Rollen und Rechte

 
Vorkenntnisse

Auslieferungszustand/Allgemeines

OpenZ wird standardmäßig mit folgenden Rollen geliefert:

  • System Developer
  • System Administrator

Die Rolle System Developer ist für das Einloggen in den Developerbereich. Im Developerbereich können Einstellungen zur Individualisierung des Systems vorgenommen werden. Der System Developer ist nicht für die Nutzung im operativen Userbereich bestimmt und darf daher dort auch keine Daten anlegen. Der Einsatz des System Developers sollte dem sehr erfahrenen User vorbehalten sein. 

Die Rolle System Admin ist für das Einloggen in den Userbereich. Im Userbereich können alle operativen Daten angelegt, verwaltet und verarbeitet werden. Der System Admin kann unter anderem auch weitere Rollen anlegen und diese mit eigenen Rechten ausstatten. Die Rolle System Admin erhält alle durch Updates eingespielten neuen Rechte automatisch und sieht dadurch automatisch die entsprechenden Neuerungen. Bei allen anderen bestehenden Rollen ist das nicht der Fall, diese können dann aber ggf. angepasst werden.

Das Anlegen von verschiedenen Rollen entspricht der Einrichtung von verschiedenen Aufgabenbereichen/Arbeitsplätzen. Es gibt mittlerweile 2 Möglichkeiten um eine neue Rolle anzulegen:

  • Anlegen eines neuen Datensatzes. Es sind zu Beginn keine Rechte vorhanden.
  • Kopieren eines vorhandenen Datensatzes. Es können vorhandene Rechte gelöscht werden und neue Rechte hinzugefügt werden.

Rolle und Nutzer: Jedem Nutzer muss mindestens eine Rolle zugewiesen werden. Es ist aber auch möglich, das ein Nutzer mehrere Rollen inne hat und zwischen ihnen wechseln kann ohne sich abzumelden. Zum Beispiel kann der System-Admin dadurch in die Rolle des Users wechseln, für den er etwas eingestellt hat und so diese Einstellungen überprüfen.

Anwendungsbeispiel: Wenn es z.B. nicht gewünscht ist, dass ein Mitarbeiter der Abteilung A die Arbeitsoberflächen der Abteilung B sehen kann oder gar Zugriff darauf hat, dann könnte die Abteilung B für den Mitarbeiter A komplett unsichtbar geschaltet werden. Auch der Zugriff auf Stammdaten der einzelnen Mitarbeiter kann dadurch verborgen werden. Dieses geschieht durch das Einrichten verschiedener "Rollen"

Optionen

Mit der Vergabe von Rechten wird in den Rollen definiert, welcher Zugriff auf ein bestimmtes(n) Fenster/Bericht/Prozess besteht.

Folgende Optionen stehen dabei für eine Rolle zur Verfügung:

  • darf Fenster sehen und bearbeiten mit allen Datensätzen
  • darf Fenster sehen und bearbeiten nur mit eigenen Datensätzen ( ab Version 70)
  • darf nur sehen
  • darf Fenster nicht sehen

 
Neue Rolle anlegen

Wird ein neuer Datensatz für eine neue Rolle angelegt (1), so ist diese anfangs ohne Rechte ausgestattet, daher ist diese Variante besonders geeignet für Rollen, die mit wenigen Rechten aus gestattet werden sollen.

  • Pfad: Einstellungen || Sicherheit || Rollen / Rechte  ||  Rollen
  • wählen: neuer Datensatz
  • einstellen: Organisation; hier wird zugeordnet wo die Rolle gelten soll. (* = Organisationsübergreifend)
  • einstellen: Nutzerebene; (empfohlen: Mandant + Organisation)
  • füllen: Name; ggf noch Beschreibung
  • anhaken: Aktiv
  • speichern 
Neue Rolle
Neue Rolle

 

  • wechseln: Unterreiter "Unternehmen"
  • wählen: neuer Datensatz
  • einstellen: Organisation
  • anhaken: Aktiv
  • speichern
Organisation wählen
Organisation/Firma wählen für die diese Rolle Zugriffsrechte erhält.

 

 
Rolle kopieren

Eine Rolle zu kopieren (2) ist die 2. Möglichkeit, um eine neue Rolle anzulegen. Dabei werden alle Einstellungen und Rechte aus einer vorhandenen Rolle auf eine neu erstellte Rolle übertragen, die dann allerdings noch einen anderen Namen tragen muss. Die neue Rolle kann dann durch das Hinzufügen oder Entfernen von Rechten modifiziert werden. Diese Methode ist besonders zu empfehlen, wenn a) eine neue Rolle mit vielen Rechten geschaffen werden soll (dann dient die Rolle "System Admin" als Vorlage und Rechte werden entfernt) oder b) wenn es mehrere ähnlich gestaltete Rollen geben soll, in denen die vergebenen Rechte nur wenig differieren.

"Zugriff einfügen"

Der grüne Button "Zugriff einfügen" befindet sich noch in der Entwicklung und seine Benutzung wird bislang nicht empfohlen. Es soll damit in Zukunft das Einfügen ganzer "Rechteblöcke" möglich sein.

 
Farbwahl

Im Feld "Motiv" können sie einer Rolle eine bestimmte Farbwahl zuordnen. Damit besteht die Möglichkeit für Inhaber verschiedener Rollen schon anhand der Farbe zu erkennen, mit welcher Rolle man im System unterwegs ist.

 
Info

WICHTIG! Wenn Rechte für Rollen vergeben/geändert werden, ist darauf zu achten, dass die richtige Rolle zuvor auch ausgewählt wurde!

Wenn ein großer Umfang an Rechtevergabe erfolgen soll, dann ist  folgende Vorgehensweise empfehlenswert:

Öffnen Sie OpenZ in 2 verschiedenen Browsern (z.B. Firefox + Chrome) und (wenn vorhanden) an 2 verschiedenen Bildschirmen. Benutzen sie die englische Sprachauswahl. In einem Browser werden die Einstellungen mit der Rolle "System Admin" gemacht und im anderen Fenster wird in der neuen Rolle geprüft, ob das gewünschte Ergebnis erzielt wurde. Nach dem mit dem SystemAdmin ein oder mehrere Rechte bearbeitet wurden, müssen in der zu prüfenden Rolle nur die Nutzereinstellungen (oben links) durch anwählen von OK aktualisiert werden, dann müssten die neuen Einstellungen unter dem entsprechendem Pfad zu sehen sein.

Wie schon oben erwähnt, entspricht ein Recht immer einem Fenster, Bericht, Prozess, das/der entweder neu angelegt oder auch verborgen werden soll. Der auszuwählende Fenster-/Prozessname stimmt meist (aber nicht immer!) mit dem Namen links im Strukturbaum (siehe Bild unten) überein. Für einige wenige Fenster müssen auch 2 Rechte vergeben werden, siehe dazu auch weiter unten den Abschnitt "Spezielle Rechte".

 

Rechte vergeben
Rechte vergeben

 

 
Rechte neu vergeben

Öffnen Sie OpenZ in 2 Browsern. Nutzen Sie einen Browser um im Strukturbaum zu schauen, welches Fenster bzw. welcher Prozess die zu bearbeitende Rolle erhalten soll. Nutzen Sie den anderen Browser, um die notwendigen Einstellungen vorzunehmen.

  • Pfad: Einstellungen || Sicherheit || Rollen / Rechte  ||  Rollen
  • auswählen: die richtige Rolle aus dem Grid
  • auswählen: Unterreiter Fenster/Prozesse/Aktionen/Workflows
  • wählen: neuer Datensatz
  • auswählen: herzustellendes Element aus Pulldown-Menu (siehe Bild unten)
  • anhaken: je nach Bedarf der Rolle die Haken Aktiv, Lesen/schreiben und Nur Zugriff auf eigene Daten (bei Fenstern) *
  • speichern
  • Das Element sollte nun für die Rolle in der linken Baumstruktur sichtbar/wählbar sein (ggf. aktualisieren).
  • Haken "Aktiv" gesetzt = Element sichtbar
  • Haken "Aktiv" nicht gesetzt = das Element wird weiterhin links in der Baumstruktur angezeigt, ist aber nicht auswählbar, ggf. erscheint die Meldung: Mit Ihrer derzeitigen Rolle und deren Voreinstellungen können Sie auf diese Informationen nicht zugreifen.
  • Haken "Lesen/Schreiben" gesetzt = die Rolle darf zu diesem Element schreiben und Aktionen ausführen.
  • Haken "Lesen/Schreiben" nicht gesetzt = die einzustellende Rolle kann dieses Element nur lesen aber nicht bearbeiten/verändern, die Felder erscheinen "ausgegraut".
  • Haken "Nur Zugriff auf eigene Daten" gesetzt = Benutzer sieht nur selbst angelegte Daten in diesem Fenster. Gilt nur für "Fenster". (ab Version 70)
  • Haken "Nur Zugriff auf eigene Daten" nicht gesetzt = Benutzer sieht alle Daten in diesem Fenster

 

Rechte setzen
Rechte setzen

 

 
Rechte editieren, entfernen

Soll eine Rolle in Ihren Rechten verändert/angepasst werden, so können die zuvor genannten Haken in den jeweiligen Rechten jederzeit wie benötigt anpasst werden.

Soll ein Element komplett aus einer Rolle entfernt werden, ist folgendermaßen vorzugehen:

  • auswählen: Rolle
  • wechseln: in einen der Unterreiter Fenster/Prozesse/Aktionen/Workflows
  • auswählen: gewünschtes Element (hier "Aufgabe starten") aus Tabelle
  • löschen durch Anwählen des Papierkorbes (damit verschwindet das Element auch links aus der Baumstruktur)

Ist versehentlich das falsche Element gelöscht worden, muss wie oben unter "Rechte neu vergeben" beschrieben, vorgegangen werden.

 

Rechte löschen
Rechte löschen

 

 
Spezielle Rechte

Betrifft folgende Fenster:

  • Pfad: Bestellwesen || Transaktionen || Lieferantenrechnungen manuell anlegen (= Create Invoices from Purchase Orders)
  • Pfad: Vertrieb || Transaktionen || Rechnungen manuell anlegen (= Create Invoices from Sales Orders)

und

  • Pfad: Bestellwesen || Transaktionen || Wareneingang manuell anlegen (= Create shipments from orders PO) (! Für Wareneingang manuell anlegen gilt das noch nicht, da dieses Fenster noch mit alter Hintergrundtechnik arbeitet, solange muss dafür Pending Goods Receipts eingestellt werden. Sobald auch in diesem Fenster die neue Technik eingebaut ist, wird dieser Hinweis entfernt.)
  • Pfad: Vertrieb || Transaktionen || Versand manuell anstoßen (= Create shipments from orders SO)

Die Rechte zu diesen Fenstern stehen unter: Pfad: Einstellungen || Sicherheit || Rollen / Rechte  || Rollen >>  Aktionen

Spezielle Rechte

Die Fenster, die Vorschläge für Rechnungen + Versand liefern, sind gespiegelte "Paare", die zusammen auf dieselbe "Basis" im Hintergrund zurückgreifen. Diese "Basis" im Hintergrund muss immer als Recht mit vergeben werden, sobald auf eines dieser Fenster zugegriffen werden soll.

Für die Rechnungsvorschläge  =  Generate Invoices Manual (ab 2.6.88 muss Create Invoices from Orders gelöscht werden)

Für die Versandvorschläge = Create shipments 

 

Ergänzung

 
Developer

Eine weitere Rolle "Developer" kann nur durch einen Nutzer angelegt werden, der ebenfalls im Besitz der Rolle Developer ist.

Die Rolle Developer ist immer ein eigener Nutzer, d.h. ein Nutzer mit der Rolle Developer kann nicht noch weitere Rollen inne haben, wie es bei den anderen Rollen der Fall ist.

 

Multiorg.

Von Multiorg. wird gesprochen wenn in OpenZ mehr als eine Organisation gepflegt wird.

Sollen unterschiedliche User nur bestimmte Daten der einzelnen Organisationen sehen, sind abweichend von den oben genannten Standardeinstellungen weitere Optionen möglich.

Einstellungen Unternehmen
Pfad: Einstellungen || Sicherheit || Rollen / Rechte  ||  Rollen  >>  Unternehmen 
Unter diesem Pfad muss zwingend mindestens eine Organisation (nicht *) eingetragen werden. Hier wird eingestellt, ob der Inhaber dieser Rolle auf eine oder mehrere Organisationen/Unternehmen Zugriffsrechte erhält. Unter Berücksichtigung der Einstellung im Feld Nutzerebene und den zugewiesenen Rechten kann diese Rolle dann in den jeweiligen Unternehmen agieren.
 
Zusätzlich kann hier die Organisation * eingetragen werden. Die Organisation * gibt an dieser Stelle ein Leserecht aller Datensätze in allen angelegten Organisationen. Sollen in einer Organisation auch Datensätze bearbeitet werden können, dann muss für diese Organisation aber auch ein eigener Datensatz existieren.
 
Fehlermeldung
Lässt sich ein Fenster öffnen und der Datensatz scheinbar bearbeiten, so kommt es ohne die Bearbeitungsrechte des entsprechenden Unternehmens zu folgender Fehlermeldung:
Mit der derzeitigen Rolle haben Sie kein Schreibrecht.
Diese Meldung ist immer ein Hinweis auf einen Konflikt der eingestellten Organisation im zu bearbeitenden Datensatz und den Bearbeitungsrechten für eine Organisation. Diese kann aber an verschiedenen Stellen falsch eingestellt sein, nicht nur im Unterreiter Unternehmen. Schon der Datensatz der Rolle selbst ist auf die Einstellung der Organisation zu prüfen. Zurzeit verhindert das System noch nicht in allen Bereichen unlogische Einstellungen und der Administrator welcher die Rechte einstellt ist aufgefordert auf logische Kombinationen zu achten.
 
 
Einstellung Nutzerebene
Es gibt 3 Ebenen denen Fenster angehören können. Mandant, Organisation und System, so wie der Mischform Mandant und Organisation
Diese Ebenen können im Feld Nutzerebene einer Rolle zugeordnet werden. Die Zuordnungen weisen folgende Verhaltensweisen auf.
 
Mandant
  • Zugriffs- und Bearbeitungsrechte auf Fenster, welche nur Datensätze mit * enthalten, wie z.B. Mandant oder Wechselkurse. 
  • Zugriffs- und Bearbeitungsrechte auf Fenster, welche Datensätze mit * und Organisation enthalten, wie z.B. Stammdaten Artikel oder Belegkreise. Damit können Datensätze mit * und Organisation anlegt und bearbeitet werden.
  • Kein Zugriffsrecht auf Datensätze die nur Datensätze einer Organisation enthalten, wie z.B. Auftrag, Rechnung Lieferschein.
Organisation
 
  • Darf generell nur Datensätze mit Organisation anlegen und bearbeiten.
  • Hat Zugriffsrechte auf Datensätze mit *, darf diese jedoch nicht anlegen und bearbeiten.
  • Keine Zugriffsrechte auf Fenster, welche nur Datensätze mit * enthalten, wie z.B. Mandant oder Wechselkurse.
  • Zugriffs- und Bearbeitungsrechte auf Fenster, welche Datensätze mit * und einer Organisation enthalten, wie z.B. Stammdaten Artikel oder Belegkreise. Es können dort aber nur Datensätze für Organisation anlegt und bearbeitet werden.
  • Zugriffs- und Bearbeitungsrechte auf Fenster, welche nur Datensätze mit Org. einhalten, wie z.B. Auftrag, Rechnung Lieferschein.
Mandant und Organisation
  • Zugriffs- und Bearbeitungsrechte auf alle Fenster mit Datensätze * und Organisation.
System
  • Gilt nur für die Rolle System Developer.
  • Zugriffs- und Bearbeitungsrechte auf Fenster im Application Dictionary.
  • Hat eingeschränkte Zugriffsrechte auf Rolle und Nutzer. Damit können weitere Developeruser anlegt werden.
  • Keine Zugriffsrechte auf alle anderen Fenster.
Fehlermeldung
Lässt sich ein Fenster gar nicht erst öffnen, weil es keine Zugriffsrechte gibt, dann erscheint die Fehlermeldung:
Error: AccessTableNoView
Mit Ihrer derzeitigen Rolle und deren Voreinstellungen, können Sie auf diese Informationen nicht zugreifen.
In der Regel handelt es sich dann um eine entsprechende Einstellung im Feld Nutzereinstellung.
 
 
Einstellungen beim Nutzer 
Pfad: Einstellungen || Sicherheit || Nutzer  ||  Nutzer  >>  Rollen
Weitere Einstellungen können direkt beim Nutzer vorgenommen werden. So können einem Nutzer z.B. auch verschiedene Rollen für verschiedene Unternehmen zugewiesen werden. So kann dieser verschiedene Arbeitsbereiche in verschiedenen Unternehmen abdecken ohne diese zu vermischen.

 

Letzte Aktualisierung: 18.11.2016