Durchsuchbare Dokumentation aufrufen | Zurück zur Dokumentationsübersicht
Navigation: Dokumentationen agorum core > NORA | 360°
NORA | 360° berechtigen
Hinweis: Diese Dokumentation bezieht sich auf die aktuellste Version der NORA | 360° Plugins. Aktualisieren Sie die hier beschriebenen Plugins, um die Dokumentation verwenden zu können.
Diese Dokumentation beschreibt das Berechtigungskonzept von NORA | 360° und richtet sich an Administratoren, die NORA-Benutzern für die Verwendung von NORA | 360° berechtigen wollen.
Berechtigungskonzept im Überblick
NORA | 360° arbeitet mit einem zweistufigen Berechtigungssystem:
| Ebene | Was wird gesteuert? |
|---|---|
| 1. NORA | 360° Typ-Berechtigungen (NORA | 360° Benutzergruppen und ACLs) |
Steuert pro NORA | 360° Typ (z. B. Kunde, Vorgang, Aufgabe), ob ein Benutzer den Typ in NORA | 360° als Card sehen, in der Suche finden oder anlegen darf. Wirkt sich auf Dashboard, Suche und Kontextmenü-Aktionen aus, aber nicht auf das Objekt selbst. |
| 2. Objekt-Berechtigungen (klassische agorum core Ordner-ACLs) |
Steuert, ob ein Benutzer ein konkretes Objekt (z. B. eine Kundenakte in einem bestimmten Ordner) lesen, ändern oder löschen darf. Wird wie gewohnt über agorum core ACLs vergeben und vererbt. |
Beide Ebenen müssen erfüllt sein, damit ein Benutzer mit einem NORA | 360° Objekttyp produktiv arbeiten kann. Das NORA | 360° Berechtigungskonzept gilt ausdrücklich auch für Administratoren. Auch ein Administrator sieht Cards, Suchen und Anlage-Buttons nur, wenn er Mitglied in den passenden NORA | 360° Benutzergruppen ist.
Hinweis: Der Berechtigungsprüfer prüft KEINE NORA | 360° Berechtigungen!
Der Berechtigungsprüfer in agorum core zeigt ausschließlich die klassischen Objekt-Berechtigungen (Lesen, Schreiben, Löschen) für ein konkretes Objekt an. Er kann nicht anzeigen, ob ein Benutzer:
- eine NORA | 360° Card für einen Objekttyp angezeigt bekommt,
- einen Objekttyp in der Suche findet,
- Anlage-Buttons oder Kontextmenü-Aktionen sieht.
Diese Prüfung muss über die Mitgliedschaft in den NORA | 360° Benutzergruppen erfolgen. Wenn ein Benutzer Objektzugriff laut Berechtigungsprüfer hat, aber trotzdem keine NORA | 360° Card oder keine Suchergebnisse sieht, fehlt ihm die Mitgliedschaft in der entsprechenden GRP_acso2_*-Gruppe.
Der Berechtigungsprüfer kann zwar über die Funktion ACL- & Gruppenstruktur anzeigen die NORA | 360° Gruppen-/ACL-Mitgliedschaften eines Benutzers grundsätzlich auflisten, eine direkte Aussage „NORA-Card für Typ X sichtbar: ja/nein“ leitet er daraus aber nicht ab.
Hier fehlt jede Information zu Objekttyp-Berechtigungen
Beispiel für das Zusammenspiel zwischen Ordner-ACLs und NORA | 360° Berechtigungen
Das Zusammenspiel zwischen den beiden Berechtigungsebenen wird an folgendem Beispiel deutlich:
Ausgangslage
Eine Firma hat zwei Standorte mit jeweils eigenen Kreditorenakten. Die Ordnerstruktur sieht wie folgt aus:
DemoFirma
├── Standorte
├──── Standort Frankfurt (Ordner-ACL: ACLDemoFirmaFrankfurt)
│ └── Kreditorenakten
└──── Standort Madrid (Ordner-ACL: ACLDemoFirmaMadrid)
└── Kreditorenakten
Berechtigungssituation
Zwei Mitarbeiter, Anna (Standort Frankfurt) und Bruno (Standort Madrid), sollen jeweils die Kreditorenakten (Lieferanten) ihres Standorts sehen und bearbeiten dürfen.
| Berechtigung | Anna | Bruno |
|---|---|---|
| NORA | 360° Benutzergruppe (Kreditorenakten sehen, suchen + anlegen) |
Mitglied inGRP_acso2_agorum.smartorga.crm.supplier_create |
Mitglied inGRP_acso2_agorum.smartorga.crm.supplier_create |
| Benutzergruppe für Ordnerzugriff (welcher Ordner) |
Mitglied in DemoFirmaFrankfurt |
Mitglied in DemoFirmaMadrid |
Tipp: Die Mitgliedschaft in _create reicht aus: _search und _view sind durch die kaskadierende Gruppen-Hierarchie automatisch eingeschlossen.
Auswirkung
Beide Mitarbeiter haben identische NORA | 360° Objekttyp-Berechtigungen: Sie dürfen Kreditorenakten (Lieferanten) sehen, suchen und anlegen.
Trotzdem sehen sie nur das, was die Ordner-ACL freigibt:
- Anna sieht im Explorer und in der Suche ausschließlich die Kreditorenakten vom Standort Frankfurt.
- Bruno sieht im Explorer und in der Suche ausschließlich die Kreditorenakten vom Standort Madrid.
- Beide haben für ihre sichtbaren Akten Zugriff auf Cards mit den berechtigten NORA | 360° Aktionen.
Zusammengefasst: Die NORA | 360° Objekttyp-Berechtigung entscheidet, welche NORA | 360° Werkzeuge ein Benutzer benutzen kann (Dashboard, Suche, Buttons, Kontextmenü). Die Ordner-ACL entscheidet, welche konkreten Objekte dabei sichtbar/bearbeitbar sind. Beide Ebenen wirken unabhängig voneinander.
| Anna | Bruno |
|---|---|
|
Anna sieht nur die Lieferanten von Standort Ffm
|
Bruno sieht nur die Lieferanten von Standort Madrid
|
NORA | 360° Benutzergruppen pflegen
Die Vergabe von Berechtigungen für NORA | 360° Objekttypen erfolgt primär über die Pflege der Benutzergruppen. Die zugehörigen ACLs (siehe weiter unten) brauchen im Tagesgeschäft normalerweise nicht berührt zu werden. Für allgemeine Informationen zur Vergabe von Berechtigungen in agorum core siehe Berechtigungen in der Administration verwalten.
Tipp: Die Auswirkungen neu vergebener Berechtigungen sehen Sie ggf. erst nach dem Leeren des Browser-Caches in der Oberfläche oder nachdem Sie bzw. der Anwender sich aus- und wieder eingeloggt haben.
Alle NORA | 360° Benutzergruppen finden Sie unter folgendem Pfad:
/agorum/roi/Administration/Group/acso2
Objekttyp-Benutzerguppen
Für jeden NORA | 360° Objekttyp (z. B. agorum.smartorga.crm.customer) existieren drei Benutzergruppen mit klar abgestuften Rechten:
| Gruppe | Wirkung in NORA |
|---|---|
GRP_acso2_<typ>_view |
Benutzer sieht den Typ als Card mit allen typspezifischen Anzeigen, Buttons und Status-Informationen. |
GRP_acso2_<typ>_search |
Benutzer findet den Typ in der Suche / im entsprechenden Filter. Schließt _view automatisch ein. |
GRP_acso2_<typ>_create |
Benutzer sieht Anlage-Buttons in Vorlagen-Dropdowns und Kontextmenü-Einträgen für diesen Typ. Schließt _search und _view automatisch ein. |
Hinweis: Die drei Gruppen sind so ineinander verschachtelt, dass das stärkere Recht das schwächere automatisch einschließt: Es reicht also, einen Benutzer in _create aufzunehmen – er hat dann automatisch auch _search und _view.
Der folgende Screenshot zeigt beispielhaft die Anzeige einer Lieferantenakte, wenn der Mitarbeiter für die Erstellung/Bearbeitung berechtigt ist.
Hingegen kann ein Benutzer, der keine Objekt-Berechtigung für Lieferantenakten hat, lediglich die Ordnerstruktur sehen (bei entsprechender Berechtigung):
Globale Gruppen für typübergreifende Rechte
Wenn ein Benutzer (z. B. ein Power-User oder Administrator) Rechte auf alle Objekttypen erhalten soll, ohne für jeden Typ einzeln eingetragen zu werden, existieren drei globale all_*-Gruppen:
| Gruppe | Wirkung |
|---|---|
GRP_acso2_all_view |
Mitglieder sehen alle NORA | 360° Objekttypen. |
GRP_acso2_all_search |
Mitglieder finden alle NORA | 360° Objekttypen in der Suche (schließt view ein). |
GRP_acso2_all_create |
Mitglieder können alle NORA | 360° Objekttyp anlegen (schließt search und view ein). |
Hinweis: Die Gruppe GRP_agorum core smart organisation 2 sieht zwar wie eine zentrale Master-Gruppe für NORA | 360° aus, ist aber nur eine Sammelgruppe: Sie enthält automatisch alle _view-Gruppen als Mitglieder, dient aber nur als Selektor über alle NORA | 360° User (nützlich z. B. für Skripte/Filter). Eine direkte Mitgliedschaft in dieser Gruppe verleiht keine NORA | 360° Rechte. Verwenden Sie stattdessen die GRP_acso2_all_*-Gruppen.
Modulübergreifende Benutzergruppen
| Benutzergruppen (Auszug) | Typischer Zweck |
|---|---|
| GRP_acso2_all_view / GRP_acso2_all_create / GRP_acso2_all_search | Querschnittsrechte für „alles sehen / alles anlegen / alles suchen“ innerhalb des acso2-Kontextes. |
| GRP_acso2_agorum.smartorga.common_view / _create / _search | Rechte für allgemeine Objektarten/Funktionen im NORA | 360° Kontext. |
| GRP_acso2_folder_view / _create / _search | Rechte im Bereich Ordner/Struktur (Sicht / Anlage / Suche). |
| GRP_agorum core smart organisation 2 | Sammelgruppe / Selektor |
| GRP_acso2_agorum.smartorga.contract_view / _create / _search | Verträge. |
| GRP_acso2_agorum.smartorga.contractType_view / _create / _search | Vertragstypen. |
| GRP_acso2_agorum.smartorga.task_view / _create / _search | Allgemeine Aufgaben (nicht projektgebunden). |
| GRP_acso2_agorum.smartorga.subTask_view / _create / _search | Unteraufgaben (nicht projektgebunden). |
| GRP_acso2_agorum.smartorga.taskArea_view / _create / _search | Aufgabenbereiche. |
| GRP_acso2_agorum.smartorga.process_view / _create / _search | Vorgänge. |
| GRP_acso2_agorum.smartorga.processArea_view / _create / _search | Vorgangsbereiche. |
| GRP_acso2_agorum.smartorga.timeRecording_view / _create / _search | Zeiterfassung. |
| GRP_agorum.smartorga.recipients | Empfänger-Auswahl: Nur Benutzer und Gruppen, die Mitglied dieser Gruppe sind, können als Empfänger in NORA | 360° Objekten ausgewählt werden. Alle Benutzer und Gruppen, die als Empfänger verwendet werden sollen, müssen dieser Gruppe hinzugefügt werden. |
Achtung: Die Auswahl von Empfängern in NORA | 360° ist auf Mitglieder der Gruppe GRP_agorum.smartorga.recipients beschränkt. Damit Benutzer oder Gruppen als Empfänger auswählbar sind, müssen Sie diese manuell in die Gruppe aufnehmen. Ohne diese Zuordnung erscheinen keine Empfänger in der Auswahlliste.
Benutzergruppen für NORA | 360° CRM
| Benutzergruppen (Auszug) | Verwendungszweck |
|---|---|
| GRP_acso2_agorum.smartorga.crm.customer_view / _create / _search | Kundenstamm |
| GRP_acso2_agorum.smartorga.crm.contact_view / _create / _search | Kontakte |
| GRP_acso2_agorum.smartorga.crm.opportunity_view / _create / _search | Verkaufschancen (Opportunities). |
| GRP_acso2_agorum.smartorga.crm.event_view / _create / _search | Ereignisse/Termine (CRM). |
| GRP_acso2_agorum.smartorga.crm.product_view / _create / _search | Produkte. |
| GRP_acso2_agorum.smartorga.crm.licenseType_view / _create / _search | Lizenztypen. |
| GRP_acso2_agorum.smartorga.crm.eventType_view / _create / _search | Ereignistypen. |
| GRP_acso2_agorum.smartorga.crm.contactType_view / _create / _search | Kontaktarten. |
| GRP_acso2_agorum.smartorga.crm.partner_view / _create / _search | Partner. |
| GRP_acso2_agorum.smartorga.crm.supplier_view / _create / _search | Lieferanten. |
| GRP_acso2_agorum.smartorga.business_view / _create / _search | Unternehmen. |
| GRP_acso2_agorum.smartorga.businessArea_view / _create / _search | Branchen. |
| GRP_acso2_agorum.smartorga.businessOrigin_view / _create / _search | Herkünfte. |
| GRP_acso2_agorum.smartorga.businessStorageArea_view / _create / _search | Firmen-Ablagebereiche. |
Benutzergruppen für NORA | 360° Project
| Benutzergruppen (Auszug) | Verwendungszweck |
|---|---|
| GRP_acso2_agorum.smartorga.project.project_view / _create / _search | Projekte (Projekt-Stamm). |
| GRP_acso2_agorum.smartorga.project.task_view / _create / _search | Projektaufgaben. |
| GRP_acso2_agorum.smartorga.project.sprint_view / _create / _search | Sprints. |
| GRP_acso2_agorum.smartorga.project.epic_view / _create / _search | Epics. |
Benutzergruppen für NORA | 360° Ticket
| Benutzergruppen (Auszug) | Verwendungszweck |
|---|---|
| GRP_acso2_agorum.smartorga.ticket.process_view / _create / _search | Ticket-Prozesse. |
| GRP_acso2_agorum.smartorga.ticket.task_view / _create / _search | Ticket-Aufgaben. |
| GRP_acso2_agorum.smartorga.process_view / _create / _search | Allgemeine Prozesse. |
Praxis-Rollenmodelle
Die folgenden Beispiele zeigen typische Rollenkonstellationen aus der Praxis. Sie kombinieren NORA | 360° Objekttyp-Berechtigungen mit Ordner-ACLs.
Beispiel-Rollenmodell
| Rolle/Gruppe | Darf sehen | Darf ändern | Darf anlegen |
|---|---|---|---|
| Vertrieb | Kunden, Kontakte, Chancen | eigene/zugeordnete Vorgänge | Kunden, Kontakte, Chancen |
| Projektleitung | Projekte, Aufgaben, Doku | Projekte & Aufgaben im Projekt | Projekte, Aufgaben, Sprints |
| Backoffice | Stammdaten, Verträge | Vertragsdaten, Ablage | Verträge, Dokumente |
| Administrator | alles (fachlich) | alles | alles |
Tipp: Eine zu breit gesetzte ACL auf hoher Ebene (z. B. Root einer Organisationsablage) kann schnell zu ungewollter Transparenz führen. Arbeiten Sie mit klaren Bereichen und konsequenter Vererbung.
Praxisbeispiel A: Kundenakte – Vertrieb sieht alles, ändert nur „eigene“ Inhalte
Ziel: Alle Mitarbeiter im Vertrieb sollen Kundenakten sehen; Änderungen in sensiblen Bereichen erfolgen nur durch definierte Rollen (z. B. Backoffice oder Teamleitung).
| Objekt | ACL | Berechtigte Gruppen | Kommentar |
|---|---|---|---|
| Kundenakte (Ordner) | ACL_…_customer_view | GRP_Vertrieb, GRP_Backoffice | Lesen für Vertrieb, Schreiben optional restriktiver. |
| Unterordner „Verträge“ | ACL_…_contract_view / _create | GRP_Backoffice | Sensibler Bereich, i. d. R. kein Schreibrecht für Vertrieb. |
| Unterordner „Kommunikation“ | ACL_…_common_create | GRP_Vertrieb | Vertrieb darf E-Mails/Notizen/Dokumente ablegen. |
Praxisbeispiel B: Projektakte – Projektteam arbeitet, Rest sieht nur „readonly“
Ziel: Projektmitarbeiter bearbeiten Aufgaben und Dokumente. Andere Rollen sollen den Projektstatus nur einsehen.
| Objekt | ACL | Berechtigte Gruppen | Kommentar |
|---|---|---|---|
| Projektakte (Ordner) | ACL_…_project_view | GRP_Projektleitung, GRP_Projektteam, GRP_Stakeholder | Basis-ACL: lesen für Stakeholder. |
| Unterordner „Projektmanagement“ | ACL_…_project_create / _task_create | GRP_Projektleitung, GRP_Projektteam | Schreiben/Anlegen im Projekt. |
| Unterordner „Abnahme“ | ACL_…_common_view | GRP_Stakeholder | Readonly-Bereich für Freigaben/Protokolle. |
NORA | 360° ACLs
Die folgenden ACLs steuern die Berechtigungen für die im vorigen Abschnitt beschriebenen Benutzergruppen. Im Tagesbetrieb pflegen Administratoren in der Regel nur die Benutzergruppen.
Sie finden die ACLs unter folgendem Pfad:
/agorum/roi/Administration/Role/acso2
Objekttyp-ACLs
Pro Objekttyp existieren drei ACLs (analog zu den drei Benutzergruppen):
| ACL | Wirkung |
|---|---|
ACL_acso2_<typ>_view |
Read-Recht für GRP_acso2_<typ>_view. Wird durch NORA-Decorators abgefragt, um die NORA-Card für diesen Typ zu rendern. |
ACL_acso2_<typ>_search |
Read-Recht für GRP_acso2_<typ>_search. Wird vom NORA-ACIC-Filter abgefragt, um den Typ in den NORA-Suchen aufzunehmen. |
ACL_acso2_<typ>_create |
Read-Recht für GRP_acso2_<typ>_create. Wird für Anlage-Buttons in NORA-Listen, Vorlagen-Dropdowns und Kontextmenü-Einträgen ausgewertet. |
Modulübergreifende ACLs
| ACL | Verwendungszweck |
|---|---|
| ACL_acso2_agorum.smartorga.common_view / _create / _search | Allgemeine Objektarten/Funktionen im NORA | 360° Kontext. |
| ACL_acso2_agorum.smartorga.contract_view / _create / _search | Verträge. |
| ACL_acso2_agorum.smartorga.contractType_view / _create / _search | Vertragstypen. |
| ACL_acso2_agorum.smartorga.task_view / _create / _search | Allgemeine Aufgaben (nicht projektgebunden). |
| ACL_acso2_agorum.smartorga.subTask_view / _create / _search | Unteraufgaben (nicht projektgebunden). |
| ACL_acso2_agorum.smartorga.taskArea_view / _create / _search | Aufgabenbereiche. |
| ACL_acso2_agorum.smartorga.process_view / _create / _search | Vorgänge. |
| ACL_acso2_agorum.smartorga.processArea_view / _create / _search | Vorgangsbereiche. |
| ACL_acso2_agorum.smartorga.timeRecording_view / _create / _search | Zeiterfassung. |
| ACL_acso2_folder_view / _create / _search | Ordnerobjekte im Kontext (Ablage/Struktur). |
| ACL_agorum core smart organisation 2 ACL_agorum core smart organisation 2 - use template ACL_agorum core smart organisation 2 - template builder ACL_agorum core smart organisation 2 - development |
Vorlagen |
ACLs für NORA | 360° CRM
| ACL (Auszug) | Verwendungszweck |
|---|---|
| ACL_acso2_agorum.smartorga.crm.customer_view / _create / _search | Kundenstamm |
| ACL_acso2_agorum.smartorga.crm.contact_view / _create / _search | Kontakte |
| ACL_acso2_agorum.smartorga.crm.opportunity_view / _create / _search | Verkaufschancen (Opportunities). |
| ACL_acso2_agorum.smartorga.crm.event_view / _create / _search | Ereignisse/Termine (CRM). |
| ACL_acso2_agorum.smartorga.crm.product_view / _create / _search | Produkte. |
| ACL_acso2_agorum.smartorga.crm.licenseType_view / _create / _search | Lizenztypen. |
| ACL_acso2_agorum.smartorga.crm.eventType_view / _create / _search | Ereignistypen. |
| ACL_acso2_agorum.smartorga.crm.contactType_view / _create / _search | Kontaktarten. |
| ACL_acso2_agorum.smartorga.crm.partner_view / _create / _search | Partner. |
| ACL_acso2_agorum.smartorga.crm.supplier_view / _create / _search | Lieferanten. |
| ACL_acso2_agorum.smartorga.business_view / _create / _search | Unternehmen. |
| ACL_acso2_agorum.smartorga.businessArea_view / _create / _search | Branchen. |
| ACL_acso2_agorum.smartorga.businessOrigin_view / _create / _search | Herkünfte. |
| ACL_acso2_agorum.smartorga.businessStorageArea_view / _create / _search | Firmen-Ablagebereiche. |
ACLs für NORA | 360° Project
| ACL (Auszug) | Verwendungszweck |
|---|---|
| ACL_acso2_agorum.smartorga.project.project_view / _create / _search | Projekte (Projekt-Stamm). |
| ACL_acso2_agorum.smartorga.project.task_view / _create / _search | Projektaufgaben. |
| ACL_acso2_agorum.smartorga.project.sprint_view / _create / _search | Sprints. |
| ACL_acso2_agorum.smartorga.project.epic_view / _create / _search | Epics. |
ACLs für NORA | 360° Ticket
| ACL (Auszug) | Verwendungszweck |
|---|---|
| ACL_acso2_agorum.smartorga.ticket.process_view / _create / _search | Ticket-Prozesse. |
| ACL_acso2_agorum.smartorga.ticket.task_view / _create / _search | Ticket-Aufgaben. |
| ACL_acso2_agorum.smartorga.process_view / _create / _search | Allgemeine Prozesse. |