Rechte und Rollen | signotec Knowledge Base

Berechtigungen werden in der Anwendung ausschließlich über Rollen geben. Welche Rollen ein Benutzer hat, wird über die externe Benutzerverwaltung gesteuert. Eine Rolle gehört immer zu einem Mandanten. Mehr zu Mandanten hier. Zum ersten Start der Anwendung wird vom System ein Standard-Mandant mit drei ihm zugehörigen Rollen angelegt. Diese Rollen sind ssu-user, ssu-admin und ssu-root. Bei Bedarf können weitere Rollen angelegt oder die bestehenden geändert werden.

Die Rolle ssu-root sollte nicht verändert oder gelöscht werden, ohne zuvor eine andere Rolle mit ähnlichen Berechtigungen anzulegen. Andernfalls besteht keine Möglichkeit mehr, an höhere Berechtigungen zu gelangen (ssu.server.*).

Rechte

Rechte sind hierarchisch aufgebaut und werden durch Punkte gegliedert. Alle Rechte beginnen mit dem Präfix ssu. Ein * am Ende einer Ebene schließt alle untergeordneten Rechte ein. Beispiel: ssu.* umfasst sämtliche Rechte im Namensraum ssu. Wird eine bestehende Ebene später weiter unterteilt, gilt das bisherige Recht implizit als mit * abgeschlossen, um Kompatibilität zu wahren.
Bestimmte Rechte erfordern andere Rechte, um sie in Anspruch nehmen zu können. Auch das wird in der Hierarchie berücksichtig. So impliziert das Recht ssu.user.documents.sharingcases das vorausgesetzte Recht ssu.user.documents.

Folgende Rechte existieren:

Recht	Effekt
`ssu.login`	Erlaubt die Authentifizierung im System.
`ssu.user.documents`	Erlaubt das Persistieren von Dokumenten in der Datenbank.
`ssu.user.documents.sharingcases`	Erlaubt das direkte Teilen von einzelnen Dokumenten mit systemfremden Benutzern.
`ssu.user.documents.workflows`	Erlaubt die Verwendung der Workflow-Funktionen.
`ssu.user.doctypes`	Erlaubt einem Benutzer die Verwaltung der eigenen Dokumententypen.
`ssu.user.settings`	Erlaubt einem Benutzer die Verwaltung der eigenen Benutzereinstellungen.
`ssu.user.sign.mouse`	Erlaubt Maus-Eingabe für handschriftliche Unterschriften.
`ssu.user.sign.touch`	Erlaubt Touch-Eingabe für handschriftliche Unterschriften.
`ssu.user.sign.pen`	Erlaubt elektronische Stifte für handschriftliche Unterschriften.
`ssu.user.sign.pad`	Erlaubt die Verwendung von signotec Signiergeräte für handschriftliche Unterschriften. Für die Verwendung der Signiergeräte im Web-Umfeld ist die Installation der signoPAD-API/Web erforderlich.
`ssu.user.sign.click`	Erlaubt die Verwendung von click-to-sign, zum signieren.
`ssu.user.sign.signme`	Erlaubt den Gebrauch von qualifizierten Signaturen mittels sign-me.
`ssu.tenant.users`	Ermöglicht dem Anwender im Namen anderer Benutzer des eigenen Mandanten Operationen durchzuführen. Welche Operationen das sind, hängt von den eigenen Berechtigungen aus der Gruppe `ssu.user` ab. So kann ein Anwender mit den Rechten `ssu.tenant.users` und `ssu.user.documents` Dokumente anderer Benutzer des eigenen Mandanten verwalten, aber beispielsweise nicht signieren, weil dazu ein Recht aus der Gruppe `ssu.user.sign` fehlt. Siehe auch Operationen im Namen anderer Benutzer durchführen.
`ssu.tenant.doctypes`	Erlaubt die Verwaltung für Dokumententypen des eigenen Mandanten.
`ssu.tenant.settings`	Ermöglicht die Verwaltung der vom eigenen Mandanten definierten Benutzereinstellungen.
`ssu.tenant.roles`	Erlaubt der Verwaltung der Rollen des eigenen Mandanten.
`ssu.tenants.users`	Dieses Recht verhält sich identisch zu `ssu.tenant.users`, aber weitet den Zugriff auf alle Benutzer des Systems aus.
`ssu.tenants.doctypes`	Erlaubt die Verwaltung für Dokumententypen aller Mandanten.
`ssu.tenants.settings`	Ermöglicht die Verwaltung der von den Mandanten definierten Benutzereinstellungen mandantenübergreifend.
`ssu.tenants.roles`	Erlaubt der Verwaltung der Rollen aller Mandanten.
`ssu.server.tenants`	Erlaubt die Verwaltung von Mandanten im System. Dazu gehören Anlegen, Ändern und Löschen, sowie das vorzeitige Anlegen von Benutzern.

Rollen

Rechte werden in der Anwendung niemals individuell vergeben, sondern werden immer durch Rollen zusammengefasst. Rollen können entweder über die Pool-Anwendung oder die REST-API verwaltet werden. Verwaltung bedeutet hier, dass ein Name für die Rolle und die beinhalteten Rechte definiert werden können. Bei der Vergabe der Rechte gibt es Einschränkungen, um eine ungewünschte Rechteeskalation zu verhindern. So erfordert das Definieren von Rollen im eigenen Mandanten das Recht ssu.tenant.roles und erlaubt das Vergeben von Rechten aus den Gruppen ssu.user.* und ssu.tenant.*. Das Recht ssu.tenants.roles dagegen ist in der Lage mandantenübergreifend Rollen zu definieren und ist auch nicht eingeschränkt in der Vergabe der Rechte.

Die Standard-Rollen

Folgende Rollen werden beim ersten Start der Anwendung automatisch angelegt.

Rollenname	Berechtigungen	Beschreibung
`ssu-user`	`ssu.login` `ssu.user.*`	Diese Rolle hat Berechtigungen auf alle Benutzerfunktionen und ist für den Gebrauch der Anwendung als normaler Anwender gedacht.
`ssu-admin`	`ssu.login` `ssu.user.` `ssu.tenant.`	Diese Rolle ist für administrative Zwecke vorgesehen. Damit lassen sich die Benutzerdaten aller Anwender des Standard-Mandanten sowie deren Dokumente und Einstellungen einsehen und ändern.
`ssu-root`	`ssu.login` `ssu.*`	Diese Rolle ist ausschließlich für den Systembetreiber vorgesehen. Neben allen mandantenübergreifenden Zugriffen darf sie auch sensible Operationen, wie das Anlegen von Mandanten, durchführen.

Operationen im Namen anderer Benutzer durchführen

Mithilfe der Berechtigungen ssu.tenant.users und ssu.tenants.users ist es möglich, im Namen eines anderen Benutzers zu agieren. Operationen dieser Art können in den Audit-Protokollen nachverfolgt werden.