Benutzer und Berechtigungen

Was sind Rollen und Berechtigungen?

Rollen und Berechtigungen steuern, wer in Ihrer Organisation welche Aktionen ausführen darf. Stellen Sie sich eine Rolle als Berufsbezeichnung vor (z. B. „Manager“ oder „Redakteur“) und Berechtigungen als spezifische Aufgaben, die diese Rolle ausführen darf (z. B. „Dokumente bearbeiten“ oder „Dateien löschen“).

Wenn Sie einem Benutzer eine Rolle zuweisen, erhält dieser automatisch alle zugehörigen Berechtigungen. So lässt sich der Zugriff für viele Benutzer gleichzeitig einfach verwalten.

Rollentypen verstehen

Vordefinierte (statische) Rollen

Das System enthält vorkonfigurierte Rollen, die weder gelöscht noch deren Ressourcentyp geändert werden kann. Diese Rollen decken die häufigsten Zugriffsszenarien ab:

Globale Rollen

Diese Rollen gelten für die gesamte Anwendung, unabhängig von Organisation oder Arbeitsbereich:

  • Anwendungsadministrator: Voller Systemzugriff in allen Organisationen (nur für Systemadministratoren)
  • Datenadministrator: Zugriff auf Datenverwaltungsfunktionen in allen Organisationen

Organisationsrollen

Diese Rollen steuern den Zugriff innerhalb einer bestimmten Organisation:

  • Organisationsadministrator: Kann die Organisation verwalten, Arbeitsbereiche erstellen, Benutzer verwalten und Organisationseinstellungen konfigurieren
  • Organisationsmitglied: Standardmitglied mit Zugriff auf die Organisation und ihre Arbeitsbereiche (Standardrolle)
  • Organisationsgast: Eingeschränkter Zugriff auf bestimmte Arbeitsbereiche, zu denen er eingeladen wurde

Arbeitsbereichsrollen

Diese Rollen steuern den Zugriff innerhalb eines bestimmten Arbeitsbereichs:

  • Arbeitsbereichsinhaber: Volle Kontrolle über den Arbeitsbereich und seine Inhalte
  • Arbeitsbereichsmitglied: Kann mit Inhalten arbeiten, hat aber eingeschränkte administrative Befugnisse
  • Arbeitsbereichspartner: Externe Mitarbeiter mit eingeschränktem Zugriff (Standardrolle für externe Mitarbeiter) Benutzer)
  • Arbeitsbereichsprüfer: Lesezugriff für Prüfzwecke

Hinweis: Vordefinierte Rollen sind in der Benutzeroberfläche mit einem Globus-Symbol (globale Rollen), einem Organisationssymbol (Organisationsrollen) oder einem Arbeitsbereichssymbol (Arbeitsbereichsrollen) gekennzeichnet.

Benutzerdefinierte Rollen

Benutzerdefinierte Rollen sind Rollen, die Sie speziell für die Bedürfnisse Ihrer Organisation erstellen. Beispielsweise können Sie eine Rolle „Inhaltsprüfer“ erstellen, die nur die Berechtigungen zum Prüfen von Inhalten ohne Bearbeitungsfunktionen besitzt.

Hauptmerkmale benutzerdefinierter Rollen:

  • ✅ Kann von Organisationsadministratoren erstellt, bearbeitet und gelöscht werden
  • ✅ Gilt nur für Ihre Organisation
  • ✅ Muss auf einer bestehenden Rolle basieren (Sie kopieren und modifizieren diese)
  • ⚠️ Hat Berechtigungseinschränkungen (siehe unten)

Erläuterung der Ressourcentypen

Beim Erstellen einer benutzerdefinierten Rolle wird Ihnen der Ressourcentyp der Rolle angezeigt, von der Sie kopieren. Dieser bestimmt, wo die Rolle angewendet wird:

Ressourcentyp Geltungsbereich Beispielanwendung
Organisation Gilt organisationsweit Rolle „Personalmanager“, die Benutzerdetails in allen Arbeitsbereichen einsehen kann
Arbeitsbereich Gilt nur in bestimmten Arbeitsbereichen Rolle „Projektmitarbeiter“, die Inhalte in zugewiesenen Arbeitsbereichen bearbeiten kann
Global Gilt überall (nur integrierte Rollen) Systemadministration (nicht für benutzerdefinierte Rollen verfügbar)

Tipp: Wählen Sie Organisationsrollen, wenn Benutzer einheitlichen Zugriff auf mehrere Arbeitsbereiche benötigen. Wählen Sie Arbeitsbereichsrollen, wenn der Zugriff pro Arbeitsbereich gesteuert werden soll.

Berechtigungseinschränkungen für benutzerdefinierte Rollen

⚠️ Wichtig: Sie können einer benutzerdefinierten Rolle keine Berechtigungen zuweisen, die Sie selbst nicht besitzen.

Einschränkungen für Organisationsrollen

Beim Erstellen oder Bearbeiten einer Organisationsrolle:

  • Sie können nur Berechtigungen zuweisen, die die Rolle Organisationsadministrator besitzt.
  • Dies verhindert eine Rechteausweitung (bei der ein Benutzer mit geringeren Berechtigungen eine Rolle mit höheren Berechtigungen erstellt).

Einschränkungen für Arbeitsbereichsrollen

Beim Erstellen oder Bearbeiten einer Arbeitsbereichsrolle:

  • Sie können nur Berechtigungen zuweisen, die die Rolle Arbeitsbereichsinhaber besitzt.
  • Sie benötigen die entsprechende Berechtigung ebenfalls selbst (in Ihrer Rolle als Organisationsadministrator).

Bedeutung

Wenn Sie versuchen, eine Berechtigung zu ändern, und nichts passiert, bedeutet dies, dass Sie diese Berechtigung selbst nicht besitzen. Nur Benutzer mit höheren Berechtigungen (z. B. App-Administratoren) können diese Berechtigungen zuweisen.

So erstellen Sie eine neue Rolle

  1. Navigieren Sie zu Allgemeine EinstellungenRollen und Berechtigungen

    • Es wird eine Übersicht aller Rollen und ihrer Berechtigungen angezeigt.

  2. Klicken Sie auf die Schaltfläche "Hinzufügen" (+)

    • Ein Formular wird angezeigt.

  3. Geben Sie einen Rollennamen ein

    • Wählen Sie einen aussagekräftigen Namen (z. B. "Inhaltsprüfer", "Arbeitsbereichsbearbeiter").
    • Maximal 100 Zeichen

  4. Wählen Sie "Von vorhandener Rolle kopieren"

    • Wählen Sie eine Rolle, die Ihren Anforderungen am ehesten entspricht.
    • Sie können nur Organisations- oder Arbeitsbereichsrollen auswählen (keine globalen Rollen).
    • Die neue Rolle erbt alle Berechtigungen der ausgewählten Rolle.
    • Der Ressourcentyp (Organisation oder Arbeitsbereich) entspricht der Rolle, von der Sie kopieren.

  5. Klicken Sie auf Speichern

  • Die Rolle wird mit denselben Berechtigungen wie die kopierte Rolle erstellt.
  1. Berechtigungen anpassen (optional)
  • Nach der Erstellung können Sie die Rolle bearbeiten, um Berechtigungen hinzuzufügen oder zu ändern. Bestimmte Berechtigungen entfernen

    Beispiel: So erstellen Sie eine Rolle „Projektkoordinator“ mit eingeschränkten Administratorrechten:

    • Kopieren Sie die Rolle „Workspace-Mitglied“
    • Fügen Sie bestimmte Administratorberechtigungen wie „Workspace ändern“ oder „Workspace-Benutzer zuweisen“ hinzu
    • Entfernen Sie alle nicht benötigten Berechtigungen

So bearbeiten Sie Rollenberechtigungen

  1. Suchen Sie die Rolle in der Rollen- und Berechtigungsübersicht
  2. Klicken Sie auf die Schaltfläche „Bearbeiten“ (✏) neben der Rolle
    • Nur benutzerdefinierte Rollen (von Ihnen erstellte) können bearbeitet werden
    • Vorinstallierte Rollen können nicht geändert werden
  3. Ändern Sie den Rollennamen bei Bedarf
  4. **Klicken Sie auf „Speichern“
  5. Aktivieren/Deaktivieren Sie Berechtigungen in der Übersicht
    • Nach dem Schließen des Bearbeitungsformulars wird die Berechtigungsmatrix angezeigt
    • Klicken Sie auf ein Kontrollkästchen, um eine Berechtigung ein- oder auszuschalten
    • Ein Bestätigungsdialog fordert Sie auf, die Änderung zu bestätigen
    • Grünes Häkchen = Berechtigung erteilt
    • Leere Zelle = Berechtigung nicht erteilt Ausgegraute Zelle = Diese Berechtigung können Sie nicht ändern (Sie besitzen sie selbst nicht).

      Tipp: Die Berechtigungsübersicht zeigt alle verfügbaren Berechtigungen in Zeilen und alle Rollen in Spalten an. So können Sie die Berechtigungen verschiedener Rollen leicht vergleichen.

So löschen Sie eine benutzerdefinierte Rolle

  1. Wählen Sie die zu löschende Rolle in der Tabelle aus.
  2. **Klicken Sie auf die Schaltfläche "Löschen" (🗑️).
    • Nur benutzerdefinierte Rollen können gelöscht werden.
    • Vordefinierte Rollen sind geschützt und können nicht entfernt werden.
  3. Bestätigen Sie die Löschung. Sie werden in einem Dialogfeld um Bestätigung gebeten.
    • Diese Aktion kann nicht rückgängig gemacht werden.
  4. Wichtige Hinweise vor dem Löschen:
    • Benutzer, denen diese Rolle aktuell zugewiesen ist, verlieren ihre Berechtigungen.
    • Weisen Sie Benutzer gegebenenfalls einer anderen Rolle zu, bevor Sie die Rolle löschen.
    • Sie können eine Rolle nicht löschen, wenn sie Benutzern oder Gruppen zugewiesen ist (das System verhindert dies).

Bewährte Vorgehensweisen

✅ So gehen Sie vor:

  • Verwenden Sie nach Möglichkeit vordefinierte Rollen. Diese sind für gängige Anwendungsfälle konzipiert.
  • Geben Sie Rollen klare und aussagekräftige Namen, die ihren Zweck verdeutlichen.
  • Überprüfen Sie die Berechtigungen sorgfältig, bevor Sie Benutzern Rollen zuweisen.
  • Verwenden Sie Organisationsrollen für Benutzer, die Zugriff auf mehrere Arbeitsbereiche benötigen
  • Arbeitsbereichsrollen für Benutzer mit arbeitsbereichsspezifischem Zugriff verwenden
  • Von der am besten passenden Rolle kopieren, um den Anpassungsaufwand zu minimieren
  • Benutzerdefinierte Rollen dokumentieren (außerhalb des Systems), um ihren Zweck zu erläutern

❌ Vermeiden

  • Nicht zu viele benutzerdefinierte Rollen erstellen – dies erschwert die Verwaltung
  • Nicht mehr Berechtigungen vergeben als nötig – Prinzip der minimalen Berechtigungen befolgen
  • Nicht von Rollen mit hohen Berechtigungen kopieren, außer es ist unbedingt erforderlich
  • Rollen nicht löschen, ohne vorher die Zuweisungen zu prüfen
  • Nicht davon ausgehen, dass Sie beliebige Berechtigungen vergeben können – die Einschränkungen beachten

Häufige Szenarien

Szenario 1: Externer Auftragnehmer

Anforderung: Einem Auftragnehmer Zugriff auf bestimmte Arbeitsbereiche ohne organisationsweiten Zugriff gewähren Lösung:

  1. Weisen Sie ihm die Rolle Arbeitsbereichspartner zu (integriert)
  2. Oder Erstellen Sie eine benutzerdefinierte Workspace-Rolle mit spezifischen Berechtigungen.
  3. Weisen Sie die Rollen nur den benötigten Workspaces zu.

Szenario 2: Abteilungsleiter

Anforderung: Jemand, der Benutzer und Einstellungen in den Workspaces seiner Abteilung verwalten kann. Lösung:

  1. Erstellen Sie eine benutzerdefinierte Organisationsrolle, indem Sie die Rolle „Organisationsadministrator“ kopieren.
  2. Entfernen Sie nicht benötigte Berechtigungen (z. B. das Löschen der Organisation).
  3. Weisen Sie diese Rolle dem Manager zu.

Szenario 3: Leseberechtigter Prüfer

Anforderung: Jemand, der Workspace-Inhalte ansehen, aber keine Änderungen vornehmen kann. Lösung:

  1. Verwenden Sie die integrierte Rolle „Workspace-Prüfer“.
  2. Oder erstellen Sie eine benutzerdefinierte Workspace-Rolle, indem Sie die Rolle „Workspace-Prüfer“ kopieren.
  3. Stellen Sie sicher, dass die Schreib-/Löschberechtigungen entfernt werden.

Szenario 4: Inhaltsbearbeiter (ohne Benutzerverwaltung)

Anforderung: Benutzer, die Workspace-Inhalte bearbeiten, aber keine Benutzer oder Einstellungen verwalten können. Lösung:

  1. Erstellen Sie eine benutzerdefinierte Workspace-Rolle, indem Sie die Rolle „Workspace-Mitglied“ kopieren.
  2. Entfernen Sie die administrativen Berechtigungen (Benutzerzuweisung, Workspace-Einstellungen).
  3. Behalten Sie die Berechtigungen zum Bearbeiten von Inhalten bei.

Häufig gestellte Fragen

F: Kann ich eine integrierte Rolle umbenennen? A: Nein, integrierte Rollen (wie Organisationsadministrator, Workspace-Inhaber) können nicht umbenannt oder gelöscht werden. Sie können stattdessen eine benutzerdefinierte Rolle mit einem anderen Namen erstellen.

F: Was passiert mit Benutzern, wenn ich ihre benutzerdefinierte Rolle lösche? A: Das System verhindert das Löschen einer aktuell zugewiesenen Rolle. Sie müssen diese Benutzer zuerst einer anderen Rolle zuweisen.

F: Warum kann ich manche Berechtigungen nicht umschalten? A: Sie können nur Berechtigungen vergeben, die Sie selbst besitzen. Wenn ein Kontrollkästchen ausgegraut ist oder nicht reagiert, verfügen Sie in Ihrer Rolle nicht über diese Berechtigung.

F: Kann ich eine Rolle erstellen, die Organisations- und Arbeitsbereichsberechtigungen kombiniert? A: Nein, jede Rolle hat einen bestimmten Ressourcentyp (Organisation oder Arbeitsbereich). Um einem Benutzer beide Zugriffsarten zu gewähren, weisen Sie ihm sowohl eine Organisationsrolle als auch eine Arbeitsbereichsrolle zu.

F: Woher weiß ich, was die einzelnen Berechtigungen bewirken? A: Berechtigungsnamen sind aussagekräftig (z. B. „Arbeitsbereich hinzufügen“, „Benutzer ändern“, „Website löschen“). Die Berechtigungsmatrix zeigt, welche integrierten Rollen welche Berechtigungen besitzen und hilft Ihnen so, deren Bedeutung zu verstehen.

F: Kann ich Rollen zwischen Organisationen exportieren oder importieren? A: Nein, benutzerdefinierte Rollen sind organisationsspezifisch. Sie müssen Rollen bei Bedarf in jeder Organisation manuell neu erstellen.

F: Was ist der Unterschied zwischen einer benutzerdefinierten Rolle und der Änderung der integrierten Rollen? A: Integrierte Rollen können nicht geändert werden. Benutzerdefinierte Rollen bieten Ihnen die Flexibilität, spezifische Berechtigungssätze für die Bedürfnisse Ihrer Organisation zu erstellen, während die Standardrollen erhalten bleiben.

Benötigen Sie weitere Hilfe?

Wenn Sie sich bei Folgendem unsicher sind:

  • Welche Berechtigungen eine Rolle haben sollte
  • Ob Organisations- oder Arbeitsbereichsrollen verwendet werden sollten
  • Wie Rollen für Ihre Organisation strukturiert werden sollten

Wenden Sie sich an Ihren Systemadministrator oder überprüfen Sie die Zugriffskontrollrichtlinien Ihrer Organisation.

Kurzübersicht: Symbole in der Benutzeroberfläche

Symbol Bedeutung
🌐 Globus Globale Rolle (systemweit)
🏢 Organisation Organisationsrolle
📁 Arbeitsbereich Arbeitsbereichsrolle
✏️ Stift Rolle bearbeiten (nur benutzerdefinierte Rollen)
🗑️ Papierkorb Rolle löschen (nur benutzerdefinierte Rollen)
✅ Häkchen Berechtigung erteilt
⭕ Leer Berechtigung nicht erteilt
🔒 Ausgegraut Berechtigung kann nicht geändert werden