Rechte
Rechte sind Regeln der Systemzugriffskontrolle, nach denen entschieden wird, ob und wie Benutzer oder Applikationen Operationen auf Objekten ausführen dürfen.
In onion.net können Berechtigungen für zwei Arten von Objekten vergeben werden. Einmal können Rechte für Datenobjekte und deren Nachfahren vergeben werden, die das Lesen, Bearbeiten oder Löschen dieser erlaubt. Und es können Rechte für ChangeSets vergeben werden, um diese zu Lesen, Bearbeiten oder zu Publizieren.
Werden im onion.net-System neue Benutzer angelegt, so verfügen sie zunächst nur über die Rechte, die mir ihrer Rolle verbunden sind (siehe Abschnitt 6.2.2.2). Darüber hinaus verfügen Benutzer über keine anderen Rechte. Weitere Rechte kann ein Benutzerverwalter einem Benutzer auch nicht zuweisen. Stattdessen kann er ihn einer Gruppe zuteilen und dieser die entsprechenden Rechte verleihen. Die Rechte dieser Gruppe übertragen sich auf alle ihre Mitglieder. Dies erleichtert die Rechteverwaltung, da insbesondere bei Änderungen der Rechtestruktur nur die Rechte der Gruppe angepasst werden müssen und nicht die Rechte jedes einzelnen Nutzers. Benutzer werden einer oder mehreren Gruppen zugeordnet und erhalten ihre Rechte auf diese Weise indirekt.
Die Zuweisung von Rechten erfolgt objektbasiert. Benutzerverwalter legen Gruppenrechte für konkrete Objekte fest. Bei Datenobjekten wird unterschieden zwischen Objektrechten und Nachfahrenrechten. Objektrechte beziehen sich auf das konkrete Objekt, Nachfahrenrechte auf dessen Nachfahren. Tabelle 3.1 führt alle Rechte auf, die einer Gruppe für ein Datenobjekt verliehen werden können. Tabelle 3.2 führt alle Rechte auf, die einer Gruppe für ein ChangeSet verliehen werden können.
Tabelle 3.1
Symbol | Recht | Beschreibung |
---|---|---|
Objekt lesen | Gruppenmitglieder haben ein Sichtrecht auf das Objekt, d.h. sie dürfen es sehen, aber nicht bearbeiten. | |
Objekt bearbeiten |
Gruppenmitglieder dürfen das Objekt bearbeiten, d.h. sie dürfen es ausleihen, speichern etc. |
|
Objekt löschen | Gruppenmitglieder dürfen das Objekt löschen. | |
Nachfahren erstellen | Gruppenmitglieder dürfen Nachfahren dieses Objekts anlegen. | |
Nachfahren lesen |
Gruppenmitglieder haben ein Sichtrecht auf Nachfahren dieses Objekts. | |
Nachfahren bearbeiten | Gruppenmitglieder dürfen Nachfahren dieses Objekts bearbeiten. | |
Nachfahren löschen | Gruppenmitglieder dürfen Nachfahren dieses Objekts löschen. | |
Nachfahren auflisten |
Gruppenmitglieder dürfen Nachfahren dieses Objekts auflisten. Dabei handelt es sich um ein spezielles Sichtrecht. Gruppenmitglieder dürfen nur die Kinder eines Objekts sehen, für die sie explizit das Recht »Objekt lesen« haben. Alle anderen Kindobjekte sind nicht zu sehen. |
Tabelle 3.2
Symbol | Recht | Beschreibung |
---|---|---|
ChangeSet lesen | Gruppenmitglieder haben ein Sichtrecht auf das ChangeSet, d.h. sie dürfen es sehen und betreten, aber nicht bearbeiten. | |
ChangeSet bearbeiten | Gruppenmitglieder dürfen das ChangeSet bearbeiten, d.h. sie dürfen die Meta-Informationen bearbeiten. | |
ChangeSet publizieren | Gruppenmitglieder dürfen das ChangeSet publizieren oder verwerfen. |
Welche Rechte eine Gruppe auf welche Objekte besitzt, wird im Objektdetailfenster übersichtlich dargestellt. Jede Zeile zeigt die Rechte für ein Objekt, dessen Icon und Pfad in der ersten Spalte zu sehen ist. Für jedes Recht kann der Benutzerverwalter einen von drei Zuständen angeben (siehe Tabelle 4), indem er so lange in die Tabellenzelle klickt, bis das gewünschte Symbol erscheint.
Tabelle 4
Symbol | Zustand | Beschreibung |
---|---|---|
Recht strukturell erben |
Rechte werden standardmäßig vererbt. Wenn beispielsweise für ein Objekt angegeben ist, dass Gruppenmitglieder seine Kinder lesen dürfen, dann vererbt sich dieses Recht auch auf die Kinder; Gruppenmitglieder dürfen somit auch die Kinder der Kinder lesen und so weiter. Aus diesem Grund spricht man von Nachfahrenrechten, nicht nur von Kindrechten. Vererbte Rechte können überschrieben werden, indem einem Objekt ein Recht explizit vergeben oder entzogen wird. |
|
Recht vergeben |
Die Gruppe erhält explizit das entsprechende Recht. | |
Recht entziehen |
Die Gruppe erhält explizit das entsprechende Recht nicht. |