Praktische Beispiele Berechtigungen

Eine Berechtigung setzt sich zusammen aus einer Aktionsberechtigung und einer Einsichtserlaubnis.

Mit einer Aktionsberechtigung wird bestimmt, wer eine Aktion aufrufen kann. Um individuelle Zuordnungen zu ermöglichen, kann die Granularität über verschiedene Berechtigungstypen bestimmt werden. 

• Mandantenberechtigung
• Gruppenberechtigung
• Personenberechtigung
• Rollenberechtigung

Eine Einsichtserlaubnis definiert, wer eingesehen werden darf.
Ein Kompetenzziel entspricht einer expliziten Definition spezieller Personen, Gruppen, welche bei der Ausführung einer Aktion eingesehen werden dürfen.
Ein Beispiel: bei einer Auswertungsliste werden mit der Einsichtserlaubnis Personen oder Gruppen definiert, die bei der Abfrage aufgerufen werden können (über das Organigramm oder eine Favoriten-Liste).
Die Einsichtserlaubnis variiert je nach Typ der Aktionsberechtigung. Folgende Einsichtserlaubnis-Typen stehen zur Auswahl:

• eigene Person
• Org-Einheit
• Org-Einheit und untergeordnete Einheiten
• Rollenkompetenz
• Speziell
• eigener Mandant
• alle Mandanten

Mit einer Negativ-Berechtigung können bestimmte Personen oder Gruppen von einer allgemeinen Berechtigung exkludiert werden.

Die Vergabe einer Berechtigung auf diverse Aktionen kann auf folgende Weise erfolgen:

• über die Aktion
• über die Person
• über die Gruppe oder
• über eine Rolle.

Vergabe neuer Aktionsberechtigung über die Aktion

Die entsprechende Aktion bzw. Konfiguration ist aufzurufen > Reiter Berechtigungen >> Neue Berechtigung:

• Berechtigung für alle Mandanten
  Wenn diese Checkbox aktiviert ist, wird die Berechtigungsüberprüfung beim Aufruf nicht durchgeführt. D.h. jeder Benutzer jedes Mandanten ist berechtigt die Aktion auszuführen.
• Einsichtserlaubnis (default)
  Bezieht sich auf den oberen Parameter "Berechtigung für alle Mandanten" und definiert die standardmäßige Einsichtserlaubnis (siehe Beschreibung der Einsichtserlaubnis weiter unten)
• Typ
  Mit einer Aktionsberechtigung wird grundsätzlich bestimmt, wer eine Aktion aufrufen kann. Folgende Berechtigungstypen können selektiert werden: 
• Mandantenberechtigung
  Mit der Mandantenberechtigung wird die Ausführung div. Aktionen für alle Mitarbeiter des Mandanten ermöglicht. Das ist besonders sinnvoll bei Aktionen, wie Buchen, Monatsjournal, Workflow-Listen, Einstellungen, etc. 
  Die Mandantenberechtigung ist der "Berechtigung für alle Mandanten" vorzuziehen.
• Gruppenberechtigung
  Mit der Gruppenberechtigung wird die Ausführung von diversen Aktionen für eine bestimmte Gruppe (Abteilung) ermöglicht. Alle Personen, welche sich in der gewählten Gruppe befinden, sind berechtigt, die Aktion auszuführen.
• Berechtigung an Untergruppen vererben? Wird der Parameter auf JA gestellt, so können auch die untergeordneten Einheiten eingesehen werden. Ist der Parameter auf NEIN gestellt, so kann lediglich die eigene Orgeinheit eingesehen werden
• Personenberechtigung
  Die Personenberechtigung ermöglicht, dass nur eine bestimmte Person die Einsichtserlaubnis für bestimmte Aktionen bekommt.
• Rollenberechtigung
  Die Rollenberechtigung erlaubt die Ausführung div. Aktionen nur für bestimmte Rollen (Teamleiter, Vorgesetzter, ...). Mit dieser Berechtigung wird den Rolleninhabern ermöglicht, z.B. Einsicht in Management-Listen zu bekommen.
• Ausführender
  Je nach Berechtigungstyp wird hier der Mandant, eine Gruppe oder eine Person selektiert.
• Negativ
  Dieser Parameter dient zum Ausschluss von einer Berechtigung. Ist er auf JA gestellt, so darf die gewählte Gruppe/Rolle/Person bzw. der Mandant die Aktion nicht einsehen
• Berechtigungen an Untergruppen vererben?
  Dieser Parameter wird nur bei der Auswahl einer "Gruppenberechtigung" angeboten; wird der Parameter auf JA gestellt, so können alle Untergruppen auf diese Aktion zugreifen
• Gültig von-bis 
  Aktionsberechtigungen können auch für einen begrenzten Zeitraum vergeben werden. Werden diese beiden Felder bei der Zuweisung nicht explizit gesetzt, wird "Gültig von" auf das heutige Datum und "Gültig bis" auf unendlich (bzw. 1.1.3000) gesetzt.

Sind mehrere Berechtigungen vorhanden, so werden diese nach Datum sortiert angezeigt.

Vergabe neuer Aktionsberechtigung über die Person / Gruppe / Mandanten

Auswahl der gewünschten Person oder Gruppe bzw. des Mandanten >> Reiter Aktionsberechtigungen >> Neue Aktionsberechtigung.
Hier entfällt die Auswahl des Berechtigungstyps (Mandanten- / Personen- / Gruppenberechtigung), da die Berechtigung ja explizit für eine Person,  Gruppe oder einen Mandanten definiert wird.

• Auswahl der Aktionsberechtigung
• Negativ
  Soll die Person oder Gruppe mit einer Negativ-Berechtigung von der Aktion ausgeschlossen werden - Anwendungsbeispiel: wenn eine Aktion für alle Mitarbeiter freigegeben wurde, gewissen Personen / Gruppen auf diese jedoch nicht zugreifen sollen
• Gültigkeit
  Da Berechtigungen auch temporär vergeben werden können, erfolgt hier die Eingabe der Gültigkeit von - bis
• Einsichtserlaubnis
  Bestimmung des Kompetenzzieles
• hier wird zusätzlich zu den Standard Einsichtserlaubnis-Typen noch "speziell" angeboten:

Vergabe neuer Aktionsberechtigung über die Rolle

Auswahl der entsprechenden Rolle >> Reiter Aktionen >> Neue Aktionsberechtigung
Hier entfällt die Auswahl des Berechtigungstyps (Rollenberechtigung), da die Berechtigung ja explizit für eine Rolle definiert wird.

• Auswahl der Aktionsberechtigung
• Negativ
  Soll die Person oder Gruppe mit einer Negativ-Berechtigung von der Aktion ausgeschlossen werden - Anwendungsbeispiel: wenn eine Aktion für alle Mitarbeiter freigegeben wurde, gewissen Personen / Gruppen auf diese jedoch nicht zugreifen sollen
• Gültigkeit
  Da Berechtigungen auch temporär vergeben werden können, erfolgt hier die Eingabe der Gültigkeit von - bis
• Einsichtserlaubnis
  Bestimmung des Kompetenzzieles

Definition der Einsichtserlaubnis

Mit der Einsichtserlaubnis wird das Kompetenzziel definiert, d.h. es wird bestimmt, wer bei der Ausführung einer Aktion eingesehen werden darf.
Die Selektion der Einsichtserlaubnis erfolgt für:

• eigene Person
  Die Einsichtserlaubnis gilt nur für die eigene Person, d.h. bei Auswertungen oder Listen werden nur die eigenen Daten angezeigt, bzw. man darf Anträge nur für sich selbst stellen
• Orgeinheit
  Es darf nur die eigene Abteilung (Team, Gruppe,...) eingesehen werden.
• Orgeinheit + untergeordnete
  Die Einsichtserlaubnis gilt für die eigene Abteilung und ihr untergeordnete Abteilungen (Gruppen, ...), d.h. alle Gruppen, die hierarchisch darunter liegen.
• eigener Mandant
  Die Einsichtserlaubnis erstreckt sich auf alle Personen des eigenen Mandanten, d.h. es werden auch alle Mitarbeiter angezeigt
• alle Mandanten
  Die Einsichtserlaubnis erstreckt sich auf alle Personen aller Mandanten.
• Rollenkompetenz
  Hier wird die Einsichtserlaubnis gemäß der Rollenkompetenz vergeben, welche bei der Rolle bereits definiert wurde (Kompetenzziel Person > es darf nur eine bestimmte Person eingesehen werden, Kompetenzziel Gruppe > Einsichtserlaubnis für eine bestimmte Gruppe, Kompetenzziel Alle > Einsicht auf alle Mitarbeiter im Unternehmen).
• Einsichtserlaubnis speziell
  hier kann als Kompetenzziel eine oder mehrere Gruppe(n) bzw. eine (mehrere) Person(en) selektiert werden. Dies erlaubt eine Abfrage von mehreren Personen, auch aus unterschiedlichen Abteilungen, bzw. eine Abfrage von einzelnen Gruppen, ohne eine komplette Einsicht erlauben zu müssen.

Einsicht auf Untergruppen
Wird der Parameter auf JA gestellt, so wird die Einsicht auch auf Untergruppen ausgeweite.

Bei mehreren Einsichtserlaubnissen werden diese summiert > z.B. bei Einsichtserlaubnis Orgeinheit UND zusätzlich Einsichtserlaubnis gem. Rollenkompetenz (bspw. für Gruppe A1) haben die Rolleninhaber Einsicht auf beides: Orgeinheit UND GruppeA1.