Handbuch:Erweiterung/BlueSpicePermissionManager: Unterschied zwischen den Versionen

[freigegebene Version][freigegebene Version]
(Markierung: 2017-Quelltext-Bearbeitung)
(Markierung: 2017-Quelltext-Bearbeitung)
 

Zugang zur Rechteverwaltung[Bearbeiten | Quelltext bearbeiten]

Die Erweiterung BlueSpicePermissionManager bietet eine einfache Möglichkeit, Benutzerberechtigungen im Wiki zu verwalten. Ein Link zur Rechteverwaltung befindet sich unter Globale Aktionen > Verwaltung. Dieser Link führt zur Seite Spezial:PermissionManager.


Rechteverwaltung
Rechteverwaltung

Rollen-basierte Rechte[Bearbeiten | Quelltext bearbeiten]

Video-Tutorial: Rechteverwaltung
Video-Tutorial: Rechteverwaltung

Seit BlueSpice Version 3 werden Rollen verwendet, um die Rechteverwaltung zu vereinfachen. In Rollen sind mehrere individuelle Berechtigungen gesammelt, die oft gebündelt erforderlich sind, um bestimmte Funktionen im Wiki auszuführen. Zum Beispiel sind für einen Benutzer, der im Wiki nur lesen darf, viele Berechtigungen zusätzlich zu den "Lese"-Berechtigungen erforderlich. Jeder Benutzer hat die Möglichkeit, eigene Einstellungen zu ändern, das Wiki zu durchsuchen und Seitenbewertungen anzuzeigen. Auf diese Weise müssen Wiki-Administratoren, die einer Benutzergruppe Leserechte für das Wiki gewähren möchten, nur diese "reader"-Rolle für die Gruppe zuweisen.

Durch Zuweisen einer Rolle zu einer Gruppe erhalten alle Benutzer, die zu dieser Gruppe gehören, die in der Rolle enthaltenen Rechte. Rollen werden also nicht direkt einzelnen Benutzern zugewiesen.


Rechtesystem-1.drawio.png


Die Rollenmatrix[Bearbeiten | Quelltext bearbeiten]

Die Rechteverwaltungbesteht aus dem Gruppenbaum (1) und der Rollenmatrix (2):
Rollenmatrix


Der Gruppenbaum auf der linken Seite zeigt alle Gruppen hierarchisch an:

  • Gruppe "*": Alle nicht angemeldeten Benutzer (anonyme Benutzer) gehören dieser Gruppe an
  • Gruppe "user" (Benutzer): Die Standardgruppe für alle angemeldeten Benutzer.
  • Untergruppen der Gruppe "user"
    • Systemgruppen (nicht löschbar): sysop, bureaucrat, bot, autoconfirmed
    • Erweiterungsspezifische Gruppen: smwadministrator, smwcurator (SMW); widgeteditor (Widgets), reviewer, editor, autoreviewer (FlaggedRevs) Die Standardrechte dieser Gruppen werden vom Erweiterungscode bestimmt. Diese Standards können in der lokalen Konfiguration der Wiki-Instanz überschrieben werden.
    • Gruppen, die von Administratoren in der Gruppenverwaltung erstellt wurden

Die Spalten in der Rollenmatrix:

  • Rolleninformation (Info-Icon): Dieses Symbol öffnet einen Dialog, in dem alle Rechte aus einer Rolle aufgeführt sind. Diese Liste kann exportiert werden.
  • Rollenname
  • Wiki: Zuordnung einer Rolle zum Wiki. Durch Zuweisen der Rolle in dieser Spalte erhält die Benutzergruppe Berechtigungen namensraumübergreifend.
  • Namensräume: Die Spalten repräsentieren jeden Namensraum im Wiki.
    • Rollen können innerhalb von Namensräumen zugewiesen werden. Wenn einer Gruppe in einem Namensraum explizit eine Rolle zugewiesen wird, verlieren alle anderen Gruppen die Berechtigungen für diese Rolle und müssen entsprechend explizit wieder für diese gesetzt werden, falls erwünscht.
    • Mehrere Gruppen können eine Rolle für einen Namensraum zugewiesen bekommen.
    • Welche Namensräume in der Matrix angezeigt werden, können Sie steuern, indem Sie dem Raster eine Spalte hinzufügen. Klicken Sie in der Tabellenüberschrift auf einen Pfeil, dann auf "Spalten" und wählen Sie die gewünschten Spalten aus.

Rollenvererbung[Bearbeiten | Quelltext bearbeiten]

Standardmäßig werden alle Rollen, die der Gruppe "*" zugewiesen wurden, auch der Gruppe "user" zugewiesen, und alle Rollen, die der Gruppe "user" zugewiesen wurden, werden allen Gruppen zugewiesen, die eine Untergruppe der Gruppe "user" sind. Wenn eine Gruppe die Rolle vom übergeordneten Gruppenfeld in der Rollenmatrix erbt, wird dies in Grün angezeigt, das Kontrollkästchen wird jedoch nicht aktiviert.

Standardrollen[Bearbeiten | Quelltext bearbeiten]

Standardmäßig bietet BlueSpicePermissionManager eine Reihe vordefinierter Rollen, die für die typischen Anforderungen an Benutzertypen erstellt wurden:
Rechte der Rolle "bot"
Rechte in einer Rolle
  • bot: existiert zur Ausführung wiederkehrender Systemaktionen. Diese Rolle ist in BlueSpice dem BSMaintenance-Benutzer über die gleichnamige bot-Gruppe zugeordnet. Die bot-Gruppe sollte normalerweise nicht geändert werden.
  • admin: ermöglicht den Zugriff auf alle administrativen Spezialseiten sowie generell alle gängigen Verwaltungsfunktionen wie die Rechteverwaltung.
  • maintenanceadmin: ähnlich der admin-Rolle, aber mit erweiterten Adminrechten, um die Integrität des Wikis sicherzustellen.
  • author: ermöglicht eigentlich das Erstellen von Seiten. Das Bearbeiten, Verschieben oder Löschen von Seiten ist in dieser Rolle nicht enthalten.
  • editor: ermöglicht das Bearbeiten, Verschieben und Löschen von Seiten.
  • reviewer: Wenn Sie in einem Namensraum auch die Begutachtungsfunktion und somit Entwurfsseiten aktiviert haben, muss es mindestens eine Gruppe mit der Rolle reviewer geben. Standardmäßig gibt es hierfür die Gruppe „reviewer“. Nur Benutzer in der Rolle reviewer können Entwurfsseiten freigeben. Die Reviewer Gruppe benötigt generell Lese-, Schreib- und Reviewer Rechte über die entsprechenden drei Rollen reader, editor und reviewer. Wenn Sie die Begutachtungsfunktion in keinem Namensraum aktiviert haben, benötigen Sie diese Rolle in Ihrem Wiki allerdings nicht.
  • accountmanager: ermöglicht die Verwaltung von Benutzerkonten. Da Benutzerkonten unabhängig von Namensräumen im Wiki verwaltet werden, kann diese Rolle nicht auf einzelne Namensräume beschränkt werden. Ausgegraute Namensräume haben hier keine Bedeutung, solange die Rolle im Wiki selbst grün hinterlegt ist.
  • structuremanager: ermöglicht einige Aktionen zur Wikipflege wie das Verschieben von Seiten, Massenlöschung von Seiten oder Text suchen und ersetzen, sowie das Umbenennen von Namensräumen.
  • accountselfcreate: ermöglicht das automatische Erstellen von neuen Benutzerkonten und wird für Single-sign-on benötigt. Diese Rolle können Sie zum Beispiel anonymen Benutzern zuordnen, die sich ihr Konto selbst erstellen können.
  • commenter: ermöglicht das Erstellen von Diskussionsbeiträgen und Seitenbewertungen, aber nicht von Seiten selbst. Die Rolle editor beinhaltet alle Rechte der Rolle commenter. Wenn eine Gruppe editor Rechte hat, benötigt sie keine gesonderten commenter Rechte.
  • reader: ermöglicht das Lesen von Wikiseiten. Benutzer können außerdem ihre persönlichen Einstellungen bearbeiten.

Wichtig! Die Standardrollen und darin gebündelte Berechtigungen unterscheiden sich in der Rechteverwaltung von BlueSpice pro Cloud.

Besonderheiten[Bearbeiten | Quelltext bearbeiten]

  • Sichtbarkeit der Seitennamen: Selbst wenn die "Leser"-Rolle für einen bestimmten Namespace explizit festgelegt ist, können nicht-berechtigte Benutzer die Seitennamen weiterhin sehen (z. B. über Spezial: Alle_Seiten). Der Seiteninhalt kann jedoch nicht eingesehen werden.
  • Eingeschränkte Transklusion: Wenn Sie einem Namensraum die Rolle "Leser" (oder eine andere Rolle, die die Berechtigung "Lesen" enthält) zuweisen, wird dieser Namensraum automatisch so konfiguriert, dass er nicht transkludierbar ist. Dies ist aus Sicherheitsgründen so, da MediaWiki beim Übertragen von Inhalten keine Berechtigungen überprüft.
  • Implizite / explizite Rechtezuweisungen:
    • Globale Rechtezuweisung: Wenn eine Berechtigung / Rolle auf Namensraum-Ebene zugewiesen werden soll, muss sie auch auf wiki-weiter/globaler Ebene zugewiesen werden (Spalte "Wiki"). Hierdurch wird die Berechtigung auch implizit allen anderen Namensräumen zugewiesen, es sei denn, andere Gruppen haben eine explizite Zuweisung für einen Namensraum.
    • Rechtezuweisungen erkennen: Auf der Seite Spezial:Rechteverwaltung ist eine implizite Rechtezuweisung grün hinterlegt, eine explizite Zuweisung mit blauem Häckchen gekennzeichnet. Geblockte Namensräume sind grau hinterlegt. Die Gruppe, die die Rolle blockt, wird als Tooltip bei Maus-Hover angezeigt.

Technische Details[Bearbeiten | Quelltext bearbeiten]

Protokollierung[Bearbeiten | Quelltext bearbeiten]

Jede Änderung an den Rollen wird im Rechteverwaltungs-Logbuch protokolliert, das Sie unter Spezial:Logbuch unter Rechteverwaltungs-Logbuch finden. Diese Protokolle sind nur für Wiki-Administratoren verfügbar.

Backups[Bearbeiten | Quelltext bearbeiten]

Alle Änderungen an der Rollenmatrix werden gesichert. Standardmäßig werden die letzten 5 Sicherungen aufbewahrt. Diese Begrenzung kann in der Konfigurationsverwaltung für die Erweiterung BlueSpicePermissionManager geändert werden.

Verwandte Themen

{{DISPLAYTITLE:Rechteverwaltung}}
        
        __TOC__
        
<section begin="beschreibung" />
        
        ==Zugang zur Rechteverwaltung==
        
        Die Erweiterung '''BlueSpicePermissionManager''' bietet eine einfache Möglichkeit, Benutzerberechtigungen im Wiki zu verwalten. Ein Link zur Rechteverwaltung befindet sich unter ''Globale Aktionen > Verwaltung''. Dieser Link führt zur Seite <code>Spezial:PermissionManager</code>.
        <section end="beschreibung" />
        <br />[[Datei:PermissionManager1a.png| thumb|alternativtext=Rechteverwaltung|zentriert|650x650px|Rechteverwaltung]]
        

        ==Rollen-basierte Rechte==
        
        [[Datei:thumb-Rechteverwaltung-sm.png|300x300px|link=https://youtu.be/9JqUiCAjwL4|alt=Video-Tutorial: Rechteverwaltung|Video-Tutorial: Rechteverwaltung|mini]]
        
        Seit  BlueSpice Version 3 werden Rollen verwendet, um die Rechteverwaltung zu vereinfachen.
        
        In Rollen sind '''mehrere individuelle Berechtigungen gesammelt,''' die oft gebündelt erforderlich sind, um bestimmte Funktionen im Wiki auszuführen. Zum Beispiel sind für einen Benutzer, der im Wiki nur lesen darf, viele Berechtigungen zusätzlich zu den "Lese"-Berechtigungen erforderlich. Jeder Benutzer hat die Möglichkeit,  eigene Einstellungen zu ändern, das Wiki zu durchsuchen und Seitenbewertungen anzuzeigen. Auf diese Weise müssen Wiki-Administratoren, die einer Benutzergruppe Leserechte für das Wiki gewähren möchten, nur diese "reader"-Rolle für die Gruppe zuweisen.
        

        Durch Zuweisen einer Rolle zu einer Gruppe erhalten alle Benutzer, die zu dieser Gruppe gehören, die in der Rolle enthaltenen Rechte. Rollen werden also nicht direkt einzelnen Benutzern zugewiesen.
        
<br />
        
        [[Datei:Rechtesystem-1.drawio.png]]
        
<br />
        
        ==Die Rollenmatrix==
        
        Die Rechteverwaltungbesteht aus dem Gruppenbaum (1) und der Rollenmatrix (2):[[File:PermissionManager2a.png| Rollenmatrix|rand|zentriert|550x550px|alternativtext=Rollenmatrix]]
        

        Der Gruppenbaum auf der linken Seite zeigt alle Gruppen hierarchisch an:
        <section begin="training-gruppen" />
        

        *'''Gruppe "*":''' Alle nicht angemeldeten Benutzer (anonyme Benutzer) gehören dieser Gruppe an
        
        *'''Gruppe "user" (Benutzer):''' Die Standardgruppe für alle angemeldeten Benutzer.
        
        *'''Untergruppen der Gruppe "user"'''
        
        **''Systemgruppen (nicht löschbar):'' sysop, bureaucrat, bot, autoconfirmed
        
        **''Erweiterungsspezifische Gruppen:'' smwadministrator, smwcurator (SMW); widgeteditor (Widgets), reviewer, editor, autoreviewer (FlaggedRevs)  Die Standardrechte dieser Gruppen werden vom Erweiterungscode bestimmt. Diese Standards können in der lokalen Konfiguration der Wiki-Instanz überschrieben werden.
        
        **Gruppen, die von Administratoren in der Gruppenverwaltung erstellt wurden
        <section end="training-gruppen" />
        

        Die Spalten in der Rollenmatrix:
        

        *'''Rolleninformation''' (Info-Icon): Dieses Symbol öffnet einen Dialog, in dem alle Rechte aus einer Rolle aufgeführt sind. Diese Liste kann exportiert werden.
        
        *'''Rollenname'''
        
        *'''Wiki:''' Zuordnung einer Rolle zum Wiki. Durch Zuweisen der Rolle in dieser Spalte erhält die Benutzergruppe Berechtigungen namensraumübergreifend.
        
        *'''Namensräume''': Die Spalten repräsentieren jeden Namensraum im Wiki.
        
        **Rollen können innerhalb von Namensräumen zugewiesen werden. Wenn einer Gruppe in einem  Namensraum explizit eine Rolle zugewiesen wird, verlieren alle anderen Gruppen die Berechtigungen für diese Rolle und müssen entsprechend explizit wieder für diese gesetzt werden, falls erwünscht.
        
        **Mehrere Gruppen können eine Rolle für einen Namensraum zugewiesen bekommen.
        
        **Welche Namensräume in der Matrix angezeigt werden, können Sie steuern, indem Sie dem Raster eine Spalte hinzufügen. Klicken Sie in der Tabellenüberschrift auf einen Pfeil, dann auf "Spalten" und wählen Sie die gewünschten Spalten aus.
        

        ===Rollenvererbung===
        
        Standardmäßig werden alle Rollen, die der Gruppe "*" zugewiesen wurden, auch der Gruppe "user" zugewiesen, und alle Rollen, die der Gruppe "user" zugewiesen wurden, werden allen Gruppen zugewiesen, die eine Untergruppe der Gruppe "user" sind.
        
        Wenn eine Gruppe die Rolle vom übergeordneten Gruppenfeld in der Rollenmatrix erbt, wird dies in Grün angezeigt, das Kontrollkästchen wird jedoch nicht aktiviert.
        
        ==Standardrollen==
        
        Standardmäßig bietet BlueSpicePermissionManager eine Reihe vordefinierter Rollen, die für die typischen Anforderungen an Benutzertypen erstellt wurden:[[Datei:Handbuch:bot-permissions-DE.png|alternativtext=Rechte der Rolle "bot"|zentriert|mini|450x450px|Rechte in einer Rolle|verweis=https://de.wiki.bluespice.com/wiki/Datei:Handbuch:bot-permissions-DE.png]]
        

        *'''bot:''' existiert zur Ausführung wiederkehrender Systemaktionen. Diese Rolle ist in BlueSpice dem BSMaintenance-Benutzer über die gleichnamige bot-Gruppe zugeordnet. Die bot-Gruppe sollte normalerweise nicht geändert werden.
        
        *'''admin:''' ermöglicht den Zugriff auf alle administrativen Spezialseiten sowie generell alle gängigen Verwaltungsfunktionen wie die Rechteverwaltung.
        
        *'''maintenanceadmin:''' ähnlich der admin-Rolle, aber mit erweiterten Adminrechten, um die Integrität des Wikis sicherzustellen.
        
        *'''author:''' ermöglicht eigentlich das Erstellen von Seiten. Das Bearbeiten, Verschieben oder Löschen von Seiten ist in dieser Rolle nicht enthalten.
        
        *'''editor:''' ermöglicht das Bearbeiten, Verschieben und Löschen von Seiten.
        
        *'''reviewer:''' Wenn Sie in einem Namensraum auch die Begutachtungsfunktion und somit Entwurfsseiten aktiviert haben, muss es mindestens eine Gruppe mit der Rolle reviewer geben. Standardmäßig gibt es hierfür die Gruppe „reviewer“. Nur Benutzer in der Rolle reviewer können Entwurfsseiten freigeben. Die Reviewer Gruppe benötigt generell Lese-, Schreib- und Reviewer Rechte über die entsprechenden drei Rollen reader, editor und reviewer. Wenn Sie die Begutachtungsfunktion in keinem Namensraum aktiviert haben, benötigen Sie diese Rolle in Ihrem Wiki allerdings nicht.
        
        *'''accountmanager:''' ermöglicht die Verwaltung von Benutzerkonten. Da Benutzerkonten unabhängig von Namensräumen im Wiki verwaltet werden, kann diese Rolle nicht auf einzelne Namensräume beschränkt werden. Ausgegraute Namensräume haben hier keine Bedeutung, solange die Rolle im Wiki selbst grün hinterlegt ist.
        
        *'''structuremanager:''' ermöglicht einige Aktionen zur Wikipflege wie das Verschieben von Seiten, Massenlöschung von Seiten oder Text suchen und ersetzen, sowie das Umbenennen von Namensräumen.
        
        *'''accountselfcreate:''' ermöglicht das automatische Erstellen von neuen Benutzerkonten und wird für Single-sign-on benötigt. Diese Rolle können Sie zum Beispiel anonymen Benutzern zuordnen, die sich ihr Konto selbst erstellen können.
        
        *'''commenter:''' ermöglicht das Erstellen von Diskussionsbeiträgen und Seitenbewertungen, aber nicht von Seiten selbst. Die Rolle editor beinhaltet alle Rechte der Rolle commenter. Wenn eine Gruppe editor Rechte hat, benötigt sie keine gesonderten commenter Rechte.
        
        *'''reader:''' ermöglicht das Lesen von Wikiseiten. Benutzer können außerdem ihre persönlichen Einstellungen bearbeiten.
        
        {{Box Note|boxtype=important|Note text=Die Standardrollen und darin gebündelte Berechtigungen unterscheiden sich in der [[Handbuch:Erweiterung/BlueSpicePermissionManager/Cloud| Rechteverwaltung von BlueSpice pro Cloud]].}}
        
        ==Besonderheiten==
        <section begin="training-rechte-besonderheiten" />
        

        *'''Sichtbarkeit der Seitennamen:''' Selbst wenn die "Leser"-Rolle für einen bestimmten Namespace explizit festgelegt ist, können nicht-berechtigte Benutzer die Seitennamen weiterhin sehen (z. B. über ''Spezial: Alle_Seiten''). Der Seiteninhalt kann jedoch nicht eingesehen werden.
        
        *'''Eingeschränkte Transklusion:''' Wenn Sie einem Namensraum die Rolle "Leser" (oder eine andere Rolle, die die Berechtigung "Lesen" enthält) zuweisen, wird dieser Namensraum automatisch so konfiguriert, dass er '''nicht transkludierbar''' ist. Dies ist aus Sicherheitsgründen so, da MediaWiki beim Übertragen von Inhalten keine Berechtigungen überprüft.
        
        *'''Implizite / explizite Rechtezuweisungen:''' 
        
        **'''Globale Rechtezuweisung:''' Wenn eine Berechtigung / Rolle auf Namensraum-Ebene zugewiesen werden soll, muss sie auch auf wiki-weiter/globaler Ebene zugewiesen werden (Spalte "Wiki"). Hierdurch wird die Berechtigung auch implizit allen anderen Namensräumen zugewiesen, es sei denn, andere Gruppen haben eine explizite Zuweisung für einen Namensraum.
        
        **'''Rechtezuweisungen erkennen:''' Auf der Seite Spezial:Rechteverwaltung ist eine implizite Rechtezuweisung '''grün''' hinterlegt, eine explizite Zuweisung mit '''blauem''' Häckchen gekennzeichnet. Geblockte Namensräume sind '''grau''' hinterlegt. Die Gruppe, die die Rolle blockt, wird als Tooltip bei Maus-Hover angezeigt.
        <section end="training-rechte-besonderheiten" />
        
        ==Technische Details==
        
        ===Protokollierung===
        
        Jede Änderung an den Rollen wird im Rechteverwaltungs-Logbuch protokolliert, das Sie unter <code>Spezial:Logbuch</code> unter <code>Rechteverwaltungs-Logbuch</code> finden. Diese Protokolle sind nur für Wiki-Administratoren verfügbar.
        
        ===Backups===
        
        Alle Änderungen an der Rollenmatrix werden gesichert. Standardmäßig werden die letzten 5 Sicherungen aufbewahrt. Diese Begrenzung kann in der [[Handbuch:Erweiterung/BlueSpiceConfigManager| Konfigurationsverwaltung]]  für die Erweiterung BlueSpicePermissionManager geändert werden.{{Box Links|Thema1=[[Referenz:BlueSpicePermissionManager]]|Thema2=[[Handbuch:Erweiterung/BlueSpiceGroupManager|Gruppenmanager]]|Thema3=[[Konzept_Rechteverwaltung | Benutzerrechte verstehen]]}}
        

        {{Translation}}
        

        [[Category:Berechtigungen]]
(kein Unterschied)

Anhänge

Diskussionen