Hier geht es um die Berechtigungen: was dürfen die Benutzer im System tun
Unser Rollenmodell ist hierarchisch aufgebaut und basiert auf 3 Bereichen:
- Bereich Technik (Kernbereich T)
- Bereich Betrieb (Kernbereich B)
- Nebenbetriebe (Gastronomie, Souvenir, Laden etc.)
Das Programm arbeitet mit fest definierten Funktionsinhaber
- Chef Technik und sein Stellvertreter
- Leiter Betrieb und sein Stellvertreter
- Leiter Nebenbetriebe (wie: Gastronomie, Lädeli/Kiosk, etc.)
- Verwalter Zugriffsrechte (Zuteilung der Rollen) und sein Stellvertreter
Die Inhaber dieser zentralen Funktionen sind in den Stammdaten der Mandanten definiert.
Die Rollen werden durch Verantwortungen / Funktionen ergänzt. Die Funktionen werden pro Mandant in den Stammdaten geführt und auf dem Benutzer eingepflegt.
Eine hierarchisch höhere Rollen übernimmt automatisch die Rechte der darunterliegenden Rollen. Rollen über dem roten Strich dürfen auch sicherheitsrelevante Bestätigungen abgeben oder Freigaben machen. Pro Benutzer kann nur eine Rolle zugewiesen werden.
•wir führen die Rollen nicht dynamisch. Das machen wir um den Test- und Wartungsaufwand der Applikation gering(er) zu halten.
•wir haben möglichst wenige grundsätzliche Rollen. Diese sind im Mandanten 1 Drehscheibe definiert. Bei der Neueröffnung eines Mandanten werden diese Rollen vom Systemmandanten kopiert.
•Im neuen Mandanten können diese Rollen mit einer eigenen Bezeichnung versehen werden. Die grundsätzlichen Rollen können nicht verändert werden, bei kopierten Rollen die Bezeichnung.
•dem Benutzer werden dann die mandatsspezifischen Rollen zugeteilt
•maximal werden folgende Rollen angedacht:
|
|
|
1 |
Superadministrator |
kann auf alle Mandanten wechseln |
2 |
Administrator Applikation, ein Mandant |
mandantenspezifisch |
3 |
Chef beide Kernbereich T & B |
mandantenspezifisch |
4 |
Technik gross |
mandantenspezifisch |
5 |
Betrieb gross |
mandantenspezifisch |
6 |
Technik klein |
mandantenspezifisch |
7 |
Chef / Teamleiter Nebenbetrieb |
mandantenspezifisch |
8 |
Teamleiter klein beide Kerne T & B |
mandantenspezifisch |
9 |
Teamleiter klein Technik |
mandantenspezifisch |
10 |
Teamleiter klein Betrieb |
mandantenspezifisch |
11 |
Teamleiter Nebenbetriebe |
mandantenspezifisch |
12 |
Mitarbeitende(r) mit Erfassungsrecht |
mandantenspezifisch |
13 |
alle eröffneten Benutzer |
mandantenspezifisch |
14 |
Administrtor - ViewAll |
mandantenspezifisch |
15 |
SuperAdmin - ViewAll |
kann auf alle Mandanten wechseln |
|
Webseite HECH |
Darstellung Mandantendaten auf Webseite |
|
|
|
unter Rechten verstehen wir: |
|
|
View: ansehen |
enthält auch: drucken, Download und verschicken |
|
Edit: bearbeiten, ergänzen |
E hat immer auch V |
|
Create: kopieren (vervielfältigen) |
C hat immer auch V + E |
|
Delete: löschen (inaktiv setzen) |
D ist eigenständig |
|
Do: (delete own) inaktiv setzen der selber erstellten Entitäten |
|
|
Da: (delete all) inaktiv setzen auch fremder Entitäten |
|
Wir werden pro (Bildschirm)-Seite der Applikation (fest) definieren, wie die vorhandenen Felder in dieser Berechtigungsmatrix reagieren sollen.
Hier der Link zur aktuellen Berechtigungsmatrix
In der Applikation sieht das so aus:
Rollen Detail
Die (etwas ausführlichere) Rollenbeschreibung unter "Bezeichnung" wird in den automatisch generierten E-Mails verwendet.