• AppendixA

Zurück 10. Administration -- Nach Oben Inhaltsverzeichnis -- Weiter A2. Appendix B

A1. Benutzerrollen

Benutzerrollen sind der Mechanismus, um Berechtigungen auf Transaktionen und gespeicherte Daten in DrawMGT System zu kontrollieren.

Um Daten einsehen, eingeben und verändern zu können, benötigt ein Benutzer die entsprechenden Rollen. Eine Benutzerrolle gibt dem Benutzer die Berechtigung Transaktionen, sprich, Befehle des Systemmenüs und Buttons auszuführen, bzw. zu betätigen, und somit auf Systemdaten, sprich, Daten in Bereiche und Gruppe anzuwenden. In anderen Worten: Benutzerrollen definieren Berechtigungen, verknüpfen Benutzer, Transaktionen und Systemdaten.

Benutzer haben meist mehrere Benutzerrollen, welche deren aktuellen Verantwortlichkeiten gegenüber einem Projekt entsprechen. Zum Beispiel: Ein Benutzer hat die Ansehen-Rolle für einige Bereiche und Gruppen, wobei er nur Zugriff auf Dokumente zu Informationszwecken hat. Dann hat er die Neu/Ändern-Rolle für jene Bereiche des Projektes, wo Dokumente erstellt werden.

In einem grossen Projekt mit vielen Benutzern und Bereichen kann die Benutzeranzahl schnell wachsen und deren Verwaltung zu einer Herausforderung werden. In vielen Projekten ist es sehr wichtig, sicherzustellen, dass gewisse Dokumente geschützt und nur für eine eingeschränkte Gruppe von Benutzern zugänglich sind. DrawMGT stellt einen dienlichen Rapportmechanismus bereit, welcher es erlaubt, einzusehen, wer Berechtigung auf Transaktionen und Systemdaten basieren auf Projekt, sprich, Bereiche und Gruppen hat.

A1.1 Benutzerrollenebenen

Benutzerrollen können System, Bereich und Gruppe zugewiesen werden. Im Detail:

• Systemebene – Berechtigung auf alle Daten im System, inklusive alle Bereiche und Gruppen

• Bereichsebene – Berechtigung auf Daten in einem Bereich, welche nicht einer Gruppe zugeordnet sind sowie auf alle Daten von Gruppen, welche dem Bereich angehören.

• Gruppenebene – Berechtigung auf alle Daten der Gruppe

In allen Fällen sind Berechtigungen basierend auf Bereich/Gruppe der Benutzerrollen und Bereich/Gruppe der Daten, in Berücksichtigung von Benutzerrollen auf System- und Bereichsebene, gegeben. Der Algorithmus zur Bestimmung von Zugriffsberechtigungen auf Daten funktioniert wie folgt:

1. Bestimme die benötigte Rolle der auszuführenden Transaktion

2. Prüfe, ob der Benutzer Systemebene-Berechtigung für die Rolle hat

   • falls ja, erlaube Berechtigung

   • falls nein, weiter zur nächsten Prüfung

3. Prüfe, ob der Benutzer Bereichsebene-Berechtigung für die Rolle für den Bereich und zugehörigen Daten hat

4. falls ja, erlaube Berechtigung

5. falls nein, weiter zur nächsten Prüfung

6. Prüfe, ob der Benutzer Gruppenebene-Berechtigung für die Rolle für den Bereich und zugehörigen Daten hat

7. falls ja, erlaube Berechtigung

8. falls nein, weiter zur nächsten Prüfung

9. Verweigere Berechtigung

A1.2 Benutzerrollenklassen

Benutzerrollentypen sind in Klassen eingeteilt. Die Benutzerrollen für jede Klasse sind in den folgenden Sektionen definiert und aufgelistet.

A1.2.1 Administrationsrollen

• Site-Administrator – erlaubt Berechtigung für alle System-Transaktionen

Die Site-Administrator-Benutzerrolle ist jenem Benutzer zugeteilt, welcher Benutzer und deren Rollen im System verwaltet. Folgenden Transaktionen können nur durch den Site-Administrator ausgeführt werden:

• Benutzer Neu/Ändern

• Benutzerrolle ändern

• Benutzerrollenliste

• Benutzer Password setzen – für andere Benutzer. Beachten Sie, dass Benutzer die Möglichkeit haben, ihr eigenes Passwort zu setzten

A1.2.2 Dokument/Versions-Management und Ansichtsrollen

• Dokument Neu/Ändern – beinhaltet die Dokument Ansehen-Rolle, plus:

  • Erstellen, ändern und löschen von Dokumenten/Versionen
  • Ausführen von Versionsprozessschritten via Versions-Detailansicht und Dokumentenkorb

• Dokument Ansicht – typischerweise Benutzern zugeteilt, welche Dokumente und Versionen nur ansehen dürfen (read only). Berechtigungen für:

  • Suchen nach Dokumenten/Versionen und Erstellen von Dokumenten- und Versionslisten
  • Ansicht von Dokumenten- und Versions-Detailansichten
  • Herunterladen von Ursprungs- und Ausgabedateien
  • Auflisten von Dokumentenversand und Ansicht der Liste des kürzlich versendeten Dokumentenversands
  • Detailansicht eines Dokumentenversands
  • Herunterladen der einem Dokumentenversand zugehörigen ZIP-Datei

• Dokument beschränkte Ansicht – typischerweise Benutzern zugeteilt, welche nur die Erlaubnis haben, Dokumente und Versionen, welche veröffentlicht sind, sprich, deren Prozess abgeschlossen ist, anzusehen. Die Berechtigungen sind dieselben, wie für die Dokument Ansehen-Rolle, mit folgendem Unterschied:

  • Herunterladen von nur der Ausgabedatei – ein Benutzer mit beschränkter Ansicht sieht nicht, dass eine Ursprungsdatei vorhanden ist

  • Berechtigung ist beschränkt auf Versionen, deren Prozess abgeschlossen ist, und abhängig von der Systemkonfiguration, auf veraltete Versionen, deren Ansicht standardmässig nicht erlaubt ist.

Bitte beachten Sie, dass die Plazierung einer Version in einem Dokumentenversand, diese automatisch für Benutzer mit der Dokument beschränkte Ansicht-Rolle zugänglich macht, sobald der Dokumentenversand versendet worden ist.

Warnung: Aus Sicherheitsgründen hat die Dokument beschränkte Ansicht-Rolle Vorrang gegenüber anderen Dokumenten-/Versionsbenutzerrollen. Dies bedeutet, dass, falls eine Dokument beschränkte Ansicht-Rolle einem Benutzer mit einer Dokument Neu/Ändern-Rolle oder Site-Administrator-Rolle zugeteilt ist, besagter Benutzer nicht länger Berechtigung auf Erstellung und Ändernung von Dokumenten und Versionen hat.

A1.2.3 Dokument-/Versionsprozessrollen

Alle Dokument-/Versionsprozessrollen sind mit der Durchführung von Prozessschritte für Versionen betraut. Der Prozess einer Version ist eine Sequenz aus Prozessschritten, welche in Reihenfolge abgeschlossen werden müssen. Die Reihenfolge ist wie folgt:

• Erfassen – Der Erfassen-Prozessschritt erfasst nur, wer das Dokument erfasst oder eingegeben hat. Dieser Schritt erfasst keinen Status, Planungs- oder Abschlussdatum

• Erstellen und/oder Erhalten

• Prüfen

• Zustimmung – mehrere Zustimmungs-Prozessschritte können parallel abgeschlossen werden. Zustimmungs-Prozessschritte werden typischerweise für schnittstellenübergreifende Zustimmungen gebraucht.

• Freigabe – Freigabe-Prozessschritte können offene und abgelehnte Zustimmungs-Prozessschritte verwerfen.

• Versenden

Alle Prozesschritte, mit Ausnahme des Versenden-Prozesschrittes, werden in der Versions-Detailansicht ausgeführt. Eine Prozessschrittrolle beinhaltet die Fähigkeit, den zugeteilten Schritt abzuschliessen und auch zu ändern, falls vorherige Prozessschritte abgeschlossen sind.

Die Rollen unterscheiden sich nur durch den ausführbaren Prozesschritt:

• Dokument-Erfasser – Berechtigung zur Ausführung des Erfassen-Prozessschrittes

• Dokument-Ersteller – Berechtigung zur Ausführung des Erstellen-Prozessschrittes

• Document Receiver – Perform the design workflow step

• Dokument-Erhalter – Berechtigung zur Ausführung des Erhalten-Prozessschrittes

• Document Checker – Perform the check workflow step

• Dokument-Prüfer – Berechtigung zur Ausführung des Prüfen-Prozessschrittes

• Dokument-Zustimmer – Berechtigung zur Ausführung des Zustimmungs-Prozessschrittes

• Dokument-Freigeber – Berechtigung zur Ausführung des Freigabe-Prozessschrittes

• Dokument-Versender – Berechtigung zur Ausführung des Versenden-Prozessschrittes, sprich, einen Dokumentenversand zu versenden. Ungleich den anderen Prozessschritten, wird der Versenden-Prozessschritt nicht aus der Versions-Detailansicht heraus ausgeführt. Der Dokumentenversand wird in der Detailansicht desselben ausgeführt. Siehe Dokumentenversand erstellen sowie Dokumentenversand versenden für eine umfassende Beschreibung zur Erstellung und Versand eines Dokumentenversands.

Um einen Prozessschritt abzuschliessen, müssen folgende Eingaben gemacht werden:

• Planungsdatum – Optional. Das Planungsdatum dient lediglich Informationszwecken. Nur Benutzer mit der Dokument Neu/Ändern-Rolle können das Planungsdatum ändern.

• Abschlussdatum – Erforderlich, falls der Schritt nicht Status nicht erforderlich aufweist.

• Wer (die für den Schritt verantwortliche Person) – Erforderlich. Dieses Feld wird normalerweise im Voraus festgelegt und kann nicht verändert werden, ausser der Benutzer besitzt die Dokument Neu/Ändern-Rolle.

• Status – Erforderlich für den Erstellen-, Prüfen-, Zustimmungs- sowie Freigabe-Prozessschritt. Folgende Statuswerte sind erlaubt:

  • Offen – Der Prozessschritt ist noch nicht abgeschlossen

  • Nicht erforderlich – Der Prozessschritt ist nicht erforderlich. Nur für Zustimmungs-Prozessschritte zutreffend.

  • Zustimmung – Der Version wurde zugestimmt und weitere Prozessschritte können durchgeführt werden.

  • Zustimmung mit Kommentar – Der Version wurde zugestimmt, wobei der Zustimmung ein Kommentar hinzugefügt wurde. Weitere Prozessschritte können durchgeführt werden.

  • Abgelehnt mit Kommentar – Die Version wurde abgelehnt, wobei ein Kommentar hinzugefügt wurde. Weitere Prozessschritte können nicht durchgeführt werden.

  • Kommentar – Erforderlich falls der Status Zustimmung mit Kommentar oder Abgelehnt mit Kommentar ist.

Für weitere Erklärungen siehe Prozessschritte.

A1.2.4 Aufgaben-Management und Ansichtsrollen

• Aufgabe Neu/Ändern – Beinhaltet Berechtigungen der Aufgabe Ansehen-Rolle, zuzüglich:

  • Erstellen und Ändern von Aufgaben und Aufgabennotizen
  • Hochladen von Aufgabennotizanhängen

• Aufgabe Ansehen – typischerweise Benutzern zugewiesen, welche Aufgaben nur ansehen dürfen (read only). Berechtigungen für:

  • Suchen nach Aufgaben und Erstellen von Aufgabenlisten, wobei alle Arten von Aufgaben berüchsichtigt werden
  • Ansicht von Aufgaben-Detailansichten, inklusive Aufgabennotizen, wobei alle Arten von Aufgabennotizen berüchsichtigt werden
  • Herunterladen von Aufgabennotizanhängen

• Aufgaben beschränkte Ansicht – typischerweise Benutzern zugewiesen, welche eine eingeschränkte Menge von Aufgabentypen und Aufgabennotiztypen nur ansehen dürfen (read only). Die Berechtigungen sind dieselben wie für die Dokument Ansehen-Rolle, mit folgendem Unterschied:

  • Suchen nach Aufgaben und Erstellen von Aufgabenlisten – beschränkt auf eine begrenzte Anzahl von Aufgabentypen
  • Ansicht von Aufgaben-Detailansichten, inklusive Aufgabennotizen – beschränkt auf eine begrenzte Anzahl von Aufgabentypen und Aufgabennotiztypen definiert in der Systemkonfiguration.

Warnung: Aus Sicherheitsgründen hat die Aufgabe beschränkte Ansicht-Rolle Vorrang gegenüber anderen Aufgabenbenutzerrollen. Dies bedeutet, dass, falls eine Aufgabe beschränkte Ansicht-Rolle einem Benutzer mit einer Aufgabe Neu/Ändern-Rolle zugeteilt ist, besagter Benutzer nicht länger Berechtigung auf Erstellung und Ändernung von Aufgaben hat.

Security-Exception-Tasks können dazu verwendet werden, Benutzern zu ermöglichen, Versionen anzusehen, obwohl deren Benutzerrolle dies normalerweise nicht erlaubt. Siehe dazu Security-Exception-Tasks

A1.2.5 Aufgabenabonnentenrollen

Die Aufgabe Abonnent-Rolle definiert nicht Berechtigung für Zugang und Ändern von Daten, sondern die standardmässige Liste der Benutzer, welche einer Aufgabe bei deren Erstellung zugeteilt wird. Die Liste der Aufgabe Abonnent-Rollen basiert auf der Liste der Aufgabentypen, zuzüglich der Aufgaben alle Abonnenten-Rolle. Die Liste der Aufgabentypen ist von der Systemkonfiguration abhängig und typischerweise für jedes Projekt verschieden.

• Aufgabe alle Abonnenten

• Aufgabe Abonnent Aufgabentyp X

• Aufgabe Abonnent Aufgabentyp Y

• …

Siehe Aufgaben: Verteiler & Empfänger für eine umfassende Beschreibung zum Aufgabenabonnement und den Voraussetzungen, unter welchen E-Mails an Abonnenten versendet werden.

A1.2.6 Dokumentenversand-Management-Rolle

• Dokumentenversand/Übermittlung Neu/Ändern – Berechtigungen für:

  • Erstellen und Ändern von Dokumentenversand
  • Auflisten von Dokumentenversand sowie Ansicht der Liste des kürzlich versendeten Dokumentenversands
  • Detailansicht eines Dokumentenversands
  • Herunterladen der einem Dokumentenversand zugehörigen ZIP-Datei

Bitte beachten Sie, dass die Dokumentenversand/Übermittlung Neu/Ändern-Rolle es dem Benutzer nicht erlaubt, einen Dokumentenversand zu versenden. Diese Berechtigung ist, wie oben beschrieben, durch die Dokument-Versender-Rolle gegeben.

A1.2.7 Dokumentenversand-Empfängerrollen

Die Dokumentenversand Empfänger-Rolle definiert nicht Berechtigung für Zugang und Ändern von Daten, sondern die Empfänger des Dokumentenversands. Es gibt drei Arten von Dokumentenversand-Empfängern:

• Dokumentenversand Hauptempfänger ("To" Empfänger)

• Dokumentenversand Kopieempfänger ("CC" Empfänger)

• Dokumentenversand Blindkopieempfänger ("BCC" Empfänger)

Siehe Dokumentenversand erstellen sowie Dokumentenversand versenden für eine umfassende Beschreibung zur Erstellung und Versand eines Dokumentenversands.