explizite Verweigerung eines Rechtes, kann nicht mehr übersteuert werden

Recht ignoriert: Recht wird weder erteilt, noch verweigert; wird über andere Ebenen keine Entscheidung getroffen, gilt das Recht als nicht erteilt (implizite Verweigerung des Rechtes)

Das Berechtigungskonzept erlaubt die Vergabe von Restriktionen über Attribute, die wiederum in Berechtigungsprofilen (ehemals Rollen) zusammengefasst werden, um gemäß eines Aufgabenbereichs die nötigen Zugriffe zu gestatten. Es ist aber ebenso möglich, Rechte explizit zu verbieten.

Weiterhin gibt das Berechtigungskonzept an, welcher Anwender überhaupt mit dem Repository arbeiten darf (Policies).

Berechtigungsprofile und Dokumentklassen

Im Berechtigungskonzept ab der Version 7 werden nur noch Berechtigungsprofile und Dokumentklassen zur Vergabe von Berechtigungen verwendet. Berechtigungsprofile werden dazu verwendet, mehrere Dokumentklassen zusammenzufassen und das jeweilige Zugriffsrecht auf die Klasse zu definieren.

Berechtigungsprofile erhalten eine Ansammlung von Dokumentklassen, die Mitarbeiter für ihre Aufgaben benötigen.

Eine Dokumentklasse kann sich auf eine spezielle Dokumentart beziehen oder übergreifend auf alle Dokumentarten, die in einem Berechtigungsprofil zusammengefasst werden. Wenn sich eine Dokumentklasse auf eine spezielle Dokumentart bezieht, können Sie bei den Eigenschaften dieser Dokumentart die Beschränkungen angeben.

Eine Klasse können Sie sich als eine Schablone über eine (oder dokumentart-unabhängig über alle) Dokumentart(en) vorstellen, die nach bestimmten Kriterien filtert. Mit Dokumentklasse bestimmen Sie Teilmengen aller Dokumente, über ein Profil lassen sich mehrere dieser Schablonen kombinieren.

Beispiel: In Ihrem d.3-Repository ist die Dokumentart "Rechnungen" definiert. Diese Dokumentart hat insgesamt zehn Eigenschaften. Eines dieser Eigenschaften ist das Feld mit der Bezeichnung "Rechnungs-Betrag" vom Typ "numerisch". Wenn Sie beim Anlegen der Dokumentklasse nun als Dokumentart "Rechnungen" auswählen, können Sie in dem Feld "Rechnungs-Betrag" den Wert "-5000" eintragen. Dieser Wert besagt: alle Rechnungen bis zu einem Rechnungsbetrag von 5.000 (Währungseinheiten!).

Beschreibung der Dokumentklassen:

  • Eine Dokumentklasse ist eine dynamische Menge von d.3-Dokumenten.

  • Eine Dokumentklasse wird durch "Suchkriterien" in d.3 charakterisiert.

  • Per Standard ist jede Dokumentart eine Dokumentklasse, denn beim Anlegen einer neuen Dokumentart wird automatisch eine Standarddokumentklasse erzeugt, die denselben Namen hat wie die Dokumentart. Bei den Standarddokumentklassen beginnt das Klassenkürzel mit der Bezeichnung CLAS_. Zusätzlich wird an den Namen der Standarddokumentklasse die Bezeichnung (K) angehängt. Bei englischen d.3-Installationen wird die Bezeichnung (C) angehängt.

  • Eine Dokumentklasse ist normalerweise eine Untermenge einer Dokumentart. Man kann jedoch auch Dokumentklassen bilden, die dokumentartübergreifend sind.

Beispiele für Dokumentklassen

  • alle Rechnungen (Standardklasse)

  • alle Rechnungen, deren Rechnungsbetrag größer als 100000 ist.

  • alle Bestellungen von Lieferant „Müller“

  • alle Sachnummern mit Muster S30854-%-123_-%

  • alle Zeichnungen zum Projekt mit der Nummer XY4711

  • alle Dokumente eines Firmenstandorts

  • alle Dokumente eines Mandanten

Berechtigungsprofile

  • Ein Berechtigungsprofil ist eine Zusammenfassung von Kombinationen aus Dokumentklassen und zugehörigen Rechten.

  • Ein Berechtigungsprofil kann das technische Gegenstück zum Aufgabenbereich von Mitarbeitern (Abteilung etc.) sein, d.h. es werden alle Informationen zusammengefasst, auf die z.B. ein Sachbearbeiter für den Einkauf Europa Zugriff haben muss.

  • Da einem Mitarbeiter mehrere Profile zugeordnet werden können, kann z.B. bei leitenden Personen die Berechtigung auch ergänzt werden.

  • Ebenso ist es möglich, ein ("globales") Profil zuzuordnen, durch das Rechte wieder entzogen werden (Konträrrechte).

  • Durch ein Berechtigungsprofil wird somit ein Rechteprofil auf Dokumente definiert. Dadurch, dass Benutzern diese Berechtigungsprofile zugewiesen werden, erhalten sie ihre Rechte auf die Dokumente.

  • Einem Benutzer können beliebig viele Berechtigungsprofile zugewiesen werden.

Anmerkung

Zur flexibleren Handhabung können Benutzern direkt Kombinationen (Dokumentklasse, Recht) zugeordnet werden. Das sollte aber eher als Ausnahme genutzt werden, z.B. um schnell den Zugriff auf Dokumente zu sperren.

Beispiel: Berechtigungsprofil eines Projektmitarbeiters Projekt XY

Dokumentklasse - Recht

Rechnungen zum Projekt XY mit Betrag kleiner 10.000 - Lesen freigegebener Dokumente

Zeichnungen zum Projekt XY - Statuswechsel geprüft

Korrespondenzen zum Projekt XY - Bearbeiten (inhaltlich und Eigenschaften)

Rechte

Für jede Dokumentklasse innerhalb eines Berechtigungsprofils werden Rechte festgelegt. Folgende Rechte können einer Dokumentklasse zugeordnet werden:

  • Lesen

  • Schreiben (anlegen, löschen, bearbeiten, versionieren)

  • Statuswechsel (prüfen, geprüft, freigeben)

  • Verknüpfungen erstellen und lösen

Zu allen Rechten können auch die Konträrrechte vergeben werden (Verweigerung dieses Rechtes). Ein explizites Verweigerungsrecht kann auf der Ebene der Benutzer Klassenzuordnung gesetzt werden oder bei der Zuordnung einer Klasse zu einem Berechtigungsprofil. Es hat den Sinn einer „Notbremse“. Wenn einem Benutzer explizit ein Recht auf eine Klasse verweigert wird, ist das Recht selbst dann entzogen, wenn es ihm aufgrund seines Berechtigungsprofils eigentlich erteilt wurde.

Anmerkung

Eine explizite Verweigerung eines Rechts kann NICHT durch erteilte Rechte über andere Zuordnungen aufgehoben werden!

Es gibt zwei Möglichkeiten, einem Benutzer Rechte auf Dokumentklassen zu geben:

  • Implizit: Man weist dem Benutzer ein oder mehrere Berechtigungsprofil(e) zu.

  • Explizit: Man weist dem Benutzer direkt Rechte auf einzelne Dokumentklassen zu.

Dokumentarten und Klassenkonzept

Dokumentarten, die einem Benutzer in d.3 smart explorer und in d.3 import angeboten werden:

Zur Ermittlung der Dokumentarten, die dem Benutzer angebotenen werden, werden zunächst alle Dokumentklassen, auf die er irgendein Recht hat, ermittelt. Für jede dieser Klassen wird ermittelt, zu welcher Dokumentart diese in Relation steht. Somit ergibt sich die Liste der Dokumentarten, die dem Benutzer angeboten wird.

Des Weiteren wird unterschieden, ob der Benutzer lesend oder schreibend auf die Dokumentart zugreifen darf. Damit eine Dokumentart in d.3 import (manuelle Ablage) angeboten wird, muss der Benutzer schreibenden Zugriff auf die Klasse haben, aus der die Dokumentart abgeleitet wurde.

Wenn einem Benutzer nur dokumentartunabhängige Klassen zugeordnet wurden, dann kann dieser Benutzer zunächst in den d.3-Anwendungen (d.3 smart explorer, d.3 import) keine Dokumentarten sehen. Um diesem Benutzer nun auch die gewünschten Dokumentarten zur Verfügung zu stellen, weist man diesem einfach die Standardklassen ohne eine Rechteangabe über das Berechtigungsprofil oder direkt zu (siehe auch Kapitel Dokumentklassen).

Effektive Rechte eines Benutzers

Zur Ermittlung der Rechte eines Benutzers auf die Dokumentklassen werden zunächst alle Berechtigungsprofile des Benutzers ausgewertet. Anschließend werden die Rechte (sofern vorhanden), die dem Benutzer direkt auf die Klassen erteilt wurden, darüber gelegt.

Anmerkung

Erhält ein Benutzer über die zugeordneten Berechtigungsprofile und den direkt zugeordneten Dokumentklassen unterschiedliche Rechte, "gewinnt" die Zuordnung, die dem Benutzer direkt erteilt wurde. Auch ein verweigertes Recht kann hierdurch übersteuert werden!

Ein Dokument kann keiner, einer oder mehreren Klassen zugeordnet sein. Ein Benutzer erhält ein gewünschtes Recht auf ein Dokument, wenn das Dokument mindestens einer Klasse zugeordnet ist, für welche der Benutzer das gewünschte Recht besitzt.

Grundsätzlich ist zu beachten, dass ein Benutzer - über welche Zuordnungen auch immer - mindestens an einer Stelle das Recht erteilt bekommt, ansonsten kann er keine Dokumente recherchieren. Die Standardeinstellung bei "Recht ignoriert" ist immer "Recht verweigert".