Rechtematrix
Einführung
In den folgenden Abschnitten werden einzelne Berechtigungen für die API mit ihren entsprechenden Bedingungen erklärt. Hierbei handelt es sich um Berechtigungen, welche häufig in anderen Berechtigungen wiederverwendet werden und deshalb hier zentral aufgeführt werden.
Berechtigungsstufen
Gruppenadmin
Gruppenadmins sind primär dazu da, die Benutzer innerhalb einer Gruppe zu verwalten. Sie können Benutzer beliebig hinzufügen und entfernen für alle Gruppen, in denen sie als Gruppenadmin eingetragen sind.
Sie können auch neue Benutzer anlegen, welche dann der Gruppe zugewiesen werden.
Um ein Gruppenadmin für eine Gruppe zu sein, muss man auch dieser zugewiesen werden.
Gruppenadmins können bestimmte Globale Berechtigungen der Benutzer innerhalb ihrer Gruppe ändern, sofern sie in den Mandanteneinstellungen hierzu freigeschaltet sind.
Admin
Die Admin-Berechtigung bzw. das Verwaltungsrecht besitzt ein Benutzer, wenn er explizit mit dem globalen Recht „Verwaltung“ versehen wurde. Superadmins und der Lantech-Benutzer besitzen implizit die Admin-Berechtigung.
Superadmin
Die Superadmin-Berechtigung wird für den Benutzer explizit beim Mandanten mit dem Superadmin-Flag markiert.
In Abhängigkeit von der Einstellung im Mandanten kann bestimmt werden, ob nur Superadmins folgende drei Aktionen ausführen können, oder auch gewöhnliche Admins:
Rechte eines Benutzers nachträglich bearbeiten Ordnerberechtigungen für Benutzer erteilen Programmeinstellungen bzw. Mandanteneinstellungen anpassen Der Superadmin besitzt auch implizit die Admin-Berechtigung.
LANTECH
Der LANTECH-Benutzer ist ein besonderes Konto für LANTECH Mitarbeiter, zur erstmaligen Einrichtung der DocSecBox sowie zur Fernwartung.
Die wichtigsten Aktionen, welche nur der LANTECH-Benutzer ausführen kann sind:
- Passwort Richtlinien festlegen
- Einsehen von Anmelde- und Abmeldeaktionen
- Einsehen von Benutzeränderungen
- Einsehen von Fehlermeldungen
Der LANTECH-Benutzer besitzt implizit die Superadmin-Berechtigung und somit auch die Admin-Berechtigung.
Anwendungskonfiguration
Hier werden die Berechtigungen aufgeführt für die Konfiguration der Anwendungseinstellungen, welche für alle Mandanten vorgegeben sind.
Konfiguration der Anwendung
Das Auslesen und Bearbeiten der kompletten Anwendungskonfiguration ist nur für den Lantech-Benutzer möglich. Eine eingeschränkte Auswahl der Konfiguration ist öffentlich abrufbar, siehe Lesen von öffentlicher Anwendungskonfiguration.
Lesen von öffentlicher Anwendungskonfiguration
Manche Informationen aus der Anwendungskonfiguration sind öffentlich zugängig.
Hierzu zählen folgende Informationen:
- URL der Anwendung
- Bezeichnung der Anwendung
- Eigentümer der Anwendung (Auf der Login-Seite bei „Lizenziert für“)
- Mindestanforderungen an ein Passwort:
- Minimale Länge
- Minimale Anzahl an Kleinbuchstaben
- Minimale Anzahl an Großbuchstaben
- Minimale Anzahl an Zahlen
- Minimale Anzahl an Sonderzeichen
Rechte-Matrix
Bei der hier dargestellten Rechte-Matrix wird bereits vorausgesetzt, dass die aufgelisteten Benutzer dem gegebenen Mandanten zugewiesen sind.
Zugriffe auf die verschiedenen Objekte eines anderen Mandanten (z.B. Benutzer, Ordner oder Dateien) sind nicht möglich.
Fußnoten
| Abkürzung | Erklärung |
|---|---|
| (1) | Benutzer muss einer Gruppe zugewiesen sein, welche dem zugehörigen Ordner zugeordnet ist |
| (2) | Benutzer muss das Lese-Recht besitzen |
| (3) | Entweder möglich aufgrund der Zuordnung, wie ein normaler Benutzer (1) oder mit entsprechenden Parametern für Admins möglich |
| (4) | Benutzer muss das Hochladen-Recht besitzen |
| (5) | Benutzer hat das Recht eigene Dateien zu bearbeiten |
| (6) | Benutzer hat das Recht fremde Dateien zu bearbeiten |
| (7) | Benutzer muss das Herunterladen-Recht besitzen |
| (8) | In den Mandanteneinstellungen muss das Recht "Ordnerberechtigungen für Benutzer erteilen" für Admins erlaubt sein |
| (9) | Benutzer hat die Datei hochgeladen |
| (10) | Benutzer muss das Historie-Recht besitzen |
| (11) | Benutzer muss das Benachrichtigen-Recht besitzen |
| (A) | Admin kann sich jeder Gruppe und jedem Ordner zuweisen und die Rechte beliebig festsetzen |
| (G) | Gruppenadmin kann dieses Objekt bearbeiten, sofern für die Gruppenadmins die Bearbeitung in den Mandanteneinstellungen freigeschalten ist |
| Recht/Berechtigung | Öffentlich | Benutzer | Gruppenadmin | Admin | Superadmin |
|---|---|---|---|---|---|
| Gruppe bearbeiten | ✘ | ✘ | ✘ | ✔ | ✔ |
| Zuweisung Benutzer | ✘ | ✘ | ✔ | ✔ | ✔ |
| Gruppe löschen | ✘ | ✘ | ✘ | ✔ | ✔ |
| Gruppen für einen Benutzer abfragen | ✘ | (✔ selbst) | (✔ zugewiesene) | ✔ | ✔ |
| Gruppen eines Ordners abfragen | ✘ | ✘ | ✘ | ✔ | ✔ |
| Logs | |||||
| Systemlogs auslesen | ✘ | ✘ | ✘ | ✘ | ✘ |
| Systemlogs löschen | ✘ | ✘ | ✘ | ✘ | ✘ |
| Benutzeränderungslogs auslesen | ✘ | ✘ | ✘ | ✘ | ✘ |
| Dateilogs/-historie auslesen | ✘ | (9) oder (1+10) | (9) oder (1+10) | ✔ | ✔ |
| Löschlogs von Dateien | ✘ | ✘ | ✘ | ✔ | ✔ |
| Loginlogs auslesen | ✘ | (✔ eigene) | (✔ eigene) | ✘ | ✘ |
| Maillogs auslesen | ✘ | ✘ | ✘ | ✔ | ✔ |
| Nicht versendete Mail / Mail-Error-Logs | ✘ | ✘ | ✘ | ✔ | ✔ |
| Benachrichtigungen nach dem Hochladen | |||||
| Benachrichtigungen für einen Benutzer auslesen | ✘ | ✘ | ✘ | ✔ | ✔ |
| Benachrichtigungen für einen Ordner auslesen | ✘ | ✘ | ✘ | ✔ | ✔ |
| Benachrichtigung erstellen/bearbeiten | ✘ | ✘ | ✘ | ✔ | ✔ |
| Benachrichtigung löschen | ✘ | ✘ | ✘ | ✔ | ✔ |
| Benachrichtigung versenden | ✘ | (1+11) | (1+11) | (A) | (A) |
| Mailvorlagen | |||||
| Hauptvorlage abrufen | ✘ | (1+11) | (1+11) | ✔ | ✔ |
| Hauptvorlage bearbeiten | ✘ | ✘ | ✘ | ✔ | ✔ |
| Vorlage für Ordner abrufen | ✘ | (1+11) | (1+11) | ✔ | ✔ |
| Vorlage für Ordner erstellen/bearbeiten | ✘ | (1+11) | (1+11) | ✔ | ✔ |
| Vorlage für Ordner löschen | ✘ | (11) | (11) | ✔ | ✔ |