Berechtigungskonzept

Überblick

Das Berechtigungskonzept beschreibt, aus welchen Teilen sich der Zugriff in niotix zusammensetzt – im Kern: was jemand darf, wo das gilt und wie die Rechte praktisch vergeben werden.

Berechtigungen legen fest, welche Aktionen auf welche Objekttypen erlaubt sind (etwa Digitale Zwillinge nur lesen oder vollständig verwalten). Zugriffsbereiche bestimmen, für welches Konto und welche dazugehörigen Daten diese Rechte gelten – und bei Digitalen Zwillingen, in welchem Objektkontext Virtuelle Geräte und Daten stehen. Rollen fassen mehrere Berechtigungen zu einem Paket zusammen; beim Benutzer werden Rollen je Zugriffsbereich eingetragen, damit nicht jede einzelne Berechtigung neu gesetzt werden muss.

Eine Funktion in der Oberfläche oder über die API ist erst dann möglich, wenn beides zutrifft: Die Rolle enthält die passende Berechtigung für die Aktion, und der Zugriffsbereich deckt den betroffenen Datenbestand ab. Gemeint ist: Es gibt keinen von Rolle und Zugriffsbereich getrennten „Hauptschalter“ – beide müssen zur jeweiligen Aufgabe passen.

Sehr weit gefasste Berechtigungen wie all.manage bündeln viele Funktionen und sind für Systemadministratoren gedacht; sie ersetzen nicht die sorgfältige Auswahl spezifischer Rechte. Grundsatz: Es werden nur so viele Berechtigungen vergeben, wie für die Rolle wirklich nötig – über Rollen lieber mehrere passende Profile als pauschal maximaler Zugriff.

Schritt-für-Schritt-Anleitungen zu Modulen, Rollen-Editor und Standard-Rollen finden sich unter Berechtigungen. Das Datenmodell inkl. Beziehungen ist unter Datenmodell & Definitionen dargestellt.

Berechtigungen

Eine Berechtigung beschreibt immer zwei Dinge: worauf sie sich bezieht – einen Objekttyp in der Plattform, etwa Digitaler Zwilling, Virtuelles Gerät oder Benutzerverwaltung – und was damit erlaubt ist, also die Aktion (Lesen, Anlegen, Bearbeiten, Verwalten und ähnlich). In der technischen Bezeichnung stehen die Aktionen oft als englische Kurzformen wie read, write oder manage; je nach Objekttyp gibt es zusätzliche oder abweichende Aktionen.

Wichtig für das Verständnis:

  • Nicht jede Berechtigung entspricht einem Menüpunkt. Manche steuern nur Hintergrundfunktionen oder den Zugriff für andere Module (z. B. Listen ohne volle Detailansicht).
  • Kombinationen zählen. Ob eine Ansicht oder Aktion möglich ist, ergibt sich oft aus mehreren Berechtigungen gleichzeitig (z. B. Leseberechtigungen auf verschiedenen Ebenen).

Zugriffsbereiche

Ein Zugriffsbereich begrenzt, wo eine Berechtigung wirkt. Ohne passenden Bereich gilt selbst eine vorhandene Berechtigung nicht für die gewünschten Daten.

Aus Sicht der Organisation sind zwei Varianten relevant (siehe auch das Diagramm unter Datenmodell & Definitionen):

  • Zugriffsbereich im Kontext Benutzer / Konto: Legt fest, auf welche Konten (Haupt- und Unterkonten) und zugehörige Strukturen ein Benutzer zugreifen darf. Typischerweise „vererben“ übergeordnete Konten Sicht und Verwaltung in die Tiefe – wer ein übergeordnetes Konto verwalten darf, kann dort häufig auch die zugehörigen Unterkonten mit abdecken; umgekehrt gilt das nicht automatisch.
  • Zugriffsbereich im Kontext Digitaler Zwilling: Sicherheitskontext für Digitale Zwillinge und die ihnen zugeordneten Virtuellen Geräte. Unterzweige können einen eigenen Bereich erhalten oder – je nach Anlage – unter dem Bereich eines übergeordneten Zwillings mit abgedeckt werden.

Kurz: Berechtigungen beschreiben das „was“ (welche Aktion auf welchen Objekttyp), Zugriffsbereiche das „wo“ (welcher Mandanten- bzw. Objektkontext).

Rollen

Eine Rolle ist eine benannte Sammlung von Berechtigungen – vergleichbar mit einer Vorlage (z. B. nur Lesen, oder Verwaltung der Integrationen). Rollen werden pro Konto gepflegt: Eine Rolle ist für das Konto sichtbar und nutzbar, für das sie angelegt wurde, nicht global für die gesamte Installation.

Benutzern und API-Schlüsseln werden Rollen je Zugriffsbereich zugewiesen. Derselbe Benutzer kann in einem Bereich andere Rollen haben als in einem anderen (z. B. volle Rechte im Hauptkonto, eingeschränkt in einem Unterkonto).

Standardrollen legen fest, welche Rollen neue Benutzer für einen gewählten Bereich erhalten, wenn beim Anlegen keine abweichende Auswahl getroffen wird – das reduziert Pflegeaufwand und sorgt für einheitliche Startrechte.

Zusammenspiel

Wie im Überblick beschrieben: Rollen liefern die gebündelten Berechtigungen; die Zuweisung zu einem Benutzer oder API-Schlüssel erfolgt pro Zugriffsbereich. Oberfläche und API prüfen bei jeder Aktion, ob im passenden Bereich die nötige Berechtigung vorliegt.

Technisch wird das im System als attributbasierte Zugriffskontrolle umgesetzt (Abgleich von Objekttyp, Aktion und Bereich). Für die Anwendung reicht die Einordnung: Berechtigung + gültiger Zugriffsbereich + Zuweisung über Rollen.

Konfiguration in der Oberfläche

  • EinstellungenBerechtigungen: Module, Rollen-Editor, Standard-Rollen-Wizard – Details und Listen der systemweit vorhandenen Berechtigungen: Berechtigungen.
  • EinstellungenKonten: Benutzer anlegen oder bearbeiten, Zugriffsbereiche und Rollen pro Benutzer setzen.

Verwandte Seiten