Benutzer
Inhaltsverzeichnis |
Dieser Menüpunkt steht nur Server-Administratoren zur Verfügung. |
Neu anlegen
Mithilfe dieser Funktion können neue Benutzer auf dem Server angelegt werden. Es erscheint ein Fenster, in dem die Benutzerdaten eingetragen werden können.
Login: Loginname des neuen Benutzers (Pflichtfeld).
Kennwort: Kennwort des neuen Benutzers (Pflichtfeld).
Die weiteren Informationen für den neuen Benutzer, nämlich der tatsächliche Name, ein Kürzel, E-Mail Adresse und Telefonnummer sind optional.
Sonderfall „externe Benutzer“: Wird der Benutzer über ein Fremdsystem identifiziert, wird er automatisch beim ersten Anmeldevorgang als FirstSpirit-Benutzer angelegt. Die erforderlichen Benutzerattribute werden dabei aus dem Fremdsystem importiert (das Kennwort wird in FirstSpirit mit einem Zufallswert vorbelegt). Der Benutzer wird anschließend in der Liste der FirstSpirit-Benutzer angezeigt.
Aktiv: Wird diese Option deaktiviert, wird der neu angelegte Benutzer direkt zwar im System angelegt, kann sich aber nicht authentifizieren (zum „Deaktivieren von Benutzern“ siehe Bearbeiten).
Server-Administrator: Über diese Option kann dem neu angelegten Benutzer die Rolle des Server-Administrators zugewiesen werden. Er hat
- im ServerManager
- im ServerMonitoring
- in eigenen Verbindungen, die per API aufgebaut werden,
standardmäßig alle Rechte. Sollen die Rechte im SiteArchitect zum Tragen kommen, muss dafür die Option „Administrator-Modus“ Projekt (→Handbuch FirstSpirit SiteArchitect) aktiviert werden, im ContentCreator muss eine ähnliche Funktion bei Bedarf per API umgesetzt werden (z. B Methode setAdminMode (FirstSpirit Access-API, Interface User, Package: de.espirit.firstspirit.access, die Methode kann aber nur von Server-Administratoren ausgeführt werden).
Wird der „Administrator-Modus“ per API aktiviert (setAdminMode(true);), wirkt sich dies nicht auf den Menüeintrag „Administrator-Modus“ im Menü „Projekt“ des SiteArchitect aus, der Haken wird dadurch nicht gesetzt. |
Die Option „Server-Administrator“ ist für den bei jeder Installation eines FirstSpirit-Servers automatisch angelegten Benutzer „Admin“ aktiviert und kann nicht deaktiviert werden. Sie kann nur durch Server-Administratoren zugewiesen werden, initial also nur durch den Administrator (Benutzer-ID 1). Wird ein Benutzer durch einen Projektimport angelegt, der auf dem anderen FirstSpirit-Server Server-Administrator-Rechte hatte, wird dieses Recht beim Import entfernt und muss bei Bedarf erneut gesetzt werden.
Wird einem Benutzer das Server-Administrator-Recht über den ServerManager zugewiesen, wird dies entsprechend – unter Angabe des Benutzernamens – in der Datei fs-server.log festgehalten:
INFO 02.10.2013 10:43:05.767
(de.espirit.firstspirit.server.usermanagement.UserManagerImpl): Setting
user 'chief' server admin permission to true
Meldet sich ein Benutzer mit Server-Administrator-Rechten am FirstSpirit-Server an, wird dies ebenfalls entsprechend – unter Angabe des Benutzernamens – geloggt, z. B.
INFO 02.10.2013 09:05:21.113
(de.espirit.firstspirit.server.sessionmanagement.SessionManagerImpl):
new session (ID=5030863150308873085, user=chief, userID=62, type=MAIN)
created
INFO 02.10.2013 09:05:21.113
(de.espirit.firstspirit.server.sessionmanagement.SessionManagerImpl):
Session with ID=5030863150308873085 bound to ip 192.168.100.212
INFO 02.10.2013 09:05:21.113
(de.espirit.firstspirit.server.sessionmanagement.SessionManagerImpl):
User 'chief' login with server admin permissions, session
ID=5030863150308873085
Um externen LDAP-Benutzern bzw. -Gruppen Server-Administrator-Rechte zuzuweisen, muss dafür der Parameter externalServerAdminGroup in der Konfigurationsdatei fs-server.conf verwendet werden. Siehe dazu Bereich: Server.
Zur Unterscheidung zwischen Administrator, Server-Administrator und Projekt-Administrator siehe auch Server- und Projekt-Administratoren.
Bearbeiten
Mithilfe dieser Funktion können die oben genannten Angaben zu einem Benutzer nachträglich geändert werden. Es wird eine sortierte Liste der eingetragenen Benutzer angezeigt. (Die Sortierung kann mit einem Klick auf eine beliebige Spaltenüberschrift geändert werden.)
Für externe Benutzer mit Server-Administrator-Rechten ist in dieser Liste dabei zu beachten, dass sie nur den Stand des letzten FirstSpirit-Logins wiedergibt und nicht den aktuellen LDAP-Stand. Das bedeutet, dass
- es mehr Server-Administratoren geben kann, als in der Liste per Haken in der Spalte „Server-Administrator“ markiert sind, diese sich aber noch nie bzw. nach einer Berechtigungsänderung noch nicht per LDAP auf dem FirstSpirit-Server angemeldet haben,
- ein Benutzer, dem Server-Administrator-Rechte im LDAP entzogen wurden und der sich seitdem nicht per LDAP auf dem FirstSpirit-Server angemeldet hat, weiterhin als Server-Administrator angezeigt wird.
Suche: Mithilfe der Suchfunktion kann nach Worten oder Wortteilen in den Spalten Name und Login gesucht werden. Durch einen Klick auf das Icon wird die Suche gestartet, mit einem Klick auf das daneben liegende Icon kann die Suche gestoppt werden.
Benutzerdaten editieren
Nachdem ein Benutzer aus der Liste ausgewählt wurde, öffnet sich das Bearbeitungsfenster zum Ändern der Benutzerdaten.
Handelt es sich beim Benutzer um einen manuell angelegten FirstSpirit-Benutzer, können alle Angaben einschließlich Benutzername und Kennwort geändert werden. Der Benutzer wird intern über eine eindeutige Benutzer-ID identifiziert. Damit ist gewährleistet, das Informationen zu einem Benutzer erhalten bleiben (beispielsweise die Zuordnung zu einem Projekt), wenn Benutzerattribute (z. B. der Name) geändert werden.
Handelt es sich beim Benutzer um einen automatisch angelegten FirstSpirit-Benutzer, der über ein Fremdsystem identifiziert wird, können die Benutzerattribute über FirstSpirit nicht geändert werden. Externe Benutzer werden durch die aktivierte Checkbox „Externer Benutzer“ angezeigt.
Aktiv: Benutzer können deaktiviert werden, ohne sie endgültig aus FirstSpirit zu entfernen. Sie bleiben im System erhalten, können sich jedoch nicht mehr authentifizieren (auch bei Authentifizierung über Fremdsysteme, z. B. SSO). Innerhalb des SiteArchitect und im ServerMonitoring werden die deaktivierten Benutzer grau dargestellt. Deaktivierte Benutzer können über diesen Dialog jederzeit wieder aktiviert werden. Alle Informationen zum Benutzer (z. B. die ursprüngliche ID des Benutzers) und alle Projektzuordnungen bleiben erhalten und können direkt wieder verwendet werden (im Gegensatz zum Löschen und erneuten Anlegen eines Benutzers).
Server-Administrator: Über diese Option kann dem Benutzer die Rolle des Server-Administrators zugewiesen werden. Siehe dazu auch Erklärung der Option „Server-Administrator“ unter Benutzer - Neu anlegen.
Sonderfall „Externer Benutzer“: Die Checkbox ist aktiviert, wenn es sich beim Benutzer um einen automatisch auf dem Server angelegten Benutzer aus einem Fremdsystem (z. B. aus dem LDAP) handelt.
Ist die Checkbox deaktiviert, wurde der Benutzer manuell angelegt.
Externe Sektion: Hier wird die LDAP-Sektion angezeigt, auf der der Benutzer registriert ist. Erfolgt der Login über das WindowsLoginModule, wird an dieser Stelle die Domain als externe Sektion angezeigt.
Gruppenzugehörigkeit: Die Gruppenzugehörigkeit eines Benutzers wird im unteren Bereich des Dialogs angezeigt. Die Zuordnung erfolgt unterteilt nach Projekten und kann innerhalb des Dialogs nicht bearbeitet werden. Zum Ändern der Gruppenzugehörigkeit eines Benutzers siehe Projekteigenschaften - Gruppen. Diese Information ist auch über das FirstSpirit ServerMonitoring verfügbar.
Die weiteren Informationen für den neuen Benutzer, nämlich der tatsächliche Name, ein Kürzel, E-Mail Adresse und Telefonnummer sind optional. Bei externen Benutzern werden diese Felder eventuell über Benutzerattribute automatisch gefüllt.
Die systeminterne Benutzer-ID wird automatisch vergeben und kann nicht geändert werden. Die Rechteverwaltung für alle Benutzer kann über das Kontextmenü des SiteArchitect vorgenommen werden.
Löschen
Mithilfe dieser Funktion kann ein Benutzer aus der Liste entfernt werden. Es wird eine sortierte Liste der eingetragenen Benutzer angezeigt. (Die Sortierung kann mit einem Klick auf eine beliebige Spaltenüberschrift geändert werden.)
Suche: Mithilfe der Suchfunktion kann nach Worten oder Wortteilen in den Spalten Name und Login gesucht werden. Durch einen Klick auf das Icon wird die Suche gestartet.
Nachdem ein Benutzer aus der Liste ausgewählt wurde, wird er nach einer Sicherheitsabfrage aus der Liste entfernt. Dabei lässt sich unterscheiden zwischen:
- manuell angelegter FirstSpirit-Benutzer:
Handelt es sich um einen manuell angelegten Benutzer, wird der Benutzer durch die Funktion „Benutzer löschen“ automatisch aus allen FirstSpirit-Projekten entfernt und vom Server gelöscht. - automatisch angelegter (externer) Benutzer:
Handelt es sich um einen externen Benutzer, wird der Benutzer durch die Funktion „Benutzer löschen“ automatisch aus allen FirstSpirit-Projekten entfernt und vom Server gelöscht. Wurde der Benutzer im Fremdsystem nicht gelöscht, wird er bei einer erneuten Anmeldung jedoch wieder als neuer FirstSpirit-Benutzer mit einer neuen Benutzer-ID angelegt.
Hinweis: Sollen die personenbezogenen Daten eines gelöschten Benutzers ebenfalls gelöscht werden, ist dies über die Funktion „Anonymisieren“ (s.u.) möglich oder über einen entsprechenden Parameter in der Konfigurationsdatei fs-server.conf. Siehe dazu auch Hinweise zur DSGVO.
Anonymisieren
Die Datenschutzgrundverordnung (DSGVO) ist eine EU-Verordnung (international bezeichnet als „General Data Protection Regulation“ (GDPR)), die das Grundrecht europäischer Bürger auf Privatsphäre schützt und den Umgang mit personenbezogenen Daten regelt. Die DSGVO regelt unter anderem die Möglichkeit, personenbezogene Daten zu löschen („Recht auf Vergessen“).
FirstSpirit speichert personenbezogene Systemdaten (z. B. Namen und Kontaktdaten von Redakteuren), die an verschiedenen Stellen, z. B. in der Versionshistorie oder in Freigabe-Arbeitsabläufen verwendet werden, um ggf. Kontakt mit einem Bearbeiter einer Seite aufnehmen zu können. Siehe dazu auch Hinweise zur DSGVO.
Für gelöschte Benutzer (Funktion „Löschen“, s.o.) können personenbezogene Systemdaten über den Menüeintrag „Anonymisieren“ anonymisiert werden.
In das Textfeld muss der Login des zu anonymisierenden Users eingegeben werden. Dabei wird nicht zwischen Groß- und Kleinschreibung unterschieden.
Mehrere User-Logins können durch Komma oder Leerzeichen getrennt eingegeben werden.
Mit „OK“ beginnt die Anonymisierung.
Die Daten von gelöschten Benutzern können anschließend nicht mehr ermittelt werden. In der Versionshistorie und an anderen Stellen wird dann kein Benutzername / Login mehr angezeigt bzw. {DELETED USER}.
Wird in das Textfeld der Login eines nicht gelöschten Users eingetragen, wird eine entsprechende Fehlermeldung ausgegeben:
Das Anonymisieren der gelöschten Benutzer ist fehlgeschlagen! User 'Editor' is not deleted!
Hinweis: Eine weitere Möglichkeit der Anonymisierung bietet der Parameter privacy.anonymizeDeletedUsersData=true in der Konfigurationsdatei fs-server.conf. Im Gegensatz zur Menüfunktion „Anonymisieren“ kann die Anonymisierung über den Parameter privacy.anonymizeDeletedUsersData wieder rückgängig gemacht werden. Die Anonymisierung über die Menüfunktion „Anonymisieren“ ist dauerhaft und kann nicht rückgängig gemacht werden.