Breadcrumbs

Zugriffsrechte und Freigaben

Deep Dive: Zugriffsrechte und Freigaben verstehen

Übersicht über Zugriffskontrolllisten

Die imc Learning Suite verfügt über umfassende ACL-Funktionen (Access Control List), mit denen Sie granulare Berechtigungen sowohl für Funktionen als auch für Objekte festlegen können. Eine Funktion ist im Wesentlichen jedes Menü in der Navigation, und Objekte sind alles, was innerhalb dieser Funktionen erstellt oder diesen zugewiesen werden kann. Um die ACL-Berechtigungen für Funktionen und Objekte zu unterscheiden, verwendet die imc Learning Suite die Begriffe Zugriffsrechte und Freigaben. Ein wesentlicher Aspekt der Konfiguration besteht darin, sicherzustellen, dass alle Systemrollen (Lerner, Manager, Tutoren, Administratoren usw.) über die richtige Kombination aus Zugriffsrechten und Freigaben für die relevanten Objekte verfügen.

Zugriffsrechte_versus_Freigaben.png
Überblick über die Unterschiede zwischen Zugriffsrechten und Freigaben

In diesem Artikel werden diese Begriffe im Einzelnen einschließlich ihrer Anwendungsmöglichkeiten näher beleuchtet.

Zugriffsrechte

Mit Zugriffsrechten können Sie Gruppen Berechtigungen für den Zugriff auf Navigationsmenüs erteilen. Dies ist eine wichtige Konfiguration bei der Einrichtung von Systemrollen. Der Umfang der für jede Funktion gewährten Zugriffsrechte kann wie folgt konfiguriert werden:

  • Besitzer/Vollberechtigt: Gruppenmitglieder erhalten uneingeschränkten Zugriff auf alle Unterfunktionen.

  • Spezifische Berechtigungen: Gruppenmitglieder erhalten eingeschränkten Zugriff auf ausgewählte Unterfunktionen.
    Diese Liste ändert sich je nach Funktion, abhängig von den verfügbaren Unterfunktionen.

Durch die Verwendung spezifischer Berechtigungen können Sie detaillierte Zugriffsrechte festlegen, um zu steuern, welche Aktionen innerhalb einer Funktion die einzelnen Gruppen ausführen dürfen. Beispielsweise könnten Sie in der Funktion Kursvorlagen einer Gruppe erlauben, eine neue Vorlage als Arbeitsversion zu erstellen und zu speichern, jedoch keine veröffentlichte Version zur Freigabe bereitzustellen.

Übersicht_über_Zugriffsrechte.png
Beispiel für spezifische Berechtigungen für die Funktion „Kursvorlagen“

Die Konfiguration der Zugriffsrechte können Sie entweder in der Funktion Navigation oder in der Funktion Organisationsstruktur und Gruppen vornehmen. Die einzelnen Ansätze werden im Folgenden beschrieben:

Zugriffsrechte auf die Navigation

In der Funktion Navigation gibt es beim Erstellen oder Bearbeiten eines Navigationspunktes den Tab Zugriffsrechte. Hier können Sie Gruppen hinzufügen und festlegen, ob die Berechtigung Besitzer/Vollberechtigt oder Spezifische Berechtigungen gewährt wird. Dieser Ansatz zur Zugriffskonfiguration eignet sich ideal, wenn Sie ein neues Navigationsmenü erstellen oder überprüfen möchten, welche Gruppen Zugriff auf ein Menü haben.

Navigationsfunktion–Registerkarte_„Zugriffsrechte“.png
Navigationszugriffsrechte für Gruppen im Navigationsmenü hinzufügen

Die beim Hinzufügen angezeigten Gruppen basieren auch auf der Freigabe.

In der Funktion Organisationsstruktur und Gruppen gibt es das Icon Zugriff auf Navigation und Funktionen. Wenn Sie eine einzelne Gruppe markieren, können Sie über dieses Icon Zugriffsrechte für Navigationsfunktionen für die gesamte Gruppe vergeben.

Gruppen_–_Zugriff_auf_Navigation_und_Funktionen.png
Icon “Zugriff auf Navigation und Funktionen”, um die Zugriffsrechte für Gruppen zu konfigurieren

Nach dem Anklicken wird in einem neuen Tab eine Übersicht über die Systemnavigation mit den Spalten Alle und Spezifische Berechtigung angezeigt.

Nach dem Anklicken wird auf dem neuen Tab eine Darstellung der Systemnavigation mit einem Alle und Spezifische Berechtigungen Spalten. Durch Markieren der Checkbox Alle werden für ausgewählte Navigationskategorien, Strukturen und Menüs vollständige Zugriffsrechte gewährt. Wenn Sie hingegen die Checkbox Spezifische Berechtigung markieren, können Sie in einem Popup-Fenster durch Gedrückthalten der strg-Taste eine oder mehrere Berechtigungen auswählen.

Zugriffsnavigation_und_Funktionen_–_Admin-Ansicht_für_Gruppen.png
Navigationszugriffsrechte für eine einzelne Gruppe festlegen

Die Navigationsmenüs werden in ihrer Struktur angezeigt und sind nur sichtbar, wenn Sie die entsprechende Freigabe besitzen. Dadurch wird verhindert, dass ein Administrator Zugriffsrechte für eine Funktion erteilen kann, für die er keine Freigabe besitzt.

Freigaben

Die Zugriffskontrolle für Objekte wird über die Funktion Freigaben geregelt. Über die Freigaben wird festgelegt, welchen Zugriff einzelne Personen, Gruppen und/oder Mandanten auf ein Objekt haben. Ein Objekt kann vieles sein, darunter Medieninhalte, Kurse, Vorlagen, Benachrichtigungen, Textbausteine, Portale, Bedienfelder, Kataloge, Gruppen, Berichte, Nutzer und sogar Navigationselemente (Backend). Verschiedene Objekttypen bieten unterschiedliche Freigaben, doch zu den für alle Objekte verfügbaren Mindestfreigaben gehören Ausführen/Anzeigen, Bearbeiten und Löschen.

Clearances_overview_diagram_DE.png
Beispiel für unterschiedliche Freigaben bei einem Medienobjekt

Freigaben können manuell von Administratoren oder automatisch anhand von Regeln oder Inhaltsgruppen bei der Erstellung von Objekten erteilt werden. Die einzelnen Methoden werden im Folgenden beschrieben:

Manuelle Zuweisung von Freigaben

In den Ansichten der Verwaltungsfunktionen können Sie über das Icon Freigabe (Option Freigabe bearbeiten) die Zuweisung von Objekt-Zugriffsrechten durchführen.

Manuelle_Bearbeitung_von_Freigabeberechtigungen.png
Berechtigungen für die Freigabe des Kurses manuell bearbeiten

Wenn Sie ein Objekt erstellen, erhalten Sie als Ersteller die vollen Besitzer/Vollberechtigt-Rechte. Bei der manuellen Zuweisung von Freigaben können Sie nur Nutzer und Gruppen auswählen, für die Sie selbst über eine Freigabe verfügen. Um einem gesamten Mandanten Freigaben zuzuweisen, müssen Sie diesem Mandanten zugeordnet sein.

Automatische Zuweisung von Freigaben

Die automatische Zuweisung von Sicherheitsfreigaben sorgt für Effizienz und trägt dazu bei, dass die Anforderungen an die Zugriffskontrolle eingehalten werden. Es gibt drei Methoden, mit denen Sie die automatische Zuweisung von Freigaben aktivieren können.

Freigabefunktion für Objekte

Automatische Regeln für die Freigabe aller Non-User-Objekte können in der Funktion Konfiguration über das Menü Freigaben konfiguriert werden. Dieses Menü steht Systemadministratoren und Superadministratoren zur Verfügung. Hier können Sie Stabdardfreigaberegeln einsehen und festlegen, die bestimmen, welche Nutzer, Gruppen oder Mandanten automatisch Zugriff auf Objekte erhalten und bis zu welcher Ebene.

Konfiguration_Freigaben_funktion.png
Konfigurationsmanager: Freigabefunktion zur Definition automatischer Freigaberegeln

Beim Erstellen von Regeln ist die häufigste Vorgehensweise die Auswahl der Option Gruppen, um einer ausgewählten Gruppe automatisch spezifische Berechtigungen für alle Objekte zu erteilen. Das Feld Gültig für Mandant beschränkt die Regel auf Objekte, die von Nutzern erstellt wurden, die dem ausgewählten Mandanten angehören. Dies wird in mandantenfähigen Szenarien genutzt, um die Freigabe auf mandantenspezifische Administratorgruppen zu beschränken.

Konfiguration_Freigaberegeln_Einstellungsoptionen.png
Optionen für automatische Freigaberegeln und die Option „Gruppen“

Diese Regeln werden nur bei der Erstellung von Objekten angewendet, nicht jedoch bei deren Bearbeitung. Das bedeutet, dass Objekte, die vor der Erstellung der Regel angelegt wurden, nicht aktualisiert werden. Ebenso werden etwaige Freigabeaktualisierungen an Objekten nach deren Erstellung nicht überschrieben, wenn die Objekte später bearbeitet werden.

Grant-Regeln für Nutzer

Die automatische Gewährung von Freigaben für Nutzer kann in einer Geschäftsregel-Datei mithilfe von Grant-Befehlen konfiguriert werden. Diese Regeln können entweder über das Menü Import in der Funktion Konfiguration für die systemweite Verwendung oder über die Funktion Mandanten für die mandanten-spezifische Verwendung hochgeladen werden. Die Regeln werden im XML-Format erstellt und erfordern eine bestimmte Formatierung (weitere Informationen).

Eine Beispielregel ohne Bedingungen, die den Gruppen Systemadministratoren (ID 1) und Superadministratoren (ID 2) die Freigabe Vollzugriff (full) und der Gruppe Inhaltsadministratoren (ID 11) die Freigabe Sehen (view) gewährt, würde wie folgt aussehen:

XML
<co:rule>
	<co:grantCommand context="GROUP" target="1" execute="ALWAYS" value="_full"/>
    <co:grantCommand context="GROUP" target="2" execute="ALWAYS" value="_full"/>
	<co:grantCommand context="GROUP" target="11" execute="ALWAYS" value="_view"/>
</co:rule>

Sie können komplexere Regeln erstellen, die auf der Grundlage von Werten von Nutzerattributen entweder eine UND- oder eine ODER-Bedingung berücksichtigen. Diese Regeln können verwendet werden, um Gruppen Freigaben für bestimmte Untergruppen von Nutzern zu gewähren. Im folgenden Beispiel gewährt die Regel bestimmten Gruppen Freigaben für Nutzer, die keine EMPLOYEE_NUMBER haben und bei denen die Checkbox IS_CONTRACTOR nicht aktiviert ist.

XML
<co:rule>
	<co:ruleConditions>
		<andCondition>
			<co:ruleCondition expression="EMPLOYEE_NUMBER" matching="ISEMPTY"/>
			<co:ruleCondition expression="IS_CONTRACTOR" matching="EQUAL" value="0"/>
		</andCondition>
	</co:ruleConditions>
	<co:grantCommand context="GROUP" target="127412" value="_full" execute="ALWAYS"/>
	<co:grantCommand context="GROUP" target="11" value="_view" execute="ALWAYS"/>
</co:rule>

Mit Grant-Befehlen können Sie den Nutzern Freigaben für eine Gruppe, einen Mandanten oder einen Nutzer zuweisen. Der Level der Freigabe kann uneingeschränkt, auf „nur anzeigen“ beschränkt oder eine Kombination aus bestimmten Berechtigungen sein. Diese Befehle beginnen immer mit <co:grantCommand, gefolgt von dem gewünschten Kontext (d. h. Gruppe oder Mandant) und dem Ziel, das die Objekt-ID enthält. Das Attribut value bestimmt den Level der Freigabe, der _full (vollberechtigt) oder _view (nur anzeigen) sein kann.

Geschäftsregeln werden bei der Erstellung oder dem Speichern eines Nutzerdatensatzes ausgeführt. Wird der Wert (value) execute=“ALWAYS“ verwendet, wird die Regel für diesen Nutzer nur einmal ausgeführt.

Inhaltsverwaltungsgruppen

Mitglieder von Gruppen zur Inhaltsverwaltung erhalten automatisch vollen Zugriff auf Objekte, die von anderen Mitgliedern der Gruppe erstellt wurden. Sie können jede beliebige Gruppe zu einer Inhaltsverwaltungsgruppe machen, indem Sie das Feld Rollentyp auf Inhaltsverwaltung setzen. Diese Einstellung wird häufig für kleine Schulungsteams verwendet, die Inhalte erstellen und untereinander austauschen müssen.

Inhaltsfreigabe_gruppen.png
Eine Gruppe als Inhaltsverwaltungsgruppe definieren

Berücksichtigen Sie bei der Erstellung einer Inhaltsverwaltungsgruppe die Nutzer, die dieser Gruppe zugewiesen werden sollen. Diese Gruppen eignen sich oft am besten für kleine Nutzergruppen, die eng zusammenarbeiten und Schulungsobjekte gemeinsam nutzen müssen, beispielsweise standortbezogene Schulungsteams.

Systemrollen

Die Konfiguration von Systemrollen (Gruppen) erfordert sowohl die Festlegung von Zugriffsrechten als auch von Freigaben. Zunächst müssen Sie der Gruppe Zugriffsrechte auf die erforderlichen Navigationsmenüs zuweisen. Anschließend müssen Sie überlegen, für welche Objekte im Zusammenhang mit den Navigationszugriffsrechten eine Freigabe erforderlich ist (z. B. Kurstypen für Kursvorlagen, Lerninhaltetypen für Lerninhalte). Zuletzt sollten Sie bedenken, welche anderen Gruppen oder Nutzer eine Freigabe für die neue Gruppe benötigen, um Verwaltungsaufgaben ausführen zu können.

Beispiel_für_die_Konfiguration_von_Systemrollen.png
Beispiel für eine Inhaltsadministrator-Rolle mit Zugriffsrechten und erforderlichen Freigaben

Sobald Sie eine Gruppe für die neue Rolle erstellt haben, verwenden Sie das Icon Zugriff auf Navigation und Funktionen, um effizient Zugriffsrechte auf erforderliche Navigationselemente zu vergeben. Anschließend können Sie bestehenden Objekten, die für die Rolle relevant sind und mit den zugänglichen Funktionen in Verbindung stehen, manuell Freigaben zuweisen. Die Zuweisung von Freigaben kann zeitaufwändig sein, da automatische Regeln (sofern konfiguriert) nicht auf bestehende Objekte angewendet werden.

Spezielle Anmerkungen zur Freigabe

Zwar werden Freigaben überwiegend für administrative Zwecke genutzt, doch gibt es einige Objekttypen, bei denen eine Freigabe auch für Lernerrollen notwendig ist.

Portalseiten

Über die Funktion Portalseiten können beliebig viele Portale erstellt werden. Wenn Sie eine neue Portalseite erstellen, müssen Sie folgende Schritte ausführen:

  • Weisen Sie die Portalseite einem neuen oder bestehenden Standardmenü in der Funktion Navigation zu.
    Fügen Sie im Tab Zugriffsrechte über das Menü Gruppen hinzu, die das Portal sehen sollen.

  • Fügen Sie in der Funktion Portalseiten den Gruppen und/oder Nutzern, die die Portalseite einsehen müssen, die entsprechenden Freigaben hinzu.

Wenn Mitglieder von Gruppen zwar Zugriffsrechte für die Navigation, aber keine Freigabe für die Portalseite haben, wird eine Fehlermeldung bezüglich der Zugriffsrechte angezeigt. Sollte dieser Fehler auftreten, überprüfen Sie einfach die Freigaben für die Portalseite, die mit dem Navigationsmenü verknüpft ist.

Kataloge

In der Admin-Funktion Kataloge können beliebig viele Hauptkataloge und Unterkataloge angelegt werden. Beim Anlegen eines neuen Hauptkatalogs müssen Sie folgende Konfigurationsschritte beachten:

  • Weisen Sie in der Funktion Navigation den Hauptkatalog einem neuen oder bestehenden Standardmenü vom Typ Katalog zu.
    Fügen Sie im Tab Zugriffsrechte der Funktion Navigation Gruppen hinzu, die das Katalogmenü sehen sollen.

  • Fügen Sie in der Funktion Kataloge den Gruppen und/oder Nutzern, die den Katalog einsehen oder verwalten sollen, die erforderlichen Freigaben hinzu.
    Bei Katalogen können Sie mehrere Level von Unterkatalogen anlegen. Beachten Sie dabei, dass für Nutzer, um verschachtelte Unterkataloge einsehen zu können, für jeden übergeordneten Katalog eine entsprechende Freigabe notwendig ist.

Standardmäßig können Lerner alle Objekte (Lerninhalte, Kurse, Lernpfade) einsehen, die den Katalogen zugeordnet sind, für die sie eine Freigabe und Navigationszugriffsrechte besitzen. In der Funktion Mandanten enthält die Option Katalog Einstellungen die Einstellung Berücksichtigen Sie die Freigaben für die Anzeige von Inhalten im Katalog. Wenn Sie diese Option aktivieren, ist für die Lerner dieses Mandanten ebenfalls eine Freigabe für die den Katalogen zugewiesenen Opbjekte notwendig, um diese im Katalog anzeigen zu können.

Berücksichtigen_Sie_die_Freigaben_für_die_Anzeige_von_Inhalten_im_Katalog.png
Option, von Nutzern eine Freigabe für Objekte zu verlangen, die dem Katalog zugeordnet sind

News

Wenn Sie News-Artikel erstellen, die News-Panels zugeordnet sind, müssen Sie für den Artikel die Freigabe Ausführen für die jeweilige Zielgruppe (Nutzer, Gruppen, Mandanten) vergeben. Für News-Artikel, die auf Portalseiten (vor dem Einloggen) angezeigt werden sollen, muss die Freigabe den Mandanten erteilt werden.

Stornierungsgründe

Wenn Sie Stornierungsgründe in der Funktion Stornierung-, Ausnahme- und Genehmigungsgründe erstellen, müssen Sie den Nutzern, Gruppen oder Mandanten, die diese Funktionen nutzen müssen, die entsprechenden Freigaben erteilen. Dazu gehört auch, dass Sie den Lernern die Freigabe Ausführen für Stornierungsanfragen erteilen.

Mandanten

Mandanten sind insofern einzigartig, als sie nicht an die Freigabe gebunden sind. Stattdessen werden in der Funktion Mandanten bei den verschiedenen Auswahlfeldern für Mandanten nur die Mandanten angezeigt, denen Sie zugewiesen sind.

Superadministratoren bilden eine Ausnahme, da sie unabhängig von der Freigabe alle Objekte, einschließlich der Mandanten, sehen können.