# Versteckte User-Exits: Zugriffsberechtigungen manipulieren (GACL)

Die Mappentypen "**Invoice**", "**Procurement**" und "**Mailroom**" verwenden den Mappenklassenschutz und im Standard ist hier das Text-Feld "**Rights**" hinterlegt. Der Mappenklassenschutz berücksichtigt Zugriffsprofile und Benutzer-Logins. Standardmäßig setzen sich die Berechtigungen aus den Feldern "**RightsInitial**" und "**RightsWorkflow**" zusammen. Die Berechtigungen werden bei einer Weiterleitung automatisch erweitert. Jede Gruppe bzw. jeder Benutzer welcher am Workflow teilnimmt erhält automatisch Zugriffsrechte.

Im Feld "**RightsInitial**" werden die initialen Berechtigungen festgehalten, welche über die entsprechende WEB-Konfiguration gesetzt werden können. Diese Rechte werden bei einer weiterleitung neu ermittelt! Wenn initiale Berechtigungen abhängig von Feldwerten definiert wurden (zum Beispiel vom Mandanten-Feld) und sich der Feldwert in einer Mappe ändert, dann können neue Zugriffsberechtigungen hinzukommen und es kann auch vorkommen, dass Zugriffsberechtigungen wieder entzogen werden!

Das Feld "**RightsWorkflow**" speichert hingegen die Gruppen und Benutzer, die am Workflow zum Vorgang teilgenommen haben. Diese Liste wird immer weiter fortgeführt.

Die Zugriffsberechtigungen werden technisch über das Skript-Objekt "**RightsGACL**" gesteuert. Dieses Objekt wird mit dem DocFile-Objekt als Parameter aufgerufen und enthält folgende Methoden:

- **addWorkflowEntry**(String login/tech ap name)
- **addAccessProfile**(AccessProfile)
- **addSystemUser**(SystemUser, Boolean add agent in case of absence)
- **checkRights**(SystemUser)
- **createGACLString**()
- **readInitialRights**()
- **readRightsFromField**(String fieldName)

Das Objekt hat folgende Eigenschaften:

<table border="1" id="bkmrk-eigenschaft-typ-besc" style="border-collapse: collapse; width: 100%;"><tbody><tr><td style="width: 21.358%;">**Eigenschaft**</td><td style="width: 18.1481%;">**Typ**</td><td style="width: 60.4938%;">**Beschreibung**</td></tr><tr><td style="width: 21.358%;">Error</td><td style="width: 18.1481%;">String</td><td style="width: 60.4938%;">Fehlermeldung</td></tr><tr><td style="width: 21.358%;">Result</td><td style="width: 18.1481%;">Boolean</td><td style="width: 60.4938%;">Ergebnis</td></tr><tr><td style="width: 21.358%;">DocFile</td><td style="width: 18.1481%;">DocFile-Objekt</td><td style="width: 60.4938%;">Aktuelle Mappe</td></tr><tr><td style="width: 21.358%;">DocFileID</td><td style="width: 18.1481%;">DocFile-ID</td><td style="width: 60.4938%;">Aktuelle Mappen-ID</td></tr><tr><td style="width: 21.358%;">Log</td><td style="width: 18.1481%;">String</td><td style="width: 60.4938%;">Logging-Informationen</td></tr><tr><td style="width: 21.358%;">RightsInitial</td><td style="width: 18.1481%;">Objekt</td><td style="width: 60.4938%;">Objekt mit den initialen Berechtigungen</td></tr><tr><td style="width: 21.358%;">RightsInitialStr</td><td style="width: 18.1481%;">String</td><td style="width: 60.4938%;">GACL-String mit den initialen Berechtigungen</td></tr><tr><td style="width: 21.358%;">RightsWF</td><td style="width: 18.1481%;">Objekt</td><td style="width: 60.4938%;">Objekt mit den Workflow-Berechtigungen</td></tr><tr><td style="width: 21.358%;">RightsWFStr</td><td style="width: 18.1481%;">String</td><td style="width: 60.4938%;">GACL-String mit den Workflow-Berechtigungen</td></tr></tbody></table>

Die Methode "**createGACLString**()" liefert den fertigen GACL-String (ohne diesen direkt in das Feld "**Rights**" zu schreiben). Ab Invoice ***V.1.1.200*** enthält diese Funktion 2 optionale UserExit-Funktionen, um das GACL-Ergebnis zu manipulieren. Die Funktionen können bei Bedarf in eine UserExit-Bibliothek hinzugefügt werden.

```JavaScript
/** Die Funktion wird nach dem Erstellen des GACL-Strings ausgeführt.
**/
RightsGACL.prototype.ue_BeforeCreateGACLString = function(){
	;
}

/** Die Funktion wird nach dem Erstellen des GACL-Strings ausgeführt.
 * In dem Beispiel wird ein zusätzliches Feld 'AdditionalRights' mit zusätzlichen Zugriffsberechtigungen ausgewertet.
**/
RightsGACL.prototype.ue_AfterCreateGACLString = function(){
    if( this.DocFile.hasField("AdditionalRights") ){
        this.Log += "[INFO]["+this.DocFileID+"] has field 'AdditionalRights'" + this.LineBreak;

        var userObj = {};
        var gaclArr = this.GACL.split("\r\n");
        for( var i=0; i<gaclArr.length; i++ ){
            var su = context.findSystemUser(gaclArr[i]);
            if( su instanceof SystemUser ){
                userObj[su.login] = su.login;
            }
        }

        var userArr = this.DocFile.AdditionalRights.split("\r\n");
        for( var j=0; j<userArr.length; j++ ){
            var su2 = context.findSystemUser(userArr[j]);
            if( su2 instanceof SystemUser ){
                if( userObj[su2.login] ){
                    this.Log += "[INFO]["+this.DocFileID+"]["+j+"] system user("+su2.login+") already has rights" + this.LineBreak;
                }
                else{
                    this.Log  += "[INFO]["+this.DocFileID+"]["+j+"] system user("+su2.login+") add GACL rights" + this.LineBreak;
                    this.GACL += su2.login+"\r\n";
                }
            }
        }
    }
    //util.out(this.Log);
}
```