Beschreibung Rollenberechtigungen
- Jae-in Moon
- Florian Meister
Eine oder mehrere Rollenberechtigungen definieren eine Rolle
Für jede Zielklasse können separate Berechtigungen zum Lesen, Erstellen, Updaten, Löschen und zum eingeschränkten Lesen (nur Eigenschaften des Titel-Layouts von Datensätzen) gesetzt werden
Auf diese Weise lassen sich Zugriffskonzepte mit einer sehr feinen Granularität umsetzen
Je feiner die Granularität, desto höher sind Konzept-, wie auch Unterhaltsaufwand
Rollenberechtigungen können nicht durch den Kunden erstellt, bearbeitet oder gelöscht werden
Es gilt das Prinzip der geringsten Rechte: Rollen sollten nur mit Berechtigungen ausgestattet werden, die für die Ausführung der auf sie bezogenen Aufgaben notwendig sind
Die leichtfertige Vergabe von Rollenberechtigungen kann zu Datensicherheits-, wie auch zu Datenschutzverstössen führen
Beschreibung
Eine einzelne Rollenberechtigung besteht aus der Angabe einer Zielklasse, sowie verschiedenen Berechtigungen und Einschränkungen.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
Entität/Klasse | Eine Referenz auf eine vorhandene Entität im Model. Die Berechtigungen respektive Einschränkungen werden für diese Entität angewendet. | Anschrift |
Darf-Lesen | Gewährt lesenden Zugriff auf die Entität. | true/false |
Darf-Schreiben | Gewährt schreibenden Zugriff auf existierende Entitäten. | true/false |
Darf-Erstellen | Gewährt das Recht neue Entitäten zu erfassen. | true/false |
Darf-Löschen | Gewährt das Recht Entitäten zu löschen. | true/false |
Titel | Gewährt lesenden Zugriff auf das Titel-Layout der Entität | Vorname, Name, Funktion einer Person (je nach Definition des Titel-Layouts) |
Lese-Einschränkung | Eine Expression welche den Lesen-Zugriff generell einschränkt. | Aktiv == true (Lesen-Zugriff nur auf aktive Anschriften) |
Schreib-Einschränkung | Eine Expression welche den Schreib-Zugriff generell einschränkt. | Aktiv == true (Schreib-Zugriff nur auf aktive Anschriften) |
Lösch-Einschränkung | Eine Expression welche den Löschen-Zugriff generell einschränkt. | Aktiv == true (Lösch-Zugriff nur auf aktive Anschriften) |
Ausgeschlossene Felder | Komma-separierte Liste von Feldern die unter der aktuellen Berechtigung nicht zurückgegeben werden. Die Werte werden beim speichern verworfen und beim lesen durch Default-Werte ersetzt. | Strasse, Nummer |
Verweise
Benutzerrollen - PerformaNET Confluence - PerformaNET (atlassian.net)
Allgemeines | Benutzerverwaltung - PerformaNET Confluence - PerformaNET (atlassian.net)