'''[[AdminBenutzer|Zurück]] 2. Administration Benutzer -- [[Inhaltsverzeichnis |Nach Oben]] Inhaltsverzeichnis''' ---- = 3. Administration Benutzerrollen = <> Benutzerrollen sind der Mechanismus, um Berechtigungen auf Transaktionen und gespeicherte Daten in DrawMGT System zu kontrollieren. Um Daten ansehen, eingeben und verändern zu können, benötigt ein Benutzer die entsprechenden Rollen. Eine Benutzerrolle gibt dem ''Benutzer'' die Berechtigung ''Transaktionen'', sprich, Befehle des Systemmenüs und Buttons auszuführen, bzw. zu betätigen, und somit auf ''Systemdaten'', sprich, Daten in ''Bereiche'' und ''Gruppe'' anzuwenden. In anderen Worten: Benutzerrollen definieren Berechtigungen, verknüpfen Benutzer, Transaktionen und Systemdaten. Benutzer haben meist mehrere Benutzerrollen, welche deren aktuellen Verantwortlichkeiten gegenüber einem Projekt entsprechen. Zum Beispiel: Ein Benutzer hat die ''Dok-Viewer''-Rolle für einige Bereiche und Gruppen, wobei er nur Zugriff auf Dokumente zu Informationszwecken hat. Dann hat er die ''Dokument''-Rolle für jene Bereiche des Projektes, wo Dokumente erstellt werden. In einem grossen Projekt mit vielen Benutzern und Bereichen kann die Benutzeranzahl schnell wachsen und deren Verwaltung zu einer Herausforderung werden. In vielen Projekten ist es sehr wichtig, sicherzustellen, dass gewisse Dokumente geschützt und nur für eine eingeschränkte Gruppe von Benutzern zugänglich sind. DrawMGT stellt einen dienlichen Rapportmechanismus bereit, welcher es erlaubt, einzusehen, wer Berechtigung auf Transaktionen und Systemdaten basieren auf Projekt, sprich, ''Bereiche'' und ''Gruppen'' hat. == 3.1 Benutzerrollenebenen == Benutzerrollen können ''System'', ''Bereich'' und ''Gruppe'' zugewiesen werden. Im Detail: * '''Systemebene''' – Berechtigung auf alle Daten im System, inklusive alle Bereiche und Gruppen * '''Bereichsebene''' – Berechtigung auf Daten in einem Bereich, welche nicht einer Gruppe zugeordnet sind sowie auf alle Daten von Gruppen, welche dem Bereich angehören. * '''Gruppenebene''' – Berechtigung auf alle Daten der Gruppe In allen Fällen sind Berechtigungen basierend auf Bereich/Gruppe der Benutzerrollen und Bereich/Gruppe der Daten, in Berücksichtigung von Benutzerrollen auf System- und Bereichsebene, gegeben. Der Algorithmus zur Bestimmung von Zugriffsberechtigungen auf Daten funktioniert wie folgt: 1. Bestimme die benötigte Rolle der auszuführenden Transaktion 2. Prüfe, ob der Benutzer ''System''ebene-Berechtigung für die Rolle hat * falls '''ja''', erlaube Berechtigung * falls '''nein''', weiter zur nächsten Prüfung 3. Prüfe, ob der Benutzer ''Bereichs''ebene-Berechtigung für die Rolle für den Bereich und zugehörigen Daten hat * falls '''ja''', erlaube Berechtigung * falls '''nein''', weiter zur nächsten Prüfung 4. Prüfe, ob der Benutzer ''Gruppen''ebene-Berechtigung für die Rolle für den Bereich und zugehörigen Daten hat * falls '''ja''', erlaube Berechtigung * falls '''nein''', weiter zur nächsten Prüfung 5. Verweigere Berechtigung == 3.2 Benutzerrollenklassen == {{attachment:AdminAllgemein/TransactionProfiles-DE.png||width=800}} Benutzerrollentypen sind in Klassen eingeteilt. Die Benutzerrollen für jede Klasse sind in den folgenden Sektionen definiert und aufgelistet. === 3.2.1 Administrationsrollen === * '''''Site-Administrator''''' – erlaubt Berechtigung für '''''alle''''' System-Transaktionen Die ''Admin''-Rolle ist jenem Benutzer zugeteilt, welcher Benutzer und deren Rollen im System verwaltet. Folgenden Transaktionen können nur durch den ''Site-Administrator'' ausgeführt werden: * ''Benutzer Neu/Ändern'' * ''Benutzerrolle ändern'' * ''Benutzerrollenliste'' * ''Benutzer Password setzen'' – für andere Benutzer. Beachten Sie, dass Benutzer die Möglichkeit haben, ihr eigenes Passwort zu setzten === 3.2.2 Dokument/Versions-Management und Ansichtsrollen === * '''''Dokument''''' – beinhaltet die ''Dok-Viewer''-Rolle, plus: * Erstellen, ändern und löschen von Dokumenten/Versionen * Ausführen von Versionsprozessschritten via Versions-Detailansicht und Dokumentenkorb * Verknüpfen von Dokumenten (verfügt der Benutzer über die Rolle ''Aufgabe'', können auch Aufgaben verknüpft werden) * '''''Dok-Viewer''''' – typischerweise Benutzern zugeteilt, welche Dokumente und Versionen nur ansehen dürfen (read only). Berechtigungen für: * Suchen nach Dokumenten/Versionen und Erstellen von Dokumenten- und Versionslisten * Ansicht von Dokumenten- und Versions-Detailansichten * Herunterladen von Ursprungs- und Ausgabedateien * Auflisten von Dokumentenversand und Ansicht der Liste des kürzlich versendeten Dokumentenversands * Detailansicht eines Dokumentenversands * Herunterladen der einem Dokumentenversand zugehörigen ZIP-Datei * '''''Dok-beschr.Viewer''''' – typischerweise Benutzern zugeteilt, welche nur die Erlaubnis haben, Dokumente und Versionen, welche veröffentlicht sind, sprich, deren Prozess abgeschlossen ist, anzusehen. Die Berechtigungen sind dieselben, wie für die ''Dok-Viewer''-Rolle, mit folgendem Unterschied: * Herunterladen von nur der Ausgabedatei – ein Benutzer mit beschränkter Ansicht sieht ''nicht'', dass eine Ursprungsdatei vorhanden ist * Berechtigung ist beschränkt auf Versionen, deren Prozess abgeschlossen ist, und abhängig von der Systemkonfiguration, auf veraltete Versionen, deren Ansicht standardmässig nicht erlaubt ist. * '''''Hochladen''''' – dem Benutzer wird erlaubt, Dokumente zu einer Version hochzuladen, falls er über die Rolle ''Dok-Viewer'' verfügt. Unter folgenden Bedingungen enthält diese Rolle auch ''!FileDelete'': * falls der aktuelle Benutzer ausgewählter Verantwortlicher für Prozessschritt ''Erstellt/Erhalten'' ist * falls der Prozessschritt nach ''Erstellt/Erhalten'' noch nicht abgeschlossen ist {{{#!wiki green/solid '''''Wichtig:''''' ''Die einem Benutzer zugewiesenen Dokument-Rollen stehen nur zur Verfügung, falls der vom Benutzer ausgewählte Bereich mit jenem des zu bearbeitenden Dokumentes übereinstimmt.'' }}} Bitte beachten Sie, dass die Plazierung einer Version in einem Dokumentenversand, diese automatisch für Benutzer mit der ''Dok-beschr.Viewer''-Rolle zugänglich macht, sobald der Dokumentenversand versendet worden ist. '''Warnung:''' Aus Sicherheitsgründen hat die ''Dok-beschr.Viewer''-Rolle Vorrang gegenüber anderen Dokumenten-/Versionsbenutzerrollen. Dies bedeutet, dass, falls eine ''Dok-beschr.Viewer''-Rolle einem Benutzer mit einer ''Dokument''-Rolle oder ''Admin''-Rolle zugeteilt ist, besagter Benutzer nicht länger Berechtigung auf Erstellung und Ändernung von Dokumenten und Versionen hat. === 3.2.3 Dokument-/Versionsprozessrollen === Alle Dokument-/Versionsprozessrollen beziehen sich auf die Durchführung von Prozessschritten innerhalb einer Version. Der Prozess einer Version ist eine Sequenz aus Prozessschritten, welche in Reihenfolge abgeschlossen werden müssen. Die Dokument-/Versionsprozessrollen und deren Bedeutung: * '''''Erstellt''''' – Erstellung eines Dokuments * '''''Erhalten''''' – Erhalt eines Dokuments * '''''Prüfung''''' – Prüfung eines Dokuments * '''''Zustimmung''''' – wobei mehrere Zustimmungen parallel abgeschlossen werden können ''(bei schnittstellenübergreifender Zusammenarbeit)'' * '''''Freigabe''''' – ''Freigabe''-Prozessschritte können ''offene'' und ''abgelehnte'' ''Zustimmungs''-Prozessschritte verwerfen. * '''''Proz.Versand''''' – Freigabeversand des Dokuments Alle Prozesschritte, mit Ausnahme des ''Proz.Versand''-Prozesschrittes, werden in der Versions-Detailansicht ausgeführt. Eine Prozessschrittrolle beinhaltet die Fähigkeit, den zugeteilten Schritt abzuschliessen und auch zu ändern, falls vorherige Prozessschritte abgeschlossen sind. Die Rollen unterscheiden sich nur durch den ausführbaren Prozesschritt: * '''Erstellt''' – Berechtigung zur Ausführung des ''Erstellt''-Prozessschrittes * '''''Erhalten''''' – Berechtigung zur Ausführung des ''Erhalten''-Prozessschrittes * '''''Prüfung''''' – Berechtigung zur Ausführung des ''Prüfung''- und ''Stellungnahme erstellt''-, ''Prüfbericht erstellt''- sowie ''erhalten von BL''-Prozessschrittes * '''''Zustimmung''''' – Berechtigung zur Ausführung des ''Zustimmungs''-, ''Vorabzug bereinigt''- sowie ''übergeben an UN''-Prozessschrittes * '''''Freigabe''''' – Berechtigung zur Ausführung des ''Freigabe''-Prozessschrittes * '''''Proz.Versand''''' – Berechtigung zur Ausführung des ''Proz.Versand''-Prozessschrittes, sprich, einen Dokumentenversand zu versenden. Ungleich den anderen Prozessschritten, wird der ''Proz.Versand''-Prozessschritt ''nicht'' aus der Versions-Detailansicht heraus ausgeführt. Der Dokumentenversand wird in der Detailansicht desselben ausgeführt. Siehe [[Dokumentenversand#A8.3Erstellen|Dokumentenversand erstellen]] sowie [[Dokumentenversand#A8.4Versenden|Dokumentenversand versenden]] für eine umfassende Beschreibung zur Erstellung und Versand eines Dokumentenversands. Um einen Prozessschritt abzuschliessen, müssen folgende Eingaben gemacht werden: * '''''SOLL''''' – Optional. Das ''SOLL-Datum'' dient lediglich Informationszwecken. Nur Benutzer mit der ''Dokument''-Rolle können das ''SOLL-Datum'' ändern. * '''''IST''''' – Das ''IST-Datum'' is erforderlich, falls der Schritt nicht Status ''nicht erforderlich'' aufweist. * '''''Wer''''' (die für den Schritt verantwortliche Person) – Erforderlich. Dieses Feld wird normalerweise im Voraus festgelegt und kann nicht verändert werden, ausser der Benutzer besitzt die ''Dokument''-Rolle. * '''''Status''''' – Erforderlich für den ''Erstellen-'', ''Prüfen-'', ''Zustimmungs-'' sowie ''Freigabe''-Prozessschritt. Folgende Statuswerte sind erlaubt: * '''''Offen''''' – Der Prozessschritt ist noch nicht abgeschlossen * '''''Nicht erforderlich''''' – Der Prozessschritt ist nicht erforderlich. Nur für ''Zustimmungs''-Prozessschritte zutreffend. * '''''Zustimmung''''' – Der Version wurde zugestimmt und weitere Prozessschritte können durchgeführt werden. * '''''Zustimmung mit Kommentar''''' – Der Version wurde zugestimmt, wobei der Zustimmung ein Kommentar hinzugefügt wurde. Weitere Prozessschritte können durchgeführt werden. * '''''Abgelehnt mit Kommentar''''' – Die Version wurde abgelehnt, wobei ein Kommentar hinzugefügt wurde. Weitere Prozessschritte können ''nicht'' durchgeführt werden. * '''''Kommentar''''' – Erforderlich falls der Status ''Zustimmung mit Kommentar'' oder ''Abgelehnt mit Kommentar'' ist. Für weitere Erklärungen siehe [[Dokumente#A5.9.3Prozesse|Prozesse]]. === 3.2.4 Aufgaben-Management und Ansichtsrollen === * '''''Aufgabe''''' – Beinhaltet Berechtigungen der ''Aufgaben-Viewer''-Rolle, zuzüglich: * Erstellen und Ändern von Aufgaben und Aufgabennotizen * Hochladen von Aufgabennotizanhängen * Verknüpfen von Aufgaben (verfügt der Benutzer über die Rolle ''Dokument'', können auch Dokumente verknüpft werden) * '''''Aufgaben-Viewer''''' – typischerweise Benutzern zugewiesen, welche Aufgaben nur ansehen dürfen (read only). Berechtigungen für: * Suchen nach Aufgaben und Erstellen von Aufgabenlisten, wobei alle Arten von Aufgaben berüchsichtigt werden * Ansicht von Aufgaben-Detailansichten, inklusive Aufgabennotizen, wobei alle Arten von Aufgabennotizen berüchsichtigt werden * Herunterladen von Aufgabennotizanhängen * '''''Aufgabe-beschr.Viewer''''' – typischerweise Benutzern zugewiesen, welche eine eingeschränkte Menge von Aufgabentypen und Aufgabennotiztypen nur ansehen dürfen (read only). Die Berechtigungen sind dieselben wie für die ''Dok-Viewer''-Rolle, mit folgendem Unterschied: * Suchen nach Aufgaben und Erstellen von Aufgabenlisten – beschränkt auf eine begrenzte Anzahl von Aufgabentypen * Ansicht von Aufgaben-Detailansichten, inklusive Aufgabennotizen – beschränkt auf eine begrenzte Anzahl von Aufgabentypen und Aufgabennotiztypen definiert in der Systemkonfiguration. '''Warnung:''' Aus Sicherheitsgründen hat die ''Aufgabe-beschr.Viewer''-Rolle Vorrang gegenüber anderen Aufgabenbenutzerrollen. Dies bedeutet, dass, falls eine ''Aufgabe-beschr.Viewer''-Rolle einem Benutzer mit einer ''Aufgabe''-Rolle zugeteilt ist, besagter Benutzer nicht länger Berechtigung auf Erstellung und Ändernung von Aufgaben hat. Security-Exception-Tasks können dazu verwendet werden, Benutzern zu ermöglichen, Versionen anzusehen, obwohl deren Benutzerrolle dies normalerweise nicht erlaubt. Siehe dazu [[Aufgaben#A6.12SecurityExceptionTasks|Security-Exception-Tasks]] === 3.2.5 Aufgabenabonnentenrollen === Die ''Aufgabe Abonnent''-Rolle definiert nicht Berechtigung für Zugang und Ändern von Daten, sondern die standardmässige Liste der Benutzer, welche einer Aufgabe bei deren Erstellung zugeteilt wird. Die Liste der ''Aufgabe Abonnent''-Rollen basiert auf der Liste der Aufgabentypen, zuzüglich der ''Aufgaben alle Abonnenten''-Rolle. Die Liste der Aufgabentypen ist von der Systemkonfiguration abhängig und typischerweise für jedes Projekt verschieden. * '''''Aufgabe alle Abonnenten''''' * '''''Aufgabe Abonnent Aufgabentyp X''''' * '''''Aufgabe Abonnent Aufgabentyp Y''''' * '''''…''''' Siehe [[Aufgaben#A6.11Verteiler.26Empf.2BAOQ-nger|Aufgaben: Verteiler & Empfänger]] für eine umfassende Beschreibung zum Aufgabenabonnement und den Voraussetzungen, unter welchen E-Mails an Abonnenten versendet werden. === 3.2.6 Dokumentenversand-Rollen === * '''''Freigabeversand''''' – Berechtigungen für: * Erstellen und Ändern des Dokumentenversands * Auflisten von Dokumentenversand sowie Ansicht der Liste des kürzlich versendeten Dokumentenversands * Detailansicht eines Dokumentenversands * Herunterladen der einem Dokumentenversand zugehörigen ZIP-Datei Bitte beachten Sie, dass die ''Freigabeversand''-Rolle es dem Benutzer nicht erlaubt, einen Dokumentenversand zu versenden. Diese Berechtigung ist, wie oben beschrieben, durch die ''Proz.Versand''-Rolle gegeben. === 3.2.7 Dokumentenversand-Empfänger-Rollen === Die ''Dokumentenversand Empfänger''-Rolle definiert nicht Berechtigung für Zugang und Ändern von Daten, sondern Empfänger des Dokumentenversands. Es gibt drei Arten von Dokumentenversand-Empfängern: * ''Versand-An'' ("To" Empfänger) * ''Versand-CC'' ("CC" Empfänger) * ''Versand-BCC'' ("BCC" Empfänger) Siehe [[Dokumentenversand#A8.3Erstellen|Dokumentenversand erstellen]] sowie [[Dokumentenversand#A8.4Versenden|Dokumentenversand versenden]] für eine umfassende Beschreibung zur Erstellung und Versand eines Dokumentenversands. === 3.2.8 Standardbenachrichtigungs-Rollen === * '''''ALLE''''' – Benutzer erhält Benachrichtigungen für alle Aufgabenarten (KOM, PEN, INFO, PLAN, AUBE, BEW) * '''''KOM''''' – Benutzer erhält Benachrichtigungen für Aufgaben der Art '''''KOM''''' * '''''PEN''''' – Benutzer erhält Benachrichtigungen für Aufgaben der Art '''''PEN''''' * '''''INFO''''' – Benutzer erhält Benachrichtigungen für Aufgaben der Art '''''INFO''''' * '''''PLAN''''' – Benutzer erhält Benachrichtigungen für Aufgaben der Art '''''PLAN''''' * '''''AUBE''''' – Benutzer erhält Benachrichtigungen für Aufgaben der Art '''''AUBE''''' * '''''BEW''''' – Benutzer erhält Benachrichtigungen für Aufgaben der Art '''''BEW'''''