Auf dieser Informationsportalseite wird das grundlegende Berechtigungskonzept der PICTURE-Prozessplattform erläutert. Sie können als Administrator den Zugriff von anderen Nutzern auf bestimmte Funktionen und Inhalte Ihrer Plattform einschränken. Das Berechtigungskonzept in der PICTURE-Prozessplattform setzt sich aus den auf dieser Seite beschriebenen Teilbereichen zusammen.
Inhaltsverzeichnis
Tipp: Falls Sie Detailfragen zu bestimmten Spezialthemen haben, finden Sie die Antworten auf Ihre Fragen ggf. auf einer der folgenden Unterseiten:
Nutzertypen
Nutzertyp | Beschreibung | Benötigte Lizenz |
---|---|---|
Administrator | erhält automatisch Vollzugriff auf die Prozessplattform inkl. des Verwaltungsmoduls (Menüpunkt “Verwalten”) | Modelliererlizenz |
Modellierer | kann alle im folgenden beschriebenen Berechtigungen erhalten, hat aber keinen Zugriff auf das Verwaltungsmodul der Prozessplattform | Modelliererlizenz |
Betrachter | kann nur lesenden Zugriff auf die Inhalte der Prozessplattform erhalten (Es ist mit einem Benutzerkonto vom Typ “Betrachter” nicht möglich, lesend auf Inhalte aus einem Prozessnetzwerk zuzugreifen, an welches die Prozessplattform ggf. angeschlossen ist.) | Leselizenz |
Anonymer Betrachter | Dieser Nutzertyp dient lediglich zur Wahrung der Funktionsfähigkeit der mit früheren Versionen der Prozessplattform (v2.x) erzeugten Portal-Links. Es können keine neuen Benutzerkonten vom Typ "Anonymer Betrachter" und darauf basierende Portal-Links mehr angelegt werden. Nutzen Sie stattdessen Portal-Freigaben um Inhalte aus Ihrer Prozessplattform für anonyme Zugriffe zu veröffentlichen. | Portalmodul erforderlich |
Hinweis: Für Nutzer vom Typ “Betrachter” und “Anonymer Betrachter” stehen auf Grund von Lizenzeinschränkungen nicht alle der u.g. Funktionalen Berechtigungen zur Verfügung.
Funktionale Berechtigungen
Eine funktionale Berechtigung legt fest, ob ein Nutzer bestimmte Funktionen der Prozessplattform ausführen darf.
Ein Benutzerkonto erhält diejenigen funktionalen Berechtigungen, welche a) dem Benutzerkonto direkt zugeordnet sind oder b) einer der Gruppen zugeordnet sind, in der das Benutzerkonto Mitglied ist.
Berechtigung | Durch Berechtigung freigeschaltete Funktionen |
---|---|
Modelle kommentieren (für Nutzer ohne Modellierungsrechte) |
|
bestehende Steckbriefe bearbeiten | Ausfüllen von Prozesssteckbriefen von bereits bestehenden Prozessen *) (Nutzer, welche ausschließlich über dieses, nicht jedoch über das Recht "Steckbriefe und Modelle bearbeiten & kommentieren" verfügen, dürfen bestehende Prozesse weder umbenennen noch deren Status ändern noch diese löschen.) |
Steckbriefe und Modelle bearbeiten & kommentieren |
|
Prozessregisterinhalte exportieren (JSON, XML, Excel) |
|
Modelle im Portal freigeben | Erstellung und Verwaltung von Freigaben |
Modelle im Prozessnetzwerk austauschen | Zugriff auf das Prozessnetzwerk (Betrachten und ggf. herunterladen/importieren von Inhalten aus dem Prozessnetzwerk, Hochladen von Inhalten ins Netzwerk) Dieses Recht kann nur an Benutzerkonten mit einer Lizenz vom Typ “Modellierer” bzw. “Administrator” vergeben werden. Dies gilt auch für die Rechtevererbung über Gruppen: Ist ein Benutzer Mitglied einer Gruppe, die über dieses Recht verfügt, besitzt selbst aber lediglich eine Lizenz vom Typ “Betrachter”, so wird im das Recht dem Benutzerkonto effektiv nicht zugeteilt. Um Inhalte aus der eigenen Prozessplattform ins Prozessnetzwerk zu exportieren (“hochzuladen”), wird neben diesem funktionalen Recht zusätzlich mindestens Lesezugriff auf mindestens eine Attributsicht benötigt, die als “freigegeben für den Export” gekennzeichnet ist. |
Analysen ausführen | Aufrufen von Analysen |
Arbeiten mit Aufgaben |
|
Alle Aufgaben und Workflows für bearbeitbare Objekte einsehen und anpassen | Das Recht “Alle Aufgaben und Workflows für bearbeitbare Objekte einsehen und anpassen” kann nur zusätzlich zum Recht “Arbeiten mit Aufgaben” vergeben werden. Es erlaubt in Kombination mit dem Schreibrecht auf das Bezugsobjekt die Nutzung folgender weiterer Funktionen:
|
Berechtigungen mittels Aufgaben delegieren | Ein Nutzer mit diesem Recht darf Aufgaben erstellen und hierbei “Rechtedelegation durch Aufgabenzuweisung” vornehmen. D.h. im Falle, dass der/die als Bearbeiter/-in der Aufgabe eingetragene Nutzer/-in nicht über die empfohlenen Zugriffsrechte verfügt, die zur inhaltlichen Bearbeitung der Aufgabe nötig sind (z.B. Schreibzugriff auf den Prozessteckbrief für eine Aufgabe vom Typ “Steckbriefattribute ausfüllen”), erhält er/sie vom System automatisch die zusätzlichen Rechte solange die Aufgabe offen ist. Nach Abschluss der Aufgabe werden diese Rechte automatisch wieder entzogen. Weiterhin darf ein Nutzer mit diesem Recht Workflows starten, in deren Vorlage für eine oder mehrere Phasen eine Ad-hoc-Aufgabenzuordnung beim Start des Workflows vorgesehen ist. Zusätzlich zu diesem funktionalen Recht benötigt der/die Nutzer/-in für normale Aufgaben das Ordner-Recht “lesen & schreiben & verwalten” für den Ordner, in dem sich das Bezugsobjekt (Prozess / Prozesslandkarte) befindet oder für Workflow-Aufgaben das für die Workflow-Vorlage konfigurierte benötigte Start-Recht, damit die Rechtedelegation bzw. das Starten eines Workflows mit Ad-hoc-Aufgabenzuordnung möglich ist. Dieses Recht beinhaltet implizit auch das Recht “Arbeiten mit Aufgaben“, kann jedoch unabhängig vom Recht “Alle Aufgaben und Workflows für bearbeitbare Objekte einsehen und anpassen” vergeben werden. |
Arbeitsbereich konfigurieren | Anpassung von Sichten, Attributen und Bausteinen |
*) Dies setzt zusätzlich Schreibrechte auf dem Ordner voraus, in welchem sich der Prozess bzw. die Prozesslandkarte befindet (betrifft Schreibzugriffe, Status-Änderungen, Löschoperationen) bzw. in welchen diese(r) verschoben werden soll.
Zugriffsberechtigungen auf BPMN-Paletten
Eine Zugriffsberechtigung auf BPMN-Paletten legt fest, auf welche der verfügbaren Paletten der Nutzer in der BPMN-Modellierungsumgebung zugreifen darf. Werden die Rechte auf mehrere Palette vergeben, kann der Nutzer im BPMN-Editor die gewünschte Palette in einer Auswahlbox selektieren.
Ein Benutzerkonto erhält diejenigen Zugriffsberechtigungen auf BPMN-Paletten, welche a) dem Benutzerkonto direkt zugeordnet sind oder b) einer der Gruppen zugeordnet sind, in der das Benutzerkonto Mitglied ist.
Berechtigung | Durch Berechtigung freigeschaltete Funktionen |
---|---|
PICTURE-BPMN | Modellierung mit der BPMN-Fachschale "PICTURE-BPMN". Tipp: Eine Übersicht der auf dieser Palette verfügbaren Modellelemente ist auf der Seite Modellelemente in der Notation PICTURE-BPMN zu finden. |
BPMN 2.0 | Modellierung im Standard BPMN 2.0. Tipp: Eine Übersicht der auf dieser Palette verfügbaren Modellelemente ist auf der Seite Modellelemente in der Notation BPMN 2.0 zu finden. |
FIM | Modellierung mit "FIM". Tipp: Eine Übersicht der auf dieser Palette verfügbaren Modellelemente ist auf der Seite Modellelemente in der Notation FIM zu finden. |
Zugriffsberechtigungen auf die Prozesskontexte
Berechtigung | Auswirkung |
---|---|
kein Zugriff | Der Nutzer kann die Baumstruktur im Menü Prozesskontext nicht einsehen und alle Attributen in anderen Modellen, die sich auf Elemente aus dem Prozesskontext beziehen, werden nicht angezeigt. |
lesender Zugriff | Der Nutzer kann den entsprechenden Prozesskontext einsehen. Mit der funktionalen Berechtigung Modelle bearbeiten kann er Platzhalter-Elemente während der Modellierung anlegen. |
schreibender Zugriff | Der Nutzer kann die Struktur des Prozesskontextes und die Steckbriefe der darin enthaltenen Elemente bearbeiten. Weiterhin kann er Kommentare zu Prozesskontext-Elementen abgeben und löschen (unabhängig vom Autor des Kommentars). |
Ein Benutzerkonto erhält diejenigen Zugriffsberechtigungen auf Prozesskontexte, welche a) dem Benutzerkonto direkt zugeordnet sind oder b) einer der Gruppen zugeordnet sind, in der das Benutzerkonto Mitglied ist.
Falls für die Gruppen bzw. direkt am Benutzerkonto sich widersprechende Zugriffsrechte für das selbe Bezugsobjekt eingestellt sind, so erhält das Benutzerkonto das stärkste der in Frage kommenden Rechte (Bsp.: eine Gruppe verfügt über das Recht "lesen & schreiben" für den Prozesskontext-Typ "Dokumente", direkt am Benutzerkonto ist nur das Recht "lesen" eingestellt => das Benutzerkonto darf lesen & schreiben).
Zugriffsberechtigungen auf Sichten
Um auf die Inhalte eines Arbeitsbereichs zugreifen zu können, benötigt ein Nutzer mindestens Zugriff auf eine >Attributsicht des Arbeitsbereichs. Hat er Zugriff auf mehrere Sichten, kann er beim Zugriff auf die Modelle auch die Einstellung "(alle Attribute anzeigen)" als Sicht auswählen. In der Einstellungen werden ihm alle Attribute angeboten, auf die er in einer der zugeteilten Sichten zugreifen darf.
Ein Benutzerkonto erhält diejenigen Zugriffsberechtigungen auf Sichten, welche a) dem Benutzerkonto direkt zugeordnet sind oder b) einer der Gruppen zugeordnet sind, in der das Benutzerkonto Mitglied ist.
Falls für die Gruppen bzw. direkt am Benutzerkonto sich widersprechende Zugriffsrechte für das selbe Bezugsobjekt eingestellt sind, so erhält das Benutzerkonto das stärkste der in Frage kommenden Rechte (Bsp.: eine Gruppe verfügt über das Recht "lesen & schreiben" für die Sicht "Analyse", direkt am Benutzerkonto ist nur das Recht "lesen" eingestellt => das Benutzerkonto darf lesen & schreiben).
Ordnerzugriffsberechtigungen
Prozesse und Prozesslandkarten sind in einem >Ordner abgelegt. Der Zugriff auf bestimmte Ordner kann auf lesend eingeschränkt oder ganz verboten werden.
Ein Benutzerkonto erhält diejenigen Zugriffsberechtigungen auf Ordner, welche a) dem Benutzerkonto direkt zugeordnet sind oder b) einer der Gruppen zugeordnet sind, in der das Benutzerkonto Mitglied ist.
Falls für die Gruppen bzw. direkt am Benutzerkonto sich widersprechende Zugriffsrechte für das selbe Bezugsobjekt eingestellt sind, so erhält das Benutzerkonto das stärkste der in Frage kommenden Rechte (Bsp.: eine Gruppe verfügt über das Recht "lesen & schreiben & verwalten" für den Ordner "Amt 13", direkt am Benutzerkonto ist nur das Recht "lesen & schreiben" eingestellt => das Benutzerkonto darf lesen & schreiben & verwalten).
Freigabe von Inhalten für anonymen Zugriff
>Freigegebene Inhalte sind prinzipiell für jeden, der Kenntnis über den Freigabe-Link erlangt, unabhängig von obigen Einschränkungen für personalisierte Zugänge, einsehbar.
Im Portal-Viewer können die freigegebenen Modellen und die Informationen zu allen referenzierten Prozesskontext-Elementen mit der vorgegebenen Sicht eingesehen werden. Optional kann die Freigabe mit einer IP-Zugriffsbeschränkung verknüpft werden.