PORTAL und PPS Knowledge Base

Verwaltung für Berechtigungsgruppen

Im PEIQ Portal werden Berechtigungsrollen und Berechtigungen in sogenannten Berechtigungsgruppen zusammengefasst. Diese Berechtigungsgruppen können nur von Benutzer:innen mit der Rolle “Zugang zur Verwaltung für Berechtigungsgruppen” editiert werden.

Die Verwaltung von Berechtigungsgruppen ist ein wichtiges Tool, um zu steuern, welche Benutzergruppen welche Funktionen auf dem PORTAL nutzen können. Admins stehen die verschiedenen Berechtigungsrollen zur Verfügung, welche sie zu individuellen Berechtigungsgruppen zusammenfassen können. Über das Benutzer:in bearbeiten-Formular können Benutzer:innen dann diesen Berechtigungsgruppen hinzugefügt werden.

Funktionalitäten der Verwaltung für Berechtigungsgruppen

  • Zusammenfassung von Berechtigungsrollen zu Berechtigungsgruppen

  • Steuerung des Funktionsumfangs verschiedener Gruppen

  • Änderung der Default-Gruppe

Inhaltsverzeichnis

Tutorial: Berechtigungsgruppen verwalten

Das folgende Video-Tutorial gibt einen Einblick in die Funktionen der Verwaltung für Berechtigungsgruppen:

Allgemeine Beschreibung

  • Die Verwaltung von Berechtigungsgruppen ist eine Adminfunktion und kann von berechtigten Benutzer:innen über die Administration & Moderation oder unter /admin/group aufgerufen werden. In der Verwaltung der Berechtigungsgruppen können beliebig viele Berechtigungsgruppen erstellt und bestehende Gruppen bearbeitet oder gelöscht werden. Ein Gruppe benötigt einen Namen sowie eine Beschreibung.

  • Benutzer:innen mit der Rolle Zugang zur Verwaltung für Berechtigungsgruppen / Berechtigungsgruppen erstellen, bearbeiten und löschen haben Zugriff auf alle verfügbaren Rollen und können diese frei anderen Gruppen zuweisen. In der Regel sind nur diejenigen Rollen verfügbar, deren zugehöriges Modul (Ausnahme: Cockpits) aktiviert wurde. Einzelne, zu aktivierende Features tauchen eventuell in der Übersicht auf, sind jedoch als solche entsprechend gekennzeichnet.

  • Admins können dem oder der Benutzer:in im Benutzer:in bearbeiten-Formular die entsprechenden Berechtigungsgruppen zuweisen.

Aufbau der Verwaltung

Neben dem Button "Gruppe erstellen" findet sich in der Verwaltung eine Übersicht aller vorhandenen Berechtigungsgruppen mit Absprung zum entsprechenden Berechtigungsgruppen-Formular. Unter der Tabelle haben Admins die Möglichkeit, die Default-Gruppe zu ändern.

Ansicht der Adminverwaltung für Berechtigungsgruppen

Funktionen der Verwaltung

Berechtigungsgruppe erstellen und konfigurieren

Berechtigungsgruppe bearbeiten
  • Mit Klick auf den Button "Berechtigungsgruppe erstellen" öffnet sich das entsprechende Formular.

  • Zunächst müssen ein Name sowie eine Beschreibung vergeben werden.

  • Anschließend können unter dem Reiter " Berechtigungen konfigurieren" je Modul verschiedene Berechtigungsrollen vergeben werden. Für eine einfachere Bedienung sind die Rollen in verschiedenen Gruppen gegliedert, sodass mit einem Klick mehrere, thematisch ähnliche Berechtigungsrollen vergeben bzw. entzogen werden können.

  • Im Reiter "Übersicht der aktuellen Konfiguration" kann die Berechtigungsgruppe nochmal hinsichtlich der vergebenen Rollen überprüft werden. Links in die jeweiligen Module für ein schnelleres Korrigieren sind dabei vorhanden.

  • Die Gruppe selbst bzw. Änderungen an der Berechtigungsgruppe werden erst mit Klick auf den "Speichern"-Button wirksam. Benutzer:innen, die das Formular nach Änderungen ohne Speichern verlassen möchten, erhalten eine entsprechende Hinweismeldung.

Bestehende Gruppen können über den Stift-Button in der Tabelle editiert werden.

Beschreibung der Berechtigungsrolle

Im Formular erscheint im Reiter “Berechtigungen konfigurieren” beim Darüberschweben über die entsprechende Berechtigungsrolle eine Sprechblase mit der Beschreibung der Rolle.

Icons / Symbole bei Berechtigungsrollen

  • Stern-Ausrufezeichen-Icon: Bei Berechtigungsrollen mit einem Stern-Ausrufezeichen-Icon handelt es sich um ein aktivierbares Feature innerhalb der verfügbaren Module. Sofern das Feature nicht aktiviert wurde, können dessen Funktionen nicht genutzt werden – unabhängig davon, ob die Berechtigung vergeben wurde oder nicht.

  • Benutzer-File-Icon: Das Benutzer-File-Icon zeigt an, dass über diese Berechtigungsrolle Funktionen zur Verarbeitung von personenbezogenen Daten freigeschalten werden. Vor dem Hintergrund des Sicherheits- und Datenschutzkonzeptes sollte hier genau überlegt werden, welchen Benutzergruppen solche Funktionen freigeschaltet werden.

  • Beziehung-Icon: Das Beziehung-Icon weist darauf hin, dass die entsprechende Berechtigungsrolle mindestens eine weitere Berechtigungsrolle voraussetzen. Beim Klick auf das Icon, wird über eine Sprechblase angezeigt, um welche Rolle(n) es sich dabei handelt. Sollte(n) die vorausgesetzte(n) Berechtigungsrollen nicht vergeben worden sein, können die Funktionen der abhängigen Berechtigungsrolle von der Gruppe nicht genutzt werden. 

Tipp: Alle Berechtigungsgruppen, die auf Verwaltungen zugreifen sollen, benötigen die Rolle “Zugang zur Verwaltungsübersicht” (im Reiter “Allgemein”).

Default-Gruppe

Default-Gruppe ändern

Die Default-Gruppe wird neu registrierten Benutzer:innen ausnahmslos und automatisch zugewiesen und kann deswegen nicht gelöscht werden. Die Default-Gruppe ist mit einem Stern markiert.

Unter der Tabelle der vorhandenen Berechtigungsgruppen befindet sich die Schaltfläche "Default Gruppe ändern". Es ist beispielsweise sinnvoll die Default-Gruppe zu ändern,

  1. um Spammer-Attacken in einem ersten Schritt abzuwehren, indem die neue Default-Gruppe keine Berechtigungen enthält (Sicherheitsfeature).

  2. bei Änderungen des Rechtemodells (z. B. wenn man neuen Benutzer:innen allgemein mehr/weniger Funktionen bereitstellen will), welche sich jedoch nicht auf die bestehenden Benutzer:innen auswirken sollen. Achtung: Falls einer Benutzergruppe unabhängig vom Registrierungsdatum Berechtigungen entzogen werden sollen, empfiehlt es sich die entsprechenden Berechtigungsgruppen zu editieren.

Verhältnis von Berechtigungen, Berechtigungsrollen und -gruppen

  • Berechtigungsrollen fassen mehrere Berechtigungen zusammen.

  • Berechtigungsrollen sind von dem bzw. der Benutzer:in nicht editierbar und werden von PEIQ zur Verfügung gestellt.

  • Jedes Modul hat eigene Berechtigungsrollen, die von anderen Modulen unabhängig sind.

  • Im PEIQ PORTAL werden Berechtigungsrollen von Admins über die Verwaltung zu verschiedenen Berechtigungsgruppen zusammengefasst.

FAQ

Sofort-Hilfe bei SPAM(MER)-Attacken

SPAM und Trolle sind so alt wie das Internet selbst. Im PEIQ PORTAL gibt es viele Barrieren gegen automatisierte SPAM-Attacken mit Bots, z. B. Zwei-Schritt-Bestätigung einer Mailadresse und Captchas.

Gelegentlich kann es dennoch vorkommen, dass übel meinende Personen dem PORTAL mit einer SPAM-Attacke schaden wollen. Hierbei handelt es sich nicht um Bots, sondern meist um Menschen, die mit dem Spamming beauftragt wurden. In diesem Falle sollten folgende Sofortmaßnahmen, welche auf dem PEIQ Rollen- & Rechte-System beruhen, getroffen werden.

Schritt 1: Default-Gruppe für SPAMMER erstellen

PEIQ empfiehlt grundsätzlich das Erstellen einer Berechtigungsgruppe, die keine Berechtigungen hat. Das geht sehr einfach über die Verwaltung für Berechtigungsgruppen (/admin/group/new).

Schritt 2: Default-Gruppe auf "SPAMMER" stellen

Im Falle einer Attacke kann die Default-Gruppe in der Verwaltung für Berechtigungsgruppen sehr einfach auf die SPAMMER-Berechtigungsgruppe gestellt werden. Die Default-Gruppe bekommt jede:r neu registrierte:r Benutzer:in automatisch zugewiesen. Spammer können so kurzfristig unschädlich gemacht werden, weil sie keine Aktionen auf dem PORTAL durchführen können.

Sofern es sich um reale, neu-registrierende Benutzer:innen handelt, können diese über die Benutzerverwaltung (/admin/user) gefunden und im “Benutzer-bearbeiten”-Formular einzeln freigeschaltet werden, indem sie der Gruppe mit der eigentlich geltenden Standardberechtigung zugewiesen werden.

Schritt 3: Zuletzt registrierte Benutzer:innen kontrollieren (und ggf. sperren)

Sofern es sich um SPAMMER-Benutzer:innen handelt, können diese im “Benutzer-bearbeiten”-Formular einzeln gesperrt werden. Gesperrte Benutzer:innen können sich nicht mehr anmelden.

Schritt 4: SPAMMER ggf. löschen

Berechtigte Benutzer:innen (Rolle “Allgemeine Verwaltungsfunktionen” sowie “Benutzerverwaltung”) können bei einem SPAM-Angriff von der Mehrfachauswahl Gebrauch machen, um unliebsame Benutzer:innen über die Benutzerverwaltung gesammelt zu löschen.

Beim Löschen der Benutzer:innen werden auch alle Daten des Benutzers bzw. der Benutzerin, wie beispielsweise seine/ihre erstellten Beiträge, Schnappschüsse und Veranstaltungen sowie seine/ihre Kommentare, gelöscht. Darum sollten die Benutzer:innen erst gelöscht werden, wenn die Daten nicht mehr benötigt werden.

 

Verwandte Seiten

 

Nur für PEIQ-Mitarbeiter:innen
https://peiq.atlassian.net/wiki/x/YIA-Aw