Rechte und Rollen (Konfiguration im SiteArchitect)
| Inhaltsverzeichnis |
Über Redaktionsrechte werden Aktionen abgedeckt, die von einzelnen Nutzern oder Gruppen / Rollen innerhalb des CXT-Umfelds ausgeführt werden dürfen, bspw. das Anlegen von Fragmenten und Varianten.
Voraussetzung für die Definition von Rechten im Projekt ist die zuvor erfolgte Konfiguration für:
- den Zugriff eines Benutzers auf Server- und Projektebene (siehe Benutzer und Rollen (Administration)) und
- ggf. die Definition von projektspezifischen Gruppen
(zur einfachen Vergabe von Redaktionsrechten und Rechten zur Ausführung von Arbeitsabläufen).
Dieses Kapitel beschreibt die Konfiguration für den Zugriff eines Benutzers
- auf Objekte (Redaktionsrechte im Projekt)
- auf Aktionen (Rechte zum Schalten von Arbeitsabläufen, Erteilen von Freigaben,...)
 |
Die Berechtigung zum Lesen, Erstellen, Ändern und Löschen von Inhalten in FirstSpirit CXT („Redaktionsrechte“) und die Berechtigung zum Starten und Schalten von Arbeitsabläufen können ausschließlich über die Rechteverwaltung im FirstSpirit SiteArchitect konfiguriert werden (bzw. über die entsprechenden FirstSpirit-API-Schnittstellen). Eine Konfiguration über den FragmentCreator ist nicht möglich. |
Weitere Dokumentation zu diesem Thema:
- Benutzer und Rollen (Administration)
- Beispiele zur Rechtekonfiguration (Best practice)
- Auswertung von Rechten
- Allgemeine Informationen zur Rechtevergabe im FirstSpirit SiteArchitect (Rechte in FirstSpirit (→Handbuch FirstSpirit SiteArchitect))
Besonderheiten: Fragmente im SiteArchitect
Fragmente und Varianten werden im FragmentCreator angelegt und bearbeitet. Dabei basiert jedes Fragment auf einem projektspezifischen Fragment-Typ (z. B. „News“, „Teaser“ usw.).
Datenhaltung
Die Datenhaltung erfolgt in einem regulären FirstSpirit-Projekt. Alle Fragmente und Varianten, die im FragmentCreator angelegt werden, sind im SiteArchitect im Bereich „Inhalte“ sichtbar. Varianten werden dabei als „Seite“ (Element vom Typ „Page“) gespeichert. Alle Varianten bzw. Seiten liegen unterhalb des Ordners für den entsprechenden Fragment-Typ („Kategorie“, siehe Abbildung unten).
|
Diese Struktur im Projekt (bzw. die Datenhaltung der Inhalte aus dem Fragment-Projekt) wird über das Fragment-Projekt vorgegeben und kann nicht beeinflusst werden. Der Zugriff auf Fragmente sollte immer über den FragmentCreator bzw. über das entsprechende DataAccessPlugin erfolgen. Änderung an Inhalten des Fragment-Projekts im SiteArchitect oder ContentCreator können zu inkonsistenten Zuständen im Projekt führen. |
Konfiguration von Fragmenten
Fragment-Typen für den FragmentCreator (auch „Kategorie“) werden als Seitenvorlage (Element vom Typ „PageTemplate“) im Bereich „Seitenvorlagen“ (im SiteArchitect) konfiguriert (siehe Anlegen von Fragment-Typen). Jeder Fragment-Typ besitzt einen eigenen Ordner im Bereich „Inhalte“. Dieser Ordner enthält die Persistenz der Inhalte, die im FragmentCreator für diesen Fragment-Typ gepflegt werden (s.o.).
Redaktionsrechte definieren (Übersicht)
Über den SiteArchitect
Die Rechteverwaltung für einzelne Objekte (z. B. Seiten) werden im SiteArchitect über die Funktion Extras / Rechte ändern (Kontextmenü) zugewiesen, sowohl für einzelne Benutzer als auch für Gruppen von Benutzern.
Folgende Redaktionsrechte können konfiguriert werden:
- Sichtbar
- Lesen
- Ändern
- Objekt anlegen
- Ordner anlegen
- Objekt löschen
- Ordner löschen
- Freigabe
- Metadaten sehen
- Metadaten ändern
- Rechte ändern
Außerdem gibt es die Möglichkeit, alle Rechte auf einem Objekt zu entziehen, indem die Option
- Keine Rechte
gesetzt wird.
Unter Best-Practice werden Rechte-Konfigurationen auf konkrete Aktionen im FragmentCreator abgebildet (z. B. für das Anlegen von Fragmenten).
Weitere Informationen zu Redaktionsrechten siehe Redaktionsrechte (→Handbuch FirstSpirit SiteArchitect).
|
Unabhängig davon, welche Rechte definiert sind, verfügen Projektadministratoren standardmäßig über die Rechte „Sichtbar“, „Lesen“, „Ändern“ und „Rechte ändern“ und können sich somit auf jedem Knoten beliebige, zusätzliche Rechte erteilen. |
|
Die Gruppe „Everyone“ verfügt standardmäßig über die Rechte „Sichtbar“ und „Lesen“ in jeder Verwaltung. Diese Gruppe umfasst automatisch alle Benutzer eines Projekts. |
Vererbung von Redaktionsrechten
Redaktionsrechte wirken sich immer auf das Objekt aus, auf dem sie definiert wurden und werden an alle Objekte vererbt, die diesem Objekt innerhalb der Baumstruktur untergeordnet sind.
Beim Öffnen eines Fragment-Projekts im SiteArchitect erkennt man einige Besonderheiten (im Vergleich zu klassischen FirstSpirit-Projekten). Es werden deutlich weniger Bereiche genutzt, und damit ist auch die Rechtekonfiguration für ein Fragment-Projekt deutlich einfacher:
Bereich „Inhalte“:
- Jeder Fragment-Typ besitzt einen eigenen „Ordner“ im Bereich „Inhalte“.
- Varianten werden als „Seiten“ im Bereich „Inhalte“ gespeichert (jeweils unterhalb des Ordners für den entsprechenden Fragment-Typ).
Vorlagen: Aus dem Bereich „Vorlagen“ werden nur einzelne Teilbereiche benötigt.
- Bereich „Seitenvorlagen“: Neue Fragment-Typen (z. B. News, Kontakt, ...) werden über eine „Seitenvorlage“ im Bereich „Vorlagen“ angelegt und konfiguriert.
- die Bereiche „Arbeitsabläufe“ und „Skripte“ werden für das Ausführen von Aktionen (z. B. Freigabe, Löschen) im FragmentCreator benötigt.
Alle weiteren Bereiche (Datenquellen, Medien, Struktur) werden Im FragmentCreator nicht benötigt und können ausgeblendet werden.
Um Redaktionsrechte auf den Inhalten eines Fragment-Projektes zu definieren, genügt es damit, die Rechte einmalig auf oberster Ebene der (Inhalte-)Verwaltung zu definieren. Die dort definierten Rechte wirken sich dann automatisch auf die gesamte Verwaltung aus. Außerdem benötigt ein Redakteur mindestens die Rechte „Sichtbar“ und „Lesen“ für den Bereich „Seitenvorlagen“, um einen Zugriff auf die entsprechenden Formulare im FragmentCreator zu erhalten.
Beispiel: Die Rechte für die Gruppe „cxt_edit“ werden auf dem Root-Knoten der Verwaltung definiert und vererben sich auf alle untergeordneten Objekte (vgl. Abbildung: die Rechte für die Gruppe „cxt_edit“ vererben sich u.a. auf „Fragments“).
Um in untergeordneten Bereichen wieder von den übergeordneten Rechten abzuweichen, können an den gewünschten Stellen neue Rechte definiert werden (vgl. Abbildung: die Rechte für die Gruppe „cxt_edit“ werden auf dem Knoten „Contacts“ entzogen).
Alle Objekte, auf denen explizit Rechte vergeben wurden, sind durch das Icon 
gekennzeichnet (nur im SiteArchitect – im FragmentCreator ist die Rechtekonfiguration nicht sichtbar).
Hinweis: Das Symbol im SiteArchitect wird nur angezeigt, wenn im Menü „Ansicht“ die Einstellung „Symbole einblenden“ aktiviert wurde.
|
Das Recht „Keine Rechte“ sollte auf Wurzelknoten-Ebene einer Verwaltung mit Bedacht vergeben werden, da in diesem Fall die gesamte Verwaltung ausgeblendet wird, unabhängig davon, welche Rechte auf untergeordneten Ebenen definiert sind. |
Rechte, die auf untergeordneten Ebenen definiert werden, werden auch dann ausgewertet, wenn diese Rechte auf einem übergeordneten Knoten (z. B. auf dem Root-Knoten einer Verwaltung) entzogen werden. So ist z. B. für das Anlegen von neuen Seiten oder Absätzen in der Inhalte-Verwaltung mindestens das Recht „Sichtbar“ in der Vorlagen-Verwaltung für den Bereich „Seitenvorlagen“ erforderlich, die Vorlagen-Verwaltung kann aber gleichzeitig komplett über das Recht „Keine Rechte“ für den Redakteur ausgeblendet werden.
Abhängigkeiten und Widersprüche bei der Rechtevergabe
Abhängige Rechte:
Bestimmte Rechte können nur sinnvoll vergeben werden, wenn der Benutzer bzw. die Gruppe noch weitere Rechte besitzt. So kann beispielsweise das Recht „Lesen“ nur sinnvoll vergeben werden, wenn gleichzeitig das Recht „Sichtbar“ erteilt wurde. Solche Abhängigkeiten werden automatisch berücksichtigt.
Widersprüchliche Rechte: können sich z. B. ergeben, wenn
- Benutzer mehreren Gruppen angehören, die möglicherweise unterschiedliche Rechte haben.
- Rechte, die dem Benutzer im SiteArchitect direkt zugewiesen wurden, mit denen der Gruppe, welcher der Benutzer angehört, nicht übereinstimmen.
In diesen Fällen gilt ein Recht als erteilt, wenn es in einer der Einstellungen erteilt wurde!
Rechte auf Arbeitsabläufen definieren
Bei Rechten zur Ausführung von Arbeitsabläufen handelt es sich um eine spezielle Art von Redaktionsrechten, die sich nur auf die Arbeitsabläufe innerhalb eines Projekts beziehen. Die Rechte zur Ausführung von Arbeitsabläufen werden parallel zu den Redaktionsrechten vergeben. Diese Rechte können an verschiedenen Stellen definiert werden:
- im Arbeitsablauf in der Vorlagen-Verwaltung selbst: Hier können allgemeingültige Rechte zum Starten und Schalten eines Arbeitsablaufs, unabhängig vom Objekt, auf dem der Arbeitsablauf ausgeführt wird, konfiguriert werden.
- auf Objektebene: Hier können Rechte vergeben werden, die abhängig vom jeweiligen Knoten sind, auf dem der Arbeitsablauf ausgeführt wird.
Redaktionsrechte auf Arbeitsabläufen
Recht „Sichtbar“ / „Lesen“ auf dem Arbeitsablauf in der Vorlagen-Verwaltung: Im ersten Schritt müssen in der Vorlagen-Verwaltung die folgenden Rechte auf dem Arbeitsablauf (über die Funktion Extras / Rechte ändern (Kontextmenü)) für den Benutzer bzw. die Gruppe gesetzt werden:
- AN: Recht „Sichtbar“
- AN: Recht „Lesen“
- AUS: Alle weiteren Rechte
Sind diese Rechte nicht gesetzt, hat der Benutzer (bzw. die Gruppe) keine Möglichkeit zum Starten des Arbeitsablaufs.
Beispiele für die Rechtekonfiguration von Arbeitsabläufen werden unter Best-Practice für die folgenden Gruppen vorgestellt:
- cxt_request_deletion
- cxt_authorize_deletion
- cxt_request_release
- cxt_authorize_release
|
Verwendet ein Arbeitsablauf Skripte, muss der Benutzer bzw. die Gruppe ebenfalls die Rechte „Sichtbar“ und „Lesen“ für diese Skripte erhalten. |
Redaktionsrechte auf Inhalten
Redaktionsrechte auf Objektebene (Inhalte-Verwaltung): Werden über einen Arbeitsablauf Änderungen an einem Objekt ausgeführt - beispielsweise Objekte gelöscht - so muss der Benutzer bzw. die Gruppe, der/die diese Aktion über einen Arbeitsablauf ausführt, die entsprechenden Redaktionsrechte auf diesem Objekt besitzen (z. B. das Recht „Objekt löschen“ oder das Recht „Freigabe“).
Hintergrund: Die Gruppe, die das Löschen eines Objekts anfordert und die Gruppe, die das Löschen autorisiert, können unterschiedliche Berechtigungen besitzen. Die erste Gruppe benötigt damit nur das Recht zum Starten des Arbeitsablaufs, aber keine zusätzlichen redaktionellen Rechte auf den zu löschenden Objekten - dieses Recht benötigt nur die zweite Gruppe (siehe dazu auch Best-Practice Gruppen: cxt_deletion_request, cxt_deletion_authorization).
|
Werden innerhalb von Arbeitsabläufen Skripte verwendet, findet KEINE automatische Auswertung der Redaktionsrechte statt. Diese Rechte müssen innerhalb des Arbeitsablaufs geeignet mit den Transitionsrechten verknüpft werden. |
Arbeitsablauf-Rechte auf Inhalten
Neben den Redaktionsrechten werden auf allen Objekten zusätzlich Rechte zum Starten und Schalten des Arbeitsablaufs definiert. Diese Rechte, die sich nur auf die Ausführung von Arbeitsabläufen auf dem Objekt beziehen, werden parallel zu den Redaktionsrechten für Gruppen und Benutzer über den Dialog „Rechtevergabe“ vergeben und zwar auf dem Register „Arbeitsablauf Rechte“.
Im Dialog werden alle Arbeitsabläufe, die für das Projekt definiert sind, und deren Transitionen angezeigt.
Die Rechte zum Starten von Arbeitsabläufen auf diesem Objekt werden im oberen Bereich des Registers „Arbeitsablauf Rechte“ vorgenommen. Wird die Checkbox „Erlaubt“ aktiviert, dürfen alle Benutzer, die in der Spalte „Berechtigt“ angezeigt werden, den jeweiligen Arbeitsablauf auf dem Objekt starten.
Die Rechte zum Schalten von Arbeitsabläufen werden im unteren Bereich des Registers „Arbeitsablauf Rechte“ vorgenommen. Hier können die Rechte für die Ausführung des Arbeitsablaufs detailliert für jeden Schritt des Ablaufs definiert werden.
Das Recht, einen Arbeitsablauf auf einem Fragment oder einer Variante zu starten, kann auf dem Root-Knoten der Inhalte-Verwaltung vergeben werden oder einzeln auf den Fragment-Ordnern (auf diese Weise können für die unterschiedlichen Fragment-Typen unterschiedliche Rechte erteilt werden).
|
Die Rechte, die in diesem Bereich definiert werden, überschreiben die Rechte, die im Arbeitsablauf selbst (für das Schalten einer Transition) definiert wurden. |
Hintergrund: Auf bestimmten Objekten können damit die allgemeingültigen Rechte für das Schalten geändert werden.
Rechte im Arbeitsablauf (Transitionen)
Rechte auf Transitionen im Arbeitsablauf in der Vorlagen-Verwaltung: Ein Arbeitsablauf ist aus Status, Aktivitäten und Transitionen aufgebaut:
Eine Aktivität besteht aus der Durchführung einer Aufgabe und dem Auslösen einer Aktion.
Ein Status bzw. Zustand bezieht sich immer auf ein Objekt. Der aktuelle Zustand eines Objekts ist immer das Ergebnis einer zuvor erfolgten Aktivität.
Transitionen (werden im Editor als Pfeile dargestellt) bilden die Verbindung zwischen einer Aktivität und einem Status. Aktivitäten und Status können mehrere eingehende und/oder ausgehende Transitionen haben. Über den Dialog „Eigenschaften“ (auf dem Reiter „Rechte“) einer Transition im grafischen Workflow-Editor können Rechte zum Schalten dieser Transitionen konfiguriert werden. Hier können Gruppen (oder Benutzer) selektiert werden, die die Berechtigung zum Schalten dieser Transition erhalten sollen.
Weitere Informationen zu diesem Dialog siehe Transition Eigenschaft (→Online Dokumentation FirstSpirit).
