Zum Hauptinhalt springen

Berechtigungen festlegen

AI-Corporate Security basiert auf Rollen mit Berechtigungen.

Konten und Rollen

Konten werden automatisch nach einem erfolgreichen ersten Anmeldeversuch erstellt. Bei der Erstellung von Konten werden Token auf dem Server hinzugefügt, die die Basisrolle bestimmen. Diese Rollen können später von berechtigten Administratoren angepasst werden. Die ursprünglichen Token sind in der Regel:

  • Mitarbeiter (ja/nein): wird auf "ja" gesetzt, wenn die E-Mail-Adresse mit einer E-Mail-Adresse in der Mitarbeiterliste übereinstimmt.
  • Standort-Admin (ja/nein): wird anfänglich meist auf "nein" gesetzt und später zugewiesen.
  • Umgebungs-Admin (ja/nein): wird anfänglich meist auf "nein" gesetzt und später zugewiesen.
  • Super Admin (ja/nein): wird anfänglich meist auf "nein" gesetzt (außer für den ersten Super Admin) und später zugewiesen.

Rollenänderung

Ein Super Admin, Umgebungs-Admin oder Standort-Admin kann Rollen zuweisen, abhängig von der eigenen Rolle und den zugewiesenen Berechtigungen zur Rollenverwaltung. Die Hierarchie ist typischerweise:

  • Ein Super Admin kann alle anderen Rollen (Umgebungs-Admin, Standort-Admin, Mitarbeiter) zuweisen.
  • Ein Umgebungs-Admin kann Rollen wie Standort-Admin und Mitarbeiter innerhalb der eigenen Umgebung zuweisen.
  • Ein Standort-Admin kann die Rolle Mitarbeiter innerhalb des eigenen Standorts/Geltungsbereichs zuweisen.
  • Ein Mitarbeiter kann keine Rollen zuweisen.

Eine Rollenänderung geht mit der Anpassung der relevanten Token auf dem Server einher.

Berechtigungsrollen

Im Administrationsbereich kann ein Super Admin oder Umgebungs-Admin Berechtigungen pro Rolle anpassen. Die verfügbaren Rollen, für die Berechtigungen festgelegt werden können, sind: Super Admin, Umgebungs-Admin, Standort-Admin, Mitarbeiter und Gast.

Die Rolle Gast bezieht sich auf Berechtigungen, die nicht angemeldeten Benutzern zugewiesen werden. Nicht angemeldete Benutzer müssen mindestens die Basisdaten der Umgebungen lesen können, da sonst keine Auswahl auf dem Anmeldebildschirm getroffen werden kann. Seien Sie bei der Zuweisung zusätzlicher Berechtigungen an die Gast-Rolle sehr zurückhaltend!

Kollektionen

Berechtigungen werden pro Kollektion erteilt. Eine Kollektion ist eine Sammlung ähnlicher Daten. Es gibt beispielsweise eine Kollektion "Organisationen" und eine Kollektion "Chats".

Berechtigungen in der Standarddatenbank festlegen

Nur Super Admins können Berechtigungen in der Standarddatenbank festlegen.

Berechtigungen in der Mandantendatenbank festlegen

Nach der Auswahl einer Rolle (Super Admin, Umgebungs-Admin, Standort-Admin, Mitarbeiter, Gast) kann der Administrator die Berechtigungen pro Kollektion in der Mandantendatenbank anpassen.

Leseberechtigungen

Leseberechtigungen betreffen das Lesen von Daten aus der Datenbank.

Die Rechte sind aufsteigend einstellbar:

  • Einzelner Datensatz: Der Benutzer muss die eindeutige UUID des Datensatzes kennen

  • Eigene Datensätze: Nur Datensätze, die der Benutzer selbst erstellt hat

  • Freigegebene Datensätze: Datensätze, die mit dem Benutzer geteilt wurden

  • Kontrollierte Datensätze: Datensätze unter Kontrolle eines Managers oder Administrators (z.B. Standort-Admin oder Umgebungs-Admin), etwa Chats, die mit einer bestimmten Abteilung oder einem Projekt verbunden sind

  • Mandantendatensätze: Alle Datensätze eines Mandanten auf AI-Corporate

  • Alle Datensätze: Alle Datensätze von AI-Corporate

Da die Datenbankstruktur so aufgebaut ist, dass jeder Mandant (Kunde) von AI-Corporate eine eigene Datenbank hat, ist die Einstellung "Mandantendatensätze" beim Festlegen von Berechtigungen in Mandantendatenbanken deaktiviert.

Ansichtsberechtigungen

Hier kann der Administrator festlegen, ob die betreffende Rolle (Super Admin, Umgebungs-Admin, Standort-Admin, Mitarbeiter) die Kachel im Administrationsbereich sehen darf.

Erstellen, Aktualisieren, Löschen von Berechtigungen

Diese Berechtigungen dienen dem Erstellen, Aktualisieren oder Löschen von Datensätzen und sind pro Kollektion einstellbar. Die Rechte sind aufsteigend einstellbar:

  • Eigene Datensätze: Nur Datensätze, die der Benutzer selbst erstellt oder erstellt hat

  • Mandantendatensätze: Alle Datensätze eines Mandanten auf AI-Corporate

  • Alle Datensätze: Alle Datensätze von AI-Corporate

Da die Datenbankstruktur so aufgebaut ist, dass jeder Mandant (Kunde) von AI-Corporate eine eigene Datenbank hat, ist die Einstellung "Mandantendatensätze" beim Festlegen von Berechtigungen in Mandantendatenbanken deaktiviert.