I-doit v1.1 - Kategorien unterhalb einer Lokation bearbeiten

alex123

Ich möchte eine Personengruppe anlegen, die alle Objekte einschließlich deren Kategorien, bearbeiten darf.

Also habe ich eine Personengruppe "g-idoit-uhg-editor" angelegt und für das CMDB-Modul folgende Rechte gegeben:

• lesen, schreiben, löschen -> bezieht sich auf -> Objekte unterhalb einer Lokation -> UHG

Nun kann eine Person, die der Personengruppe "g-idoit-uhg-editor" angehört, alle Objekte bearbeiten. Die Kategorien können aber nicht bearbeitet werden. Also habe ich für das CMDB-Modul noch Rechte für alle Kategorien vergeben:

• lesen, schreiben, löschen -> bezieht sich auf -> Kategorie -> Alle

Das hatte nun zur Folge, dass alle Objekte bearbeitet werden konnten. Auch jene, die der Lokation "UHG" nicht untergeordnet sind.

Hier ein Bildschirmfoto:

Vielleicht mache ich was falsch. Meiner Meinung nach fehlen noch eine Regeln, die sich auf Kategorien eines bestimmten Standortes, Objekttypen oder Objekt-ID beziehen.
Ohne diese zusätzlichen Regeln, müssten die Berechtigung, die sich auf einen Standort, Objekttyp und Objekt-ID beziehen, auf die Kategorien vererben.

ds

Hat die Person vielleicht noch weitere explizite Rechte?

Es müsste eigentlich so sein, dass man nun in Objekte die nicht unterhalb UHG liegen nicht reinspringen darf. Mit der Meldung, dass man das Objekt nicht einsehen darf.

alex123

@ds:

Hat die Person vielleicht noch weitere explizite Rechte?

Es müsste eigentlich so sein, dass man nun in Objekte die nicht unterhalb UHG liegen nicht reinspringen darf. Mit der Meldung, dass man das Objekt nicht einsehen darf.

Die Person ist noch zusätzlich Mitglied in der Personengruppe "reader", darf also alle Objekte sehen. Soll aber nur bestimmte Objekte (mit deren Kategorien) bearbeiten dürfen.

ds

Das sieht das Rechtesystem leider nicht vor. Man kann nur global auf Kategorien berechtigen

alex123

Wenn mit den Bedingungen "Objekte unterhalb einer Lokation", "Objekte vom Typ", "Objekt-ID" nur die allgemeinen Kategorien (C__CATG__GLOBAL) eines Objektes angesprochen werden, dann ist das sehr Schade. Ich hätte eher erwartet, dass die Objekte mit allen ihren Kategorien angesprochen werden.

Die Lösung für mich ist nun folgende: Ich muss die Personengruppe so einstellen, dass sie nur die Objekte sieht, die sie bearbeiten darf. Aber eigentlich sollte die Person mit dieser Personengruppe auch mehr sehen können. Zufrieden bin ich mit dieser Lösung nicht und werde es wahrscheinlich beim alten Rechtesystem belassen.

Ich stell mir das so vor wie bei einer Forensoftware. Es gibt es Moderatoren für bestimmte Unterforen, in denen der Moderator Beiträge bearbeiten darf. Gleichzeitig darf der Moderator aber auch in anderen Unterforen Beiträge lesen, aber nicht moderieren. Die Rechte, die für ein übergeordnetes Objekt gesetzt werden, sollten sich auf die untergeordneten Objekte standardmäßig vererben und nur durch Regeln aufgehoben werden, die explizit für die untergeordneten Objekte gesetzt wurden.

knut

Hallo,

dem kann ich mich nur anschließen. So ist das Rechtesystem sehr umständlich. Vererbungen aus bestehenden Rechtesystemen wie z.B. Dateisystemen könnten hier als Vorbild dienen.

Gruß Knut

LFischer

Hallo zusammen,

wir haben mit i-doit V1.1.1 eine neue Rechte-Bedingung eingeführt: "Kategorie in Objekt-Typ"

Diese erlaubt es, Rechte auf bestimmte Kategorien nur für bestimmte Objekt-Typen zu definieren.

Viele Grüße
Leo

alex123

@LFischer:

Hallo zusammen,

wir haben mit i-doit V1.1.1 eine neue Rechte-Bedingung eingeführt: "Kategorie in Objekt-Typ"

Diese erlaubt es, Rechte auf bestimmte Kategorien nur für bestimmte Objekt-Typen zu definieren.

Viele Grüße
Leo

Hab es eben ausprobiert. Funktioniert! Allerdings ist es umständlich, dass man jede Kategorie einzeln konfigurieren muss. Es wäre komfortabler wenn man einfach auswählen könnte dass man alle Kategorien innerhalb eines Objekt-Typen ansprechen möchte. So kann es sein, dass nach einer Änderung im Quick Configuration Wizard neue Kategorien für einen Objekttyp hinzukommmen und für den Bearbeiter zunächst nicht sichtbar bzw. editierbar sind, bis diese Kategorien explizit im Rechtesystem eingepflegt wurden.

alex123

@LFischer:

Hallo zusammen,

wir haben mit i-doit V1.1.1 eine neue Rechte-Bedingung eingeführt: "Kategorie in Objekt-Typ"

Diese erlaubt es, Rechte auf bestimmte Kategorien nur für bestimmte Objekt-Typen zu definieren.

Viele Grüße
Leo

Wird es auch noch eine Rechte-Bedingung wie etwa "Kategorie unterhalb einer Lokation" geben?

LFischer

@alex123:

Wird es auch noch eine Rechte-Bedingung wie etwa "Kategorie unterhalb einer Lokation" geben?

Hallo Alex,
dieses Feature ist aktuell nicht eingeplant. Es wäre dann aber auch sicherlich Sinnvoll die Misch-Berechtigungen für "Objekt-ID" anzubieten… Ich werde das einfach mal aufnehmen - Mal schauen was draus wird!

Viele Grüße
Leo