Zurück 2. Administration Benutzer -- Nach Oben Inhaltsverzeichnis

3. Administration Benutzerrollen

Benutzerrollen sind der Mechanismus, um Berechtigungen auf Transaktionen und gespeicherte Daten in DrawMGT System zu kontrollieren.

Um Daten ansehen, eingeben und verändern zu können, benötigt ein Benutzer die entsprechenden Rollen. Eine Benutzerrolle gibt dem Benutzer die Berechtigung Transaktionen, sprich, Befehle des Systemmenüs und Buttons auszuführen, bzw. zu betätigen, und somit auf Systemdaten, sprich, Daten in Bereiche und Gruppe anzuwenden. In anderen Worten: Benutzerrollen definieren Berechtigungen, verknüpfen Benutzer, Transaktionen und Systemdaten.

Benutzer haben meist mehrere Benutzerrollen, welche deren aktuellen Verantwortlichkeiten gegenüber einem Projekt entsprechen. Zum Beispiel: Ein Benutzer hat die Dok-Viewer-Rolle für einige Bereiche und Gruppen, wobei er nur Zugriff auf Dokumente zu Informationszwecken hat. Dann hat er die Dokument-Rolle für jene Bereiche des Projektes, wo Dokumente erstellt werden.

In einem grossen Projekt mit vielen Benutzern und Bereichen kann die Benutzeranzahl schnell wachsen und deren Verwaltung zu einer Herausforderung werden. In vielen Projekten ist es sehr wichtig, sicherzustellen, dass gewisse Dokumente geschützt und nur für eine eingeschränkte Gruppe von Benutzern zugänglich sind. DrawMGT stellt einen dienlichen Rapportmechanismus bereit, welcher es erlaubt, einzusehen, wer Berechtigung auf Transaktionen und Systemdaten basieren auf Projekt, sprich, Bereiche und Gruppen hat.

3.1 Benutzerrollenebenen

Benutzerrollen können System, Bereich und Gruppe zugewiesen werden. Im Detail:

• Systemebene – Berechtigung auf alle Daten im System, inklusive alle Bereiche und Gruppen

• Bereichsebene – Berechtigung auf Daten in einem Bereich, welche nicht einer Gruppe zugeordnet sind sowie auf alle Daten von Gruppen, welche dem Bereich angehören.

• Gruppenebene – Berechtigung auf alle Daten der Gruppe

In allen Fällen sind Berechtigungen basierend auf Bereich/Gruppe der Benutzerrollen und Bereich/Gruppe der Daten, in Berücksichtigung von Benutzerrollen auf System- und Bereichsebene, gegeben. Der Algorithmus zur Bestimmung von Zugriffsberechtigungen auf Daten funktioniert wie folgt:

1. Bestimme die benötigte Rolle der auszuführenden Transaktion

2. Prüfe, ob der Benutzer Systemebene-Berechtigung für die Rolle hat

   • falls ja, erlaube Berechtigung

   • falls nein, weiter zur nächsten Prüfung

3. Prüfe, ob der Benutzer Bereichsebene-Berechtigung für die Rolle für den Bereich und zugehörigen Daten hat

4. falls ja, erlaube Berechtigung

5. falls nein, weiter zur nächsten Prüfung

6. Prüfe, ob der Benutzer Gruppenebene-Berechtigung für die Rolle für den Bereich und zugehörigen Daten hat

7. falls ja, erlaube Berechtigung

8. falls nein, weiter zur nächsten Prüfung

9. Verweigere Berechtigung

3.2 Benutzerrollenklassen

Benutzerrollentypen sind in Klassen eingeteilt. Die Benutzerrollen für jede Klasse sind in den folgenden Sektionen definiert und aufgelistet.

3.2.1 Administrationsrollen

• Site-Administrator – erlaubt Berechtigung für alle System-Transaktionen

Die Admin-Rolle ist jenem Benutzer zugeteilt, welcher Benutzer und deren Rollen im System verwaltet. Folgenden Transaktionen können nur durch den Site-Administrator ausgeführt werden:

• Benutzer Neu/Ändern

• Benutzerrolle ändern

• Benutzerrollenliste

• Benutzer Password setzen – für andere Benutzer. Beachten Sie, dass Benutzer die Möglichkeit haben, ihr eigenes Passwort zu setzten

3.2.2 Dokument/Versions-Management und Ansichtsrollen

• Dokument – beinhaltet die Dok-Viewer-Rolle, plus:

  • Erstellen, ändern und löschen von Dokumenten/Versionen
  • Ausführen von Versionsprozessschritten via Versions-Detailansicht und Dokumentenkorb

  • Verknüpfen von Dokumenten (verfügt der Benutzer über die Rolle Aufgabe, können auch Aufgaben verknüpft werden)

• Dok-Viewer – typischerweise Benutzern zugeteilt, welche Dokumente und Versionen nur ansehen dürfen (read only). Berechtigungen für:

  • Suchen nach Dokumenten/Versionen und Erstellen von Dokumenten- und Versionslisten
  • Ansicht von Dokumenten- und Versions-Detailansichten
  • Herunterladen von Ursprungs- und Ausgabedateien
  • Auflisten von Dokumentenversand und Ansicht der Liste des kürzlich versendeten Dokumentenversands
  • Detailansicht eines Dokumentenversands
  • Herunterladen der einem Dokumentenversand zugehörigen ZIP-Datei

• Dok-beschr.Viewer – typischerweise Benutzern zugeteilt, welche nur die Erlaubnis haben, Dokumente und Versionen, welche veröffentlicht sind, sprich, deren Prozess abgeschlossen ist, anzusehen. Die Berechtigungen sind dieselben, wie für die Dok-Viewer-Rolle, mit folgendem Unterschied:

  • Herunterladen von nur der Ausgabedatei – ein Benutzer mit beschränkter Ansicht sieht nicht, dass eine Ursprungsdatei vorhanden ist

  • Berechtigung ist beschränkt auf Versionen, deren Prozess abgeschlossen ist, und abhängig von der Systemkonfiguration, auf veraltete Versionen, deren Ansicht standardmässig nicht erlaubt ist.

• Hochladen – dem Benutzer wird erlaubt, Dokumente zu einer Version hochzuladen, falls er über die Rolle Dok-Viewer verfügt. Unter folgenden Bedingungen enthält diese Rolle auch FileDelete:

  • falls der aktuelle Benutzer ausgewählter Verantwortlicher für Prozessschritt Erstellt/Erhalten ist

  • falls der Prozessschritt nach Erstellt/Erhalten noch nicht abgeschlossen ist

Bitte beachten Sie, dass die Plazierung einer Version in einem Dokumentenversand, diese automatisch für Benutzer mit der Dok-beschr.Viewer-Rolle zugänglich macht, sobald der Dokumentenversand versendet worden ist.

Warnung: Aus Sicherheitsgründen hat die Dok-beschr.Viewer-Rolle Vorrang gegenüber anderen Dokumenten-/Versionsbenutzerrollen. Dies bedeutet, dass, falls eine Dok-beschr.Viewer-Rolle einem Benutzer mit einer Dokument-Rolle oder Admin-Rolle zugeteilt ist, besagter Benutzer nicht länger Berechtigung auf Erstellung und Ändernung von Dokumenten und Versionen hat.

3.2.3 Dokument-/Versionsprozessrollen

Alle Dokument-/Versionsprozessrollen beziehen sich auf die Durchführung von Prozessschritten innerhalb einer Version. Der Prozess einer Version ist eine Sequenz aus Prozessschritten, welche in Reihenfolge abgeschlossen werden müssen. Die Dokument-/Versionsprozessrollen und deren Bedeutung:

• Erstellt – Erstellung eines Dokuments

• Erhalten – Erhalt eines Dokuments

• Pr – Prüfung eines Dokuments

• Zustimmung – wobei mehrere Zustimmungen parallel abgeschlossen werden können (bei schnittstellenübergreifender Zusammenarbeit)

• Freigabe – Freigabe-Prozessschritte können offene und abgelehnte Zustimmungs-Prozessschritte verwerfen.

• Proz.Versand – Freigabeversand des Dokuments

Alle Prozesschritte, mit Ausnahme des Proz.Versand-Prozesschrittes, werden in der Versions-Detailansicht ausgeführt. Eine Prozessschrittrolle beinhaltet die Fähigkeit, den zugeteilten Schritt abzuschliessen und auch zu ändern, falls vorherige Prozessschritte abgeschlossen sind.

Die Rollen unterscheiden sich nur durch den ausführbaren Prozesschritt:

• Erstellt – Berechtigung zur Ausführung des Erstellt-Prozessschrittes

• Erhalten – Berechtigung zur Ausführung des Erhalten-Prozessschrittes

• Pr – Berechtigung zur Ausführung des Pr- und Stellungnahme erstellt-, Prüfbericht erstellt- sowie erhalten von BL-Prozessschrittes

• Zustimmung – Berechtigung zur Ausführung des Zustimmungs-, Vorabzug bereinigt- sowie übergeben an UN-Prozessschrittes

• Freigabe – Berechtigung zur Ausführung des Freigabe-Prozessschrittes

• Proz.Versand – Berechtigung zur Ausführung des Proz.Versand-Prozessschrittes, sprich, einen Dokumentenversand zu versenden. Ungleich den anderen Prozessschritten, wird der Proz.Versand-Prozessschritt nicht aus der Versions-Detailansicht heraus ausgeführt. Der Dokumentenversand wird in der Detailansicht desselben ausgeführt. Siehe Dokumentenversand erstellen sowie Dokumentenversand versenden für eine umfassende Beschreibung zur Erstellung und Versand eines Dokumentenversands.

Um einen Prozessschritt abzuschliessen, müssen folgende Eingaben gemacht werden:

• SOLL – Optional. Das SOLL-Datum dient lediglich Informationszwecken. Nur Benutzer mit der Dokument-Rolle können das SOLL-Datum ändern.

• IST – Das IST-Datum is erforderlich, falls der Schritt nicht Status nicht erforderlich aufweist.

• Wer (die für den Schritt verantwortliche Person) – Erforderlich. Dieses Feld wird normalerweise im Voraus festgelegt und kann nicht verändert werden, ausser der Benutzer besitzt die Dokument-Rolle.

• Status – Erforderlich für den Erstellen-, Prüfen-, Zustimmungs- sowie Freigabe-Prozessschritt. Folgende Statuswerte sind erlaubt:

  • Offen – Der Prozessschritt ist noch nicht abgeschlossen

  • Nicht erforderlich – Der Prozessschritt ist nicht erforderlich. Nur für Zustimmungs-Prozessschritte zutreffend.

  • Zustimmung – Der Version wurde zugestimmt und weitere Prozessschritte können durchgeführt werden.

  • Zustimmung mit Kommentar – Der Version wurde zugestimmt, wobei der Zustimmung ein Kommentar hinzugefügt wurde. Weitere Prozessschritte können durchgeführt werden.

  • Abgelehnt mit Kommentar – Die Version wurde abgelehnt, wobei ein Kommentar hinzugefügt wurde. Weitere Prozessschritte können nicht durchgeführt werden.

  • Kommentar – Erforderlich falls der Status Zustimmung mit Kommentar oder Abgelehnt mit Kommentar ist.

Für weitere Erklärungen siehe Prozesse.

3.2.4 Aufgaben-Management und Ansichtsrollen

• Aufgabe – Beinhaltet Berechtigungen der Aufgaben-Viewer-Rolle, zuzüglich:

  • Erstellen und Ändern von Aufgaben und Aufgabennotizen
  • Hochladen von Aufgabennotizanhängen

  • Verknüpfen von Aufgaben (verfügt der Benutzer über die Rolle Dokument, können auch Dokumente verknüpft werden)

• Aufgaben-Viewer – typischerweise Benutzern zugewiesen, welche Aufgaben nur ansehen dürfen (read only). Berechtigungen für:

  • Suchen nach Aufgaben und Erstellen von Aufgabenlisten, wobei alle Arten von Aufgaben berüchsichtigt werden
  • Ansicht von Aufgaben-Detailansichten, inklusive Aufgabennotizen, wobei alle Arten von Aufgabennotizen berüchsichtigt werden
  • Herunterladen von Aufgabennotizanhängen

• Aufgabe-beschr.Viewer – typischerweise Benutzern zugewiesen, welche eine eingeschränkte Menge von Aufgabentypen und Aufgabennotiztypen nur ansehen dürfen (read only). Die Berechtigungen sind dieselben wie für die Dok-Viewer-Rolle, mit folgendem Unterschied:

  • Suchen nach Aufgaben und Erstellen von Aufgabenlisten – beschränkt auf eine begrenzte Anzahl von Aufgabentypen
  • Ansicht von Aufgaben-Detailansichten, inklusive Aufgabennotizen – beschränkt auf eine begrenzte Anzahl von Aufgabentypen und Aufgabennotiztypen definiert in der Systemkonfiguration.

Warnung: Aus Sicherheitsgründen hat die Aufgabe-beschr.Viewer-Rolle Vorrang gegenüber anderen Aufgabenbenutzerrollen. Dies bedeutet, dass, falls eine Aufgabe-beschr.Viewer-Rolle einem Benutzer mit einer Aufgabe-Rolle zugeteilt ist, besagter Benutzer nicht länger Berechtigung auf Erstellung und Ändernung von Aufgaben hat.

Security-Exception-Tasks können dazu verwendet werden, Benutzern zu ermöglichen, Versionen anzusehen, obwohl deren Benutzerrolle dies normalerweise nicht erlaubt. Siehe dazu Security-Exception-Tasks

3.2.5 Aufgabenabonnentenrollen

Die Aufgabe Abonnent-Rolle definiert nicht Berechtigung für Zugang und Ändern von Daten, sondern die standardmässige Liste der Benutzer, welche einer Aufgabe bei deren Erstellung zugeteilt wird. Die Liste der Aufgabe Abonnent-Rollen basiert auf der Liste der Aufgabentypen, zuzüglich der Aufgaben alle Abonnenten-Rolle. Die Liste der Aufgabentypen ist von der Systemkonfiguration abhängig und typischerweise für jedes Projekt verschieden.

• Aufgabe alle Abonnenten

• Aufgabe Abonnent Aufgabentyp X

• Aufgabe Abonnent Aufgabentyp Y

• …

Siehe Aufgaben: Verteiler & Empfänger für eine umfassende Beschreibung zum Aufgabenabonnement und den Voraussetzungen, unter welchen E-Mails an Abonnenten versendet werden.

3.2.6 Dokumentenversand-Rollen

• Freigabeversand – Berechtigungen für:

  • Erstellen und Ändern des Dokumentenversands
  • Auflisten von Dokumentenversand sowie Ansicht der Liste des kürzlich versendeten Dokumentenversands
  • Detailansicht eines Dokumentenversands
  • Herunterladen der einem Dokumentenversand zugehörigen ZIP-Datei

Bitte beachten Sie, dass die Freigabeversand-Rolle es dem Benutzer nicht erlaubt, einen Dokumentenversand zu versenden. Diese Berechtigung ist, wie oben beschrieben, durch die Proz.Versand-Rolle gegeben.

3.2.7 Dokumentenversand-Empfänger-Rollen

Die Dokumentenversand Empfänger-Rolle definiert nicht Berechtigung für Zugang und Ändern von Daten, sondern Empfänger des Dokumentenversands. Es gibt drei Arten von Dokumentenversand-Empfängern:

• Versand-An ("To" Empfänger)

• Versand-CC ("CC" Empfänger)

• Versand-BCC ("BCC" Empfänger)

Siehe Dokumentenversand erstellen sowie Dokumentenversand versenden für eine umfassende Beschreibung zur Erstellung und Versand eines Dokumentenversands.

3.2.8 Standardbenachrichtigungs-Rollen

• Empf – Benutzer erhält Benachrichtigungen für alle Aufgabenarten (KOM, PEN, INFO, PLAN, AUBE, BEW)

• Subscriber_KOM – Benutzer erhält Benachrichtigungen für Aufgaben der Art KOM

• Subscriber_PEN – Benutzer erhält Benachrichtigungen für Aufgaben der Art PEN

• Subscriber_INFO – Benutzer erhält Benachrichtigungen für Aufgaben der Art INFO

• Subscriber_PLAN – Benutzer erhält Benachrichtigungen für Aufgaben der Art PLAN

• Subscriber_AUBE – Benutzer erhält Benachrichtigungen für Aufgaben der Art AUBE

• Subscriber_BEW – Benutzer erhält Benachrichtigungen für Aufgaben der Art BEW