Rollen und Rechte
Standard-Rollen
OpenZ wird standardmäßig mit folgenden Rollen geliefert:
- System Developer
- System Administrator
Die Rolle System Developer ist für das Einloggen in den Developerbereich. Im Developerbereich können Einstellungen zur Individualisierung des Systems vorgenommen werden. Der System Developer ist nicht für die Nutzung im operativen Userbereich bestimmt und darf daher dort auch keine Daten anlegen. Der Einsatz des System Developers sollte dem erfahrenen Nutzer vorbehalten sein.
Die Rolle System Admin ist für das Einloggen in den Nutzerbereich. Dort können alle operativen Daten angelegt, verwaltet und verarbeitet werden. Der System Admin kann unter anderem auch weitere Rollen anlegen und diese mit eigenen Rechten ausstatten. Die Rolle System Admin erhält alle durch Updates eingespielten neuen Rechte automatisch und sieht dadurch automatisch die entsprechenden Neuerungen. Bei allen anderen bestehenden Rollen ist das nicht der Fall, diese können dann aber ggf. angepasst werden.
Das Anlegen von verschiedenen Rollen entspricht der Einrichtung von verschiedenen Aufgabenbereichen/Arbeitsplätzen. Es gibt mittlerweile 2 Möglichkeiten um eine neue Rolle anzulegen:
- Anlegen eines neuen Datensatzes. Es sind zu Beginn keine Rechte vorhanden.
- Kopieren einer vorhandenen Rolle. Es können vorhandene Rechte gelöscht werden und neue Rechte hinzugefügt werden.
Rolle und Nutzer: Jedem Nutzer muss mindestens eine Rolle zugewiesen werden. Es ist aber auch möglich, das ein Nutzer mehrere Rollen inne hat und zwischen ihnen wechseln kann ohne sich abzumelden. Zum Beispiel kann der System-Admin dadurch in die Rolle des Nutzers wechseln, für den er etwas eingestellt hat und so diese Einstellungen überprüfen.
Anwendungsbeispiel: Wenn es z.B. nicht gewünscht ist, dass ein Mitarbeiter der Abteilung A die Arbeitsoberflächen der Abteilung B sehen kann, dann könnte die Abteilung B für den Mitarbeiter A komplett unsichtbar geschaltet werden. Auch der Zugriff auf Stammdaten der einzelnen Mitarbeiter kann dadurch verborgen werden. Dieses geschieht durch das Einrichten verschiedener “Rollen”
Optionen
Mit der Vergabe von Rechten wird in den Rollen definiert, welcher Zugriff auf ein bestimmtes(n) Fenster/Bericht/Prozess besteht.
Folgende Optionen stehen dabei für eine Rolle zur Verfügung:
- darf Fenster sehen und bearbeiten mit allen Datensätzen
- darf Fenster sehen und bearbeiten nur mit eigenen Datensätzen
- darf nur lesen
- darf Fenster nicht sehen
Neue Rolle anlegen
Wird ein neuer Datensatz für eine neue Rolle angelegt (1), so ist diese anfangs ohne Rechte ausgestattet, daher ist diese Variante besonders geeignet für Rollen, die mit wenigen Rechten aus gestattet werden sollen.
- Pfad: Einstellungen || Sicherheit || Rollen / Rechte || Rollen
- wählen: neuer Datensatz
- einstellen: Organisation; hier wird zugeordnet wo die Rolle gelten soll. (* = Organisationsübergreifend)
- einstellen: Nutzerebene; (empfohlen: Mandant + Organisation)
- füllen: Name; ggf noch Beschreibung
- anhaken: Aktiv
- speichern
- wechseln: Unterreiter “Unternehmen”
- wählen: neuer Datensatz
- einstellen: Organisation
- anhaken: Aktiv
- speichern
Wenn für eine Organisation der Haken “Aktiv” nicht gesetzt wird, ist diese Organisation beim Auswählen der Rolle nicht verfügbar (wenn oben links oberhalb der Nachrichten auf den User geklickt wird, um eine andere Rolle zu hinterlegen).
Rolle kopieren
Eine Rolle zu kopieren (2) ist die 2. Möglichkeit, um eine neue Rolle anzulegen. Dabei werden alle Einstellungen und Rechte aus einer vorhandenen Rolle auf eine neu erstellte Rolle übertragen, die dann allerdings noch einen anderen Namen tragen muss. Die neue Rolle kann dann durch das Hinzufügen oder Entfernen von Rechten modifiziert werden. Diese Methode ist besonders zu empfehlen, wenn a) eine neue Rolle mit vielen Rechten geschaffen werden soll (dann dient die Rolle “System Admin” als Vorlage und Rechte werden entfernt) oder b) wenn es mehrere ähnlich gestaltete Rollen geben soll, in denen die vergebenen Rechte nur wenig differieren.
“Zugriff einfügen”
Der grüne Button “Zugriff einfügen” befindet sich noch in der Entwicklung und seine Benutzung wird bislang nicht empfohlen. Es soll damit in Zukunft das Einfügen ganzer “Rechteblöcke” möglich sein.
Farbwahl
Im Feld “Motiv” können sie einer Rolle eine bestimmte Farbwahl zuordnen. Damit besteht die Möglichkeit für Inhaber verschiedener Rollen schon anhand der Farbe zu erkennen, mit welcher Rolle man im System unterwegs ist.
Info
WICHTIG! Wenn Rechte für Rollen vergeben/geändert werden, ist darauf zu achten, dass die richtige Rolle zuvor auch ausgewählt wurde!
Wenn ein großer Umfang an Rechtevergabe erfolgen soll, dann ist folgende Vorgehensweise empfehlenswert:
Öffnen Sie OpenZ in 2 verschiedenen Browsern (z.B. Firefox + Chrome) und (wenn vorhanden) an 2 verschiedenen Bildschirmen. Benutzen sie die englische Sprachauswahl. In einem Browser werden die Einstellungen mit der Rolle “System Admin” gemacht und im anderen Fenster wird in der neuen Rolle geprüft, ob das gewünschte Ergebnis erzielt wurde. Nach dem mit dem SystemAdmin ein oder mehrere Rechte bearbeitet wurden, müssen in der zu prüfenden Rolle nur die Nutzereinstellungen (oben links) durch anwählen von OK aktualisiert werden, dann müssten die neuen Einstellungen unter dem entsprechendem Pfad zu sehen sein.
Wie schon oben erwähnt, entspricht ein Recht immer einem Fenster, Bericht, Prozess, das/der entweder neu angelegt oder auch verborgen werden soll. Der auszuwählende Fenster-/Prozessname stimmt meist (aber nicht immer!) mit dem Namen links im Strukturbaum (siehe Bild unten) überein. Für einige wenige Fenster müssen auch 2 Rechte vergeben werden, siehe dazu auch weiter unten den Abschnitt “Spezielle Rechte”.
Rechte neu vergeben
Öffnen Sie OpenZ in 2 Browsern. Nutzen Sie einen Browser um im Strukturbaum zu schauen, welches Fenster bzw. welcher Prozess die zu bearbeitende Rolle erhalten soll. Nutzen Sie den anderen Browser, um die notwendigen Einstellungen vorzunehmen.
- Pfad: Einstellungen || Sicherheit || Rollen / Rechte || Rollen
- auswählen: die richtige Rolle aus dem Grid
- auswählen: Unterreiter Fenster/Prozesse/Aktionen/Workflows
- wählen: neuer Datensatz
- auswählen: herzustellendes Element aus Pulldown-Menu (siehe Bild unten)
- anhaken: je nach Bedarf der Rolle die Haken Aktiv, Lesen/schreiben und Nur Zugriff auf eigene Daten (bei Fenstern) *
- speichern
- Das Element sollte nun für die Rolle in der linken Baumstruktur sichtbar/wählbar sein (ggf. aktualisieren).
- Haken “Aktiv” gesetzt = Element sichtbar
- Haken “Aktiv” nicht gesetzt = das Element wird weiterhin links in der Baumstruktur angezeigt, ist aber nicht auswählbar, ggf. erscheint die Meldung: Mit Ihrer derzeitigen Rolle und deren Voreinstellungen können Sie auf diese Informationen nicht zugreifen.
- Haken “Lesen/Schreiben” gesetzt = die Rolle darf zu diesem Element schreiben und Aktionen ausführen.
- Haken “Lesen/Schreiben” nicht gesetzt = die einzustellende Rolle kann dieses Element nur lesen aber nicht bearbeiten/verändern, die Felder erscheinen “ausgegraut”.
- Haken “Nur Zugriff auf eigene Daten” gesetzt = Benutzer sieht nur selbst angelegte Daten in diesem Fenster. Gilt nur für “Fenster”. (ab Version 2.6.70)
- Haken “Nur Zugriff auf eigene Daten” nicht gesetzt = Benutzer sieht alle Daten in diesem Fenster
Rechte editieren, entfernen
Soll eine Rolle in Ihren Rechten verändert/angepasst werden, so können die zuvor genannten Haken in den jeweiligen Rechten jederzeit wie benötigt anpasst werden.
Soll ein Element komplett aus einer Rolle entfernt werden, ist folgendermaßen vorzugehen:
- auswählen: Rolle
- wechseln: in einen der Unterreiter Fenster/Prozesse/Aktionen/Workflows
- auswählen: gewünschtes Element (hier “Aufgabe starten”) aus Tabelle
- löschen durch Anwählen des Papierkorbes (damit verschwindet das Element auch links aus der Baumstruktur)
Ist versehentlich das falsche Element gelöscht worden, muss wie oben unter “Rechte neu vergeben” beschrieben, vorgegangen werden.
Spezielle Rechte
Betrifft folgende Fenster:
- Pfad: Bestellwesen || Transaktionen || Lieferantenrechnungen manuell anlegen (= Create Invoices from Purchase Orders)
- Pfad: Vertrieb || Transaktionen || Rechnungen manuell anlegen (= Create Invoices from Sales Orders)
und
- Pfad: Bestellwesen || Transaktionen || Wareneingang manuell anlegen (= Create shipments from orders PO)
- Pfad: Vertrieb || Transaktionen || Versand manuell anstoßen (= Create shipments from orders SO)
Die Rechte zu diesen Fenstern stehen unter: Pfad: Einstellungen || Sicherheit || Rollen / Rechte || Rollen >> Aktionen
Die Fenster, die Vorschläge für Rechnungen + Versand liefern, sind gespiegelte “Paare”, die zusammen auf dieselbe “Basis” im Hintergrund zurückgreifen. Diese “Basis” im Hintergrund muss immer als Recht mit vergeben werden, sobald auf eines dieser Fenster zugegriffen werden soll.
Für die Rechnungsvorschläge = Generate Invoices Manual
Für die Versandvorschläge = Create shipments
Ergänzung
Developer
Eine weitere Rolle “Developer” kann nur durch einen Nutzer angelegt werden, der ebenfalls im Besitz der Rolle Developer ist.
Die Rolle Developer ist immer ein eigener Nutzer, d.h. ein Nutzer mit der Rolle Developer kann nicht noch weitere Rollen inne haben, wie es bei den anderen Rollen der Fall ist.
Multi-Org.
Sollen unterschiedliche User nur bestimmte Daten der einzelnen Organisationen sehen, sind abweichend von den oben genannten Standardeinstellungen weitere Optionen möglich.
Einstellungen Unternehmen
Einstellung Nutzerebene
- Zugriffs- und Bearbeitungsrechte auf Fenster, welche nur Datensätze mit * enthalten, wie z.B. Mandant oder Wechselkurse.
- Zugriffs- und Bearbeitungsrechte auf Fenster, welche Datensätze mit * und Organisation enthalten, wie z.B. Stammdaten Artikel oder Belegkreise. Damit können Datensätze mit * und Organisation anlegt und bearbeitet werden.
- Kein Zugriffsrecht auf Datensätze die nur Datensätze einer Organisation enthalten, wie z.B. Auftrag, Rechnung Lieferschein.
- Darf generell nur Datensätze mit Organisation anlegen und bearbeiten.
- Hat Zugriffsrechte auf Datensätze mit *, darf diese jedoch nicht anlegen und bearbeiten.
-
Keine Zugriffsrechte auf Fenster, welche nur Datensätze mit * enthalten, wie z.B. Mandant oder Wechselkurse.
- Zugriffs- und Bearbeitungsrechte auf Fenster, welche Datensätze mit * und einer Organisation enthalten, wie z.B. Stammdaten Artikel oder Belegkreise. Es können dort aber nur Datensätze für eine konkrete Organisation anlegt und bearbeitet werden.
- Zugriffs- und Bearbeitungsrechte auf Fenster, welche nur Datensätze mit Org. enthalten, wie z.B. Auftrag, Rechnung Lieferschein.
- Zugriffs- und Bearbeitungsrechte auf alle Fenster mit Datensätze * und Organisation.
- Gilt nur für die Rolle System Developer.
- Zugriffs- und Bearbeitungsrechte auf Fenster im Application Dictionary.
- Hat eingeschränkte Zugriffsrechte auf Rolle und Nutzer. Damit können weitere Developeruser anlegt werden.
- Keine Zugriffsrechte auf alle anderen Fenster.
Einstellungen beim Nutzer
Letzte Aktualisierung: 18.11.2016