Benutzer und Rechte
Benutzer / Authentifizierung
Benutzer von TISGraph können wahlweise über folgende Systeme authentifiziert werden:
- Kisters TSM-Benutzerdatenbank (WDB-Benutzer, s. u.)
- Active Directory/LDAP-Server
- OpenID Connect Authentifizierungsprovider (z. B. Windows Server 2019 Federation Services)
- Manuelle Verwaltung
Überblick
Jeder Benutzer ist in TISGraph genau einer Benutzergruppe zugeordnet.
Das Rollenkonzept von TISGraph umfasst folgende Eckpunkte:
- Ein Kontext entspricht einem Bauwerk, Fachgebiet, o. ä.
- Es gibt eine beliebige Anzahl von Benutzergruppen. Benutzergruppen entsprechen Abteilungen, Fachgebieten, etc.
- Benutzergruppen erhalten Berechtigungen für Kontexte. Anders gesagt: Abteilungen können Lese- oder Schreibberechtigungen für Bauwerke erhalten.
- Jeder Benutzer ist Mitglied genau einer Benutzergruppe, wobei die Gruppenzugehörigkeit in Active Directory gepflegt werden. (memberOf Attribut)
- Benutzer haben also für Bauwerke etc. die ihrer Benutzergruppe entsprechenden Berechtigungen.
- Ordner im Dokumentenbaum werden jeweils genau einem Kontext, d. h. genau einem Bauwerk etc. zugeordnet.
- Benutzer dürfen Dokumente in den Ordnern des Dokumentenbaums gemäß dieser Zuordnung entweder gar nicht sehen oder lesend öffnen bzw. auch speichern.
Jede Kategorie im Dokumentenbaum ist genau einem Kontext (auch genannt Zugriffsbeschränkung) zugeordnet; dieser Kontext ist für alle Dokumente in dieser Kategorie maßgeblich.
Jede Benutzergruppe hat Lese- und Schreibberechtigungen für einen bestimmten Satz von Kontexten; dieser Satz von Berechtigungen ist für alle Benutzer in der Gruppe maßgeblich.
Falls gemäß der obigen Beschreibung ein Dokument nur lesend geöffnet wird, wechselt TISGraph automatisch in einen entsprechenden Nur-Lese-Modus, in dem nur der entsprechende, stark eingeschränkte, Funktionsumfang verfügbar ist.
Beispiel: Was darf Benutzer B in Bezug auf Dokument D?
- Dokument D ist in Kategorie C
- Kategorie C hat den Kontext K
- Benutzer B ist einer Benutzergruppe zugewiesen, die Leseberechtigungen für Kontext K hat
Daher darf Benutzer B das Dokument D zwar lesen, aber nicht schreiben
Sicherheitskontexte
Die Menge der im System vorhandenen Kontexte kann derzeit nicht über eine GUI-Maske gepflegt werden. Mittels des dojo-config-manager ist aber eine Verwaltung möglich:
users.contextList
Jeder Kategorie ist im Feld Zugriffsbeschränkungen ein Kontext zugeordnet. Dieser Kontext ist für alle Dokumente in dieser Kategorie maßgeblich.
WDB Benutzer / Selbstständige Gruppen
Benutzer melden sich mit einem Wiski-Benutzer an. Meldet sich ein Benutzer zum ersten Mal an, wird dieser automatisch einer frei konfigurierbaren Standard-Gruppe zugeordnet, und ist damit im System registriert. Üblicherweise ist dies eine Benutzergruppe mit sehr eingeschränkten Rechten.
Der Administrator kann Benutzer über den folgenden Dialog einer anderen Benutzergruppe zuweisen (erreichbar über Administration → Benutzer). Über den Löschen-Button unter Aktionen kann ein Benutzer bei Bedarf wieder aus dem System gelöscht werden.
Automatische LDAP/Jaas Benutzer und Gruppen
Der Administrator kann TISGraph so konfigurieren, dass dieses die Backend-Gruppenzuordnung verwendet. Dadurch ist eine Berechtigungsverwaltung aus dem Active Directory möglich.
Benutzergruppen
Über den folgenden, über "Administration → Benutzergruppen" erreichbaren, Dialog kann der Administrator Benutzergruppen anlegen, umbenennen oder löschen.
Im Falle von LDAP und Jaas müssen die internen Gruppennamen exakt mit z. B. dem CN in LDAP übereinstimmen, so dass eine Gruppenzuordnung eines Benutzers von TISGraph erkannt wird.
Berechtigungen
Über den folgenden, über "Administration → Berechtigungen" erreichbaren, Dialog kann der Administrator Benutzergruppen Berechtigungen zuweisen- oder entziehen. Für jeden Kontext kann wahlweise keine Berechtigung, eine Leseberechtigung, oder eine Schreibberechtigung erteilt werden. Dies geschieht über die Buttons rechts. Das unten ebenfalls zu sehende Auswahlfenster ist bereits auf noch nicht hinzugefügte bzw. tatsächlich vorhandene und somit auch entziehbare Berechtigungen gefiltert.
Read only Modus
Besitzt ein Benutzer aufgrund seiner Benutzergruppe nur Leseberechtigungen für ein Dokument, so wechselt die TISGraph-GUI beim Öffnen automatisch in read only Modus. Nun steht nur noch eine eingeschränkte Auswahl an Funktionalitäten zur Verfügung:
- die Ansichtsgröße ist veränderbar
- Seiten sind wählbar
- Hintergrund/Ebenen sind wählbar
- Beobachtungsbereiche und Datumsbereiche können ausgewählt werden
- Datenpunkte können angezeigt werden
- Dokumenteigenschaften können zwar angesehen, aber nicht geändert werden
Darüber hinaus werden Dokumenten- und Schlagwortbaum automatisch gefiltert, sodass nur Kategorien und Dokumente für die tatsächlich eine Leseberechtigung besteht angezeigt werden.