Skip to main content

Zugriffsberechtigungen

Die Invoice-Lösung enthält diverse Zugriffsbeschränkungen welche verhindern, dass ein Anwender Zugriff auf Belege oder Konfigurationen erhält, welche er nicht sehen darf.

Mappenrechte

Zunächst sind amAm Mappentypen "Invoice"Invoice" sind Mappenrechte hinterlegt. BestimmteÜber Gruppendie Mappenrechte werden grundsätzliche Berechtigungen wie "Administration",Lesen" oder "WorkflowError",Schreiben" oder "WorkflowRulesError"Löschen" vergeben. Die Mappenrechte legen fest, was ein User an den einzelnen Vorgängen grundsätzlich machen, sehen und "TechAccessProfile"ausführen sowiedarf. derDie BenutzerMappenrechte "import"legen erhaltennicht gesondertefest, Berechtigungen.auf welche Vorgänge ein Anwender Zugriff hat!
Jeder Anwender, der am Rechnungseingangs-Workflow teilnehmen sollsoll, muss zumindest der Gruppe "Invoice"Invoice" zugeordnet werden. Hierdurch erhalten die User grundsätzlich Lese- und Schreib-Berechtigungen auf Mappen vom Typen "Invoice".
Bestimmte Gruppen wie "Administration", "WorkflowError", "WorkflowRulesError" und "TechAccessProfile" sowie der Benutzer "import" erhalten gesonderte Berechtigungen.

image-1591356472601.pngimage-1591356472601.png

Ein Benutzer, welcher keiner der oben genannten Gruppen zugeordnet wurde, erhält keinen Zugriff auf die Outbar für die Rechnungseingänge und schon gar nicht zur Administrations-Outbar. Der Anwender kann nicht einmal nach Rechnungen suchen.

image-1591356899439.pngimage-1591356899439.png

 

GACL-Berechtigung

ZusätzlichDer sogenannte Mappenklassenschutz definiert, welche User auf welche Vorgänge Zugriff haben. Der Zugriff wird über eine Liste gesteuert, in der User-Logins und technische Gruppen-Namen gelistet werden. Wenn ein User keinen Zugriff auf einen Vorgang hat, kann der User den Vorgang nicht sehen! Über die Suche erhalten die User nur Treffer auf Vorgänge, zu dendenen Mappenrechtendie istUser amGACL-Berechtigungen Mappentypenhaben!

"Invoice"

Der Mappenklassenschutz wurde über eine sogenannte GACL-Berechtigung (Group Access Control List)ist (GACL) mit dem Filter "%accessProfilesGACLFilter%|%userLogin%" gesetzt. Der Mappenklassenschutz wird über das Textfeld "Rights"Rights" gesteuert.umgesetzt. Die GACL berücksichtigt Access Profiles (Gruppen) und Benutzer-Logins.

image-1591357147061.pngimage-1591357147061.png

Durch den Mappenklassenschutz erhalten nur diejenigenEin Benutzer erhält Zugriff zurzu Mappe,einem Vorgang (einer sogenannten Mappe), wenn der Benutzer entweder sein eigenes Login in dem Textfeld enthalten ist oder wenn der Benutzer einer Gruppe angehört,angehört welcheund der technische Name der Gruppe im Feld gelistetenthalten wird.ist. Die einzelnen Einträge werden im Feld mit einem Zeilenumbruch getrennt ("\r\n").

Am Feld "Rights" müssen Voreinstellungen gesetzt sein. Über den Eintrag "%fileOwner.login%" erhält der Ersteller der Vorgänge initiale Zugriffsberechtigungen. Da der Workflow nicht direkt startet (und somit nicht automatisch weitere Berechtigungen vergeben werden), sollten weitere Gruppen initial Berechtigungen gesetzt werden, damit die Rechnungen für die Rechnungen auffindbar sind. Dies ist bei der Einrichtung eines neuen Projekts zu Berücksichtigen.

image-1752653411807.png

Der Feldwert wirdvom initialFeld durch"Rights" setzt sich aus 2 anderen Feldwerten zusammen. Zum einen werden über den Besitzer/ErstellerWorkflow Berechtigungen in das Feld "RightsWorkflow" gesammelt. Zum anderen können über eine WEB-Konfiguration initiale Berechtigungen vergeben werden. Die initialen Berechtigungen werden in das Feld "RightsInitial" geschrieben. Die Summe der Mappebeiden vorbelegt.Feldwerte wird in das Feld "Rights" geschrieben.

RightsWorkflow + RightsInitial = Rights

 

Workflow Berechtigungen

Jeder Benutzer bzw. jede Gruppe, welche im Laufe des Workflows den Beleg sperrt, wird zum Feld "RightsWorkflow"RightsWorkflow" hinzugefügt. Zudem können initialeDie Berechtigungen gesetztwerden werden,zum welcheBeispiel in das Feld "RightsInitial" geschrieben werden. Die Summebei der beidenZuordnung Feldwerteüber wirddie inWorkflow-Regeln daserweitert Feld- "Rights"aber geschrieben.auch Nachbei jeder Weiterleitung imoder Workflowbei einer Rückfrage. Wenn ein einzelner User zugeordnet wird und dieser User ist abwesend, dann wird automatisch auch die zuständige Vertretung des Users berechtigt.

Jedes Mal wenn die Workflow-Berechtigungen erweitert werden, werden auch die initialen Berechtigungen neuerneut ermittelt.ermittelt und gesetzt!

 

Initiale Berechtigungen

DieÜber die initialen Berechtigungen werden vor allem dafür verwendet, dasskönnen Benutzer bestimmterund Gruppen immer Zugriff auf alle Vorgänge/Mappen erhalten.erhalten bzw. können Berechtigungen abhängig von Feldwerten definiert werden. Zum Beispiel können grundsätzliche Zugriffs-Berechtigungen pro Mandant definiert werden.

Benutzer für den Support oder der Job-ausführende Benutzer müssen zum Beispiel immer Zugriff auf alle Mappen haben! Diese Einstellung kann auf der Administrations-Outbar "Invoice" über die WEB-Konfiguration "Initiale Berechtigungen"Berechtigungen" vorgenommen werden.

image-1591358105247.pngimage-1591358105247.png

Die Berechtigungen können allerdings auch abhängig von Feldwerten gesetzt werden und diese Feldwerte können sich im Laufe des Workflows ändern. Zum Beispiel können Gruppen oder Benutzer abhängig vom Mandanten berechtigt werden. Wenn der Mandant allerdings nicht automatisch oder gar falsch erkannt wurde, kann sich der Feldwert und somit die Zuordnung der berechtigten Gruppen im Workflow-Verlauf ändern. Anders als das "initial" vermuten lässt, werden die Gruppen nach jeder Weiterleitung erneut ermittelt und in das Feld "RightsInitial" geschrieben. Durch Feldwert-Anpassungen kann es passieren, dass Benutzer oder Gruppen Ihre Zugriffsberechtigung erst durch verzögert einen geänderten Feldwert erhalten und es kann auch passieren, dass Benutzer durch Feldwertänderungen Ihre Zugriffsberechtigungen wieder verlieren.

Pro Eintrag können bis zu 3 Feldwerte abgefragt werden. Es werden immer alle Einträge überprüft!

Back to top