Die neue Rechteverwaltung (das Matrix-Konzept)

Release 2024-3 - Teil 3/3

In der überarbeiteten Rollenverwaltung wird zwischen M-Rechten (Zugriffsrechte auf Menüpunkte) und B-Rechten (Zugriffsrechte auf Bereiche) unterschieden. Lesen Sie hier, wie Sie mit dieser Option ein "Matrix-Rollenkonzept" umsetzen, mit dem sich die Zugriffsrechte von vielen Redakteurinnen und Redakteuren effizient und übersichtlich verwalten lassen.

Die Herausforderung: Viele Personen, viele Rollen, vielfältige Rechte

Mit zahlreichen Mitwirkenden im Backend kommt das "einfache Rollenkonzept" bald an Grenzen. In jeder Rolle werden sowohl Menüpunkte ("M-Rechte") als auch Themen-Bereiche ("B-Rechte") freigeschaltet. Solange der oder die Webmaster/in die Rechtevergabe konsistent durchführt, gibt es wenig Probleme. 
Sobald jedoch zahlreiche Personen mit mehreren Rollen unterwegs sind, wird die Fehlersuche bei den Berechtigungen schnell undurchsichtig: Weshalb hat diese Person jetzt dieses Recht? Wieso sieht sie diese Kategorie oder diesen Ordner?
Zu Beginn der Rollenverwaltung scheint oft alles klar und logisch. Doch wenn nach einem Jahr eine neue Person Rechte erhalten soll, kann die Entscheidung schwer fallen: Welche Rolle(n) müsste man denn zuweisen?
 
Wer schon einmal auf solche Fragen gestoßen ist, wird das "Matrix-Rollenkonzept" schätzen lernen. Es schafft Transparenz bei den Berechtigungen der Personen und hilft, die Fehlersuche bei den Rollen einzugrenzen.
 
Um Mißverständnisse zu vermeiden: Wer mit der jetzigen Rechtestruktur zufrieden ist, kann wie bisher in einer Rolle alle nötigen Zugriffsrechte vergeben. Kleinere Auftritte mit nur wenigen Redakteurinnen und Redakteuren sind gut beraten, M- und B-Rechte in einer Rolle zu bündeln.

Das "Matrix-Rollenkonzept"

Bei vielen Mitwirkenden, die sehr unterschiedliche Zugriffsberechtigungen benötigen, spielt dieses "neue" Konzept seine Stärken aus. Es ist übrigens gar nicht neu. Es war schon in der bisherigen Rollenverwaltung möglich und wird von etlichen Seelsorgeeinheiten und auch von der Bistumsseite www.ebfr.de seit Jahren erfolgreich eingesetzt.
Die neue Rollenverwaltung macht lediglich sichtbarer, was auch bisher schon implizit möglich war: die Rechte für Menüpunkte und die Rechte für Bereiche zu trennen - und auf verschiedene Rollen zu verteilen. Darin liegt die Pointe des "Matrix-Konzeptes".
 
So gehen Sie vor:
  • Der/die Webmaster/in richtet für jeden Menüpunkt eine eigene Rolle, eben eine "M-Rolle" ein.
    Beispiel: Die Rolle "Nachrichten erstellen". Im Reiter "Allgemein" wird nur das Zugriffsrecht "Menüpunkt" gewählt und dann die Haken bei Nachrichten und Nachrichten-Einträge gesetzt.
    Wer diese Rolle zugewiesen bekommt, sieht im eigenen Zugang die Backend-Menüpunkte Nachrichten und Nachrichten-Einträge, sonst nichts. Auch keine Nachrichten. Denn dazu braucht es eine zweite Rolle.
  • Der/die Webmaster/in richtet für jeden thematischen Bereich (oder für jede Unterabteilung) eine eigene Rolle, eben eine "B-Rolle" ein.
    Beispiel: Die Rolle "Kirchenchor". Im Reiter "Allgemein" wird nur das Zugriffsrecht "Bereich" gewählt. Es erscheinen die Subregisterreiter zu allen Menüpunkten. Nun kommt der entscheidende Schritt: Bei allen Menüpunkten, in denen "Kirchenchor" (als Unterseite, als Medienordner oder als Kategorie) vorkommt, muss dieser Bereich im jeweiligen Subregisterreiter angehakt werden.
    Wer eine solche Rolle zugewiesen bekommt, sieht im eigenen Zugang nur dann etwas, wenn auch die zugehörige M-Rolle (s.o.) vergeben wurde.
  • Wer also die M-Rolle "Nachrichten erstellen" und die B-Rolle "Kirchenchor" erhalten hat, kann genau dies: Nachrichten für den Kirchenchor einstellen. Und sonst nichts.
So entsteht eine "Matrix" von M-Rollen (x-Achse) und B-Rollen (y-Achse), mit der für jede Person individuelle Rechte zuteilbar sind: alle benötigten M-Rechte und alle benötigten B-Rechte.
Die beiden Grafiken zeigen ein einfaches Beispiel. Zunächst erhält die Person die M-Rolle Nachrichten erstellen, dazu die B-Rolle Kirchenchor (oben). Danach wird der gleichen Person zusätzlich die B-Rolle Ministranten vergeben (unten). So könnte man die Rechte schrittweise erweitern, auch mit weiteren M-Rollen, wie z.B. Seitenpflege. 
Durch die M-Rolle "Nachrichten erstellen" und die B-Rolle "Kirchenchor" erhält eine Person die Möglichkeit, Nachrichten für den Kirchenchor einzustellen
Die zusätzliche Rolle "Ministranten" ermöglicht der gleichen Person, jetzt nicht nur Nachrichten für den Kirchenchor, sondern auch für die Ministranten einzustellen.
 

Nachteile und Vorteile

Das Konzept muss stringent umgesetzt werden:
  • Jeder Redakteurin bzw. jedem Redakteur müssen mindestens zwei Rollen (eine M- und eine B-Rolle) zugewiesen werden. 
  • Die B-Rolle eines bestimmten Bereichs muss konsequent über alle Menüpunkte hinweg konfiguriert werden (sofern es im Menüpunkt den entsprechenden Bereich gibt), damit keine überraschenden Berechtigungslücken auftauchen.
  • Es entsteht auf diese Weise eine kleine Reihe von M-Rollen: für jeden Menüpunkt eine. M-Rollen werden möglichst nicht gebündelt.
  • Es entsteht eine unter Umständen lange Liste von B-Rollen, nämlich für jedes Thema und/ oder jeden Arbeitsbereich eine eigene. Themen und Bereiche werden nur dann in B-Rollen gebündelt, wenn es die gleichen Personen sind, die Zugriff auf diese Themen und Bereiche haben sollen.
  • Soll(en) nur eine (oder nur einige wenige) Person(en) Zugriffsrechte auf bestimmte Bereiche haben, braucht es eine weitere B-Rolle für genau diesen Bereich. 
Die Vorteile machen sich rasch bemerkbar:
  • Die tatsächlichen Rechte jeder Person sind transparent, wenn die Rechte idealerweise auch "sprechend" bezeichnet werden, z.B. "B - Kirchenchor" und "M - Nachrichten erstellen".
  • Auch bei vielfachen Rollenzuweisungen bleibt die tatsächliche Berechtigung transparent: Es gibt dann eben ggf. mehrere M- und mehrere B-Rollen.
  • Das Ändern, Erweitern oder Streichen von Zugriffsberechtigungen ist leicht durchführbar: Man sieht sofort, welche Rechte jede Person hat.
  • Man kann die Rechte für jede Person individuell skalieren: Wer für viele thematische Bereiche zuständig ist, erhält viele B-Rollen. Wer viele SESAM-Funktionen nutzen soll, erhält Zugriff auf viele Menüpunkte, also mehrere M-Rollen.
So lassen sich die Berechtigungen an die örtlichen Notwendigkeiten, die technische Kompetenz der User und an deren Zuständigkeiten ganz individuell anpassen.
 
Test-Tipp: Sollte einmal etwas wirklich nicht zu stimmen, lassen sich alle Rollen einzeln testen. Man legt dazu im Personenmodul einen "Dummy" an und weist diesem nur eine einzige Rolle zu. Dann mit der Simulation den Dummy testen: Werden die gewünschten Menüpunkte und Rollen angezeigt?
Falls nicht, die getestete Rolle so lange korrigieren, bis alles stimmt.
Falls die Rolle passt, nach und nach weitere Rollen einzeln testen oder hinzufügen, bis der vermutete Fehler auftaucht.

Wie behalten Sie die Übersicht?

Registerreiter "Zugriffsrechte auf Bereiche" einer B-Rolle

Pro Menüpunkt und Bereich finden Sie in der Registerkarte "Zugriffsrechte für Bereiche" eine Subregisterkarte. Das geschlossene oder geöffnete Schloss-Symbol visualisiert, ob für einen Bereich bereits Rechte vergeben wurden oder nicht.

Registerreiter Gesamt-"Übersicht aller Zugriffsrechte" einer Rolle

In dieser Registerkarte sehen Sie in einer Maske alle Bereiche, auf welche die ausgewählte Rolle Zugriff hat.

Statusinfo-Box einer Person im Personen-Modul

In der Statusinfo-Box einer Person im Personen-Modul finden Sie rechts den Abschnitt "EDITH-Benutzer: [Name der Person] zur Übersicht der Zugriffsrechte". Per Klick auf diesen Link sehen Sie dort alle Zugriffsrechte dieser Person in einer Übersicht.
zurück