Zugriffsrechte - Konzept und Überblick

Warum gibt es Rechte?

In einem elektronischen Archiv sind Dokumente für die Benutzer unternehmensweit leichter und schneller zugänglich als in einem Papierarchiv. Umso wichtiger ist es festzulegen, wer Zugriff auf welche Dokumente haben soll. Dies geschieht in PROXESS über Benutzerrechte auf Datenbanken, Dokumenttypen und Einzeldokumente. Benutzer können nicht nur an einzelne Benutzer, sondern auch an Gruppen vergeben werden. Dies spart in Systemen mit mehreren hundert Benutzern wertvolle Arbeitszeit.

Muss und Kann

In jedem Fall müssen Sie Rechte vergeben, da das System standardmäßig neuen Benutzer und Gruppen keine Rechte erteilt. Das System bietet zur Rechtevergabe zahlreiche Differenzierungsmöglichkeiten. Ob und wie weit Sie davon Gebrauch machen, hängt von der Anzahl der PROXESS-Benutzer und von der Dokument- und Aufgabenstruktur in Ihrem Unternehmen ab.

Ebenen der Rechteverwaltung

Ebene 1: Datenbankrechte

PROXESS unterstützt die Einrichtung und Verwaltung unterschiedlicher Archivdatenbanken. So können Sie große Bereiche wie Auftragswesen oder Lohn und Gehalt komplett voneinander trennen. Damit Benutzer und Gruppen überhaupt mit diesen Archivdatenbanken arbeiten können, benötigen sie zunächst ein Zugriffsrecht auf die entsprechende Datenbank.

Ebene 2: Dokumenttyprechte

Innerhalb einer Archivdatenbank können Sie über die Dokumenttyprechte die Zugriffsmöglichkeiten der Benutzer steuern. Dabei werden folgende Aktionsrechte unterschieden: Ansehen, Anlegen, Bearbeiten, Löschen sowie das Recht "Dokumente verrechten" und Dokumenttyprechte vergeben. Diese Aktionen können Sie im Prinzip beliebig kombinieren, wobei das Recht zum Ansehen natürlich die notwendige Basis für die anderen Aktionsrechte bildet.

Ebene 3: Einzeldokumentrechte

Auch für ein einzelnes Dokument können Rechte in den vier Aktionskategorien "Ansehen", "Anlegen", "Bearbeiten" und "Löschen" vergeben werden. Dies hat den Sinn, dass Benutzer im Einzelfall selbst entscheiden können, ob andere Benutzer Zugriff auf ein einzelnes Dokument erhalten sollen. Dieses Recht trägt der Entscheidungskompetenz der Mitarbeiter im Unternehmen Rechnung und erleichtert somit Arbeitsabläufe, ohne dass ein Eingriff des Supervisors oder des Bereichsadministrators notwendig wird. Es gilt nur für einzelne Dokumente, ersetzt also nicht die vom Supervisor vorgesehene Rechtestruktur, sondern erweitert diese lediglich. Die Erteilung von Rechten auf Einzeldokumente nimmt der Benutzer im PROXESS Standard Client selbst vor.

Beispiel

Sie erteilen Benutzer A das Zugriffsrecht für die Datenbank "Auftrag". In dieser Datenbank geben Sie ihm das Recht auf die Dokumenttypen Angebot, Auftrag, Kaufvertrag, Kundenrechnung und Reklamation.

Angebote darf der Benutzer nicht nur ansehen, sondern selber anlegen, bearbeiten und auch wieder löschen.

Aufträge darf der Benutzer ansehen, anlegen und bearbeiten, aber nicht löschen.

Kaufverträge darf der Benutzer nur ansehen und anlegen.

Kundenrechnungen und Reklamationen darf der Benutzer nur ansehen.

Benutzer B bekommt für Kundenrechnungen das Recht, selbst Rechte zuzuweisen. Um Benutzer A in einem bestimmten Vorgang die Bearbeitung der Rechnung 4711 zu ermöglichen, gibt er ihm das "Bearbeiten-Recht" für diese Rechnung.

Benutzer A kann also alle Kundenrechnungen sehen, aber nur die Rechnung 4711 bearbeiten.

Rechtszustände und Vorfahrtsregeln

Normalerweise genügt es, in der Rechteverwaltung mit "Recht erteilt" und "Recht nicht erteilt" zu arbeiten. Wenn aber ein Benutzer in verschiedenen Gruppen Mitglied ist, kann es Überschneidungen und Widersprüche geben. Daher können Sie in der Rechteverwaltung zusätzlich mit dem Recht "Verbieten" arbeiten, um schnell und sicher ein Recht auszuschalten, das ein Benutzer über seine Gruppenzugehörigkeit besitzt.

Daher werden grundsätzlich drei Rechtszustände unterschieden und folgendermaßen dargestellt:

Es gibt drei Zustände bei der Rechtevergabe:

Beispiel:

Sie wollen Benutzer X den Zugriff auf die Datenbank "Lohn" entziehen. Dieser Benutzer ist Mitglied in zehn verschiedenen Gruppen.

Wenn Sie nur mit den beiden Rechtszuständen "Recht haben" und "Recht nicht haben" auskommen müssten, wäre folgendes zu tun:

Die Rechte für jede dieser zehn Gruppen kontrollieren. Drei Gruppen haben das Recht auf die Lohndatenbank. Den Benutzer X aus den drei berechtigten Gruppen herausnehmen.

Der zusätzliche Rechtszustand "Verbieten" reduziert diesen Vorgang auf einen Arbeitsschritt:

Sie entziehen dem Benutzer X einfach explizit den Zugriff auf die Datenbank "Lohn". Dadurch sind alle Rechte, die der Benutzer durch seine Gruppenzugehörigkeit hat, automatisch aufgehoben.

Vorfahrtsregeln

Es gelten ein paar einfache Vorfahrtsregeln. Diese Regeln sind nach Stärkegraden abgestuft, d. h. die erste ist stärker als die zweite und die zweite stärker als die dritte:

• Benutzerrecht geht vor Gruppenrecht

• Verbot geht vor "Recht haben"

• "Recht haben" geht vor "Recht nicht haben"

Mögliche Rechtekonstellationen lassen sich durch eine Kombinationstabelle darstellen. Wenn Sie nicht ganz sicher sind, welche Auswirkungen Ihre Festlegungen haben, kann es hilfreich sein, zuerst eine solche Übersicht anzulegen, bevor Sie Rechte in PROXESS Administrator vergeben.

Die folgende Tabelle zeigt die Kombinationsmöglichkeiten für einen Benutzer X, der in zwei Gruppen Mitglied ist. Je nachdem, wie viele Benutzergruppen es gibt, vervielfältigen sich natürlich die Möglichkeiten. Die rechte Spalte zeigt das jeweilige Ergebnis für Benutzer X, das sich durch die Vorfahrtsregeln ergibt.