Die neue Rechteverwaltung (die "Z"-Rollen)

Die neuen "zusätzlichen" Z-Rollen werden eingeführt, damit sich die bestehenden Berechtigungen nicht überraschend ändern. Zunächst sollten diese automatisch angelegten Rollen keine spürbare Konsequenz haben. Alle können wie gewohnt weiterarbeiten.

Sollten Sie nach dem Release eine Veränderung an den Zugriffsrechten feststellen, wenden Sie sich bitte an den SESAM-Support!

Der Buchstabe "Z" sorgt dafür, dass diese automatisch angelegten Rollen am Ende der alphabetisch sortierten Datensatzliste aufgeführt werden. "Z" steht für "zusätzlich" und weist darauf hin, dass diese Rolle nicht von ihnen, sondern vom System angelegt wurde. Sie können diese Rollen später in Ihr bisheriges Rollen-Konzept integrieren. Wie das geht, erfahren Sie weiter unten.

 

Für die meisten (kleineren) SESAM-Mandanten (mit wenigen Redakteuren) sind Z-Rollen ohne Bedeutung. Sie können diese Rollen zumindest vorläufig so belassen.

 

Bei großen Auftritten mit vielen Mitwirkenden sollten sich die Webmaster/innen nach dem Release gelegentlich etwas Zeit nehmen, die automatisch angelegten "Z-Rollen" umzubenennen oder durch eigene, besser definierte Rollen abzulösen. Dazu kann es hilfreich sein, das "Matrixkonzept" mit seinen Möglichkeiten genauer zu verstehen.

Z-Rollen ermöglichen den Zugriff auf alle Bereiche eines Menüpunktes und sind damit eigentlich "B-Rollen mit Vollzugriff". Anders gesagt: Eine Z-Rolle gewährt den Vollzugriff auf die Bereiche genau eines Menüpunktes, z.B. auf alle Medienarchiv-Ordner oder auf alle Nachrichten-Kategorien oder auf alle Header ...

Die Rollen des bisherigen Rollenkonzeptes waren - technisch gesehen - eine Kombination aus "M-Recht" und "B-Recht-mit-Vollzugriff".

Beispiel: Wurde jemand für die Seitenpflege berechtigt (also: M-Recht), konnte diese Person sofort alle Seiten sehen und pflegen (also: B-Recht-mit-Vollzugriff). Technisch gesehen wurden also zwei Rechte vergeben: Seitenpflege und Vollzugriff auf alle Seiten.
Wollte man diesen Vollzugriff auf alle Bereiche nicht, musste man danach für die gewünschte Rolle (z.B. Kirchenchor) den Vollzugriff deaktivieren und für die Seite dieses Bereichs (also: Kirchenchor-Seite) den Zugriff wieder aktivieren. Das war möglich, aber umständlich und intransparent.

 

Diese Kombination aus M-Recht und B-Recht-mit-Vollzugriff war in den Anfangsjahren von SESAM ideal und intuitiv, v.a. für kleine Auftritte mit wenigen Mitwirkenden. Der Aufwand zur Rechtepflege war überschaubar und schnell umgesetzt: Wer Zugriff auf einen Menüpunkt bekam, erhielt zugleich Zugriff auf alle Datensätze - eine Doppelberechtigung.

 

Mit der zunehmenden Verbreitung von SESAM und den immer anspruchsvolleren Webauftritten mit vielen Mitwirkenden wurde diese automatische "Doppelberechtigung" (die man ggf. wieder einschränken musste) mehr und mehr zum Problem.

Dieses Problem war auch schon mit der bisherigen Rechteverwaltung mit einem Kniff lösbar: Man legte getrennte M-Rollen und B-Rollen an und wies allen Usern mindestens zwei Rollen zu. Das erlaubte mehr Transparenz bei großen Auftritten, war aber nicht einfach umsetzbar, weil man es konsequent für alle Bereiche und Menüpunkte anwenden musste. Dennoch arbeiten mehrere große Seelsorgeeinheiten und auch der Auftritt des Erzbistums seit Jahren erfolgreich mit dieser Lösung. Sie wurde auch auf den Regionalen Medientagen immer wieder gezeigt. 

 

Wegen der guten Erfahrungen und der Annahme, dass die meisten SESAM-Auftritte zukünftig wohl komplexer werden, hat sich das Entwicklungsteam entschieden, dieses Prinzip nun auch systemisch umzusetzen: Wir unterscheiden schon in der Rolle zwischen M- und B-Rechten. Man kann - wie bisher - beide Rechte aktivieren und "einfache" Rollen definieren oder die o.g. Lösung mit zwei getrennten Rechte-Typen in zwei verschiedenen Rollen abbilden. Das schafft mehr Übersicht und hilft auch bei der Fehlersuche.     

 

Die Neufassung der Rechteverwaltung bietet nun also keine "automatische" Doppelberechtigung mehr. Menüpunkte und Bereiche müssen jeweils eigens freigegeben werden. Aus den bisherigen "Doppelberechtigungen" aus "M-Recht" und "B-Vollzugriffs-Recht" sind nun reine "M-Recht"-Rollen geworden.

 

Damit die bisher automatisch vergebenen B-Vollzugriff-Rechte auch in der neuen Rechteverwaltung erhalten bleiben, fügt das System beim Release überall dort eine Z-Rolle ein, wo es - nach der neuen Rechteverwaltung -  eine B-Rolle mit Vollzugriff bräuchte, um die bisherige Rechtekonstruktion zu erhalten.

Auf jeden Fall lohnt sich (gelegentlich) ein genauerer Blick auf die automatisch erstellten Z-Rollen. Erfüllen diese Rollen ihren Zweck, weil die Mitwirkenden tatsächlich alle Bereiche des jeweiligen Menüs sehen sollen, können Sie die Z-Rolle einfach in eine B-Rolle umbenennen. 

 

Oder Sie integrieren dieses B-Recht in eine andere, bereits bestehende Rolle. (Und könnten nach erfolgreichem Test diese Z-Rolle auch wieder löschen.)

 

Oder Sie erstellen eine neue, besser definierte B-Rolle. (Falls dann niemand mehr diese Z-Rolle braucht, kann man sie auch wieder löschen.)

 

Wichtig: Es besteht kein Zeitdruck! Das bestehende Rechtesystem funktioniert weiter wie bisher. Nehmen Sie sich die Zeit, die Sie brauchen. 

 

Um tiefer in die Vorteile der neuen Rechteverwaltung einzutauchen, empfehlen wir den dritten Artikel zur neuen Rechteverwaltung. In ihm erfahren Sie, wie Sie das neue Rollenkonzept optimal nutzen können.