Rechtedelegation mittels Aufgaben
Auf dieser Seite erfahren Sie, wie die Delegation von Zugriffsrechten durch die Erteilung von Aufgaben funktioniert und unter welchen Umständen Sie diese anwenden können.
Inhaltsverzeichnis
- 1 Was ist die Rechtedelegation mittels Aufgaben?
- 2 Welche funktionalen Berechtigungen werden in Abhängigkeit vom Typ einer Aufgabe delegiert?
- 3 Unter welchen Voraussetzungen ist die Rechtedelegation durch Aufgabenerteilung möglich?
- 4 Was ist beim Zusammenwirken mit anderen Zugriffsrechteeinstellungen zu beachten?
Was ist die Rechtedelegation mittels Aufgaben?
Mit der Funktion “Rechte mittels Aufgaben delegieren” können Sie bei der Erteilung von Aufgaben sicherstellen, dass der/die Bearbeiter/-in der Aufgabe (unabhängig von seinen/ihren regulären, über die Nutzer- und Gruppenverwaltung gesteuerten Berechtigungen) zumindest für die Dauer der Aufgabenbearbeitung die nötigen Zugriffsrechte auf das Bezugsobjekt der Aufgabe besitzt, um die Aufgabe inhaltlich zu bearbeiten.
Wenn Sie beim manuellen Anlegen einer (Ad-hoc-)Aufgabe diese an einen Nutzer oder eine Nutzerin zuweisen möchten, der/die nicht über die nötigen Rechte zur Bearbeitung des Bezugsobjekts verfügt (z.B. Aufgabe “Steckbriefattribute ausfüllen” für einen Prozess, auf den der/die Nutzer/in nur Lesezugriff hat), weist die Prozessplattform darauf hin. Sie können dann entscheiden, ob Sie die nötigen Zugriffsrechte für die Dauer der Arbeit an der Aufgabe an diese/n Nutzer/in delegieren möchten. Nach Abschluss der Aufgabe (bzw. bei Zuweisung der Aufgabe an eine andere Person) entzieht die Prozessplattform die zusätzlich eingeräumten Zugriffsrechte wieder automatisch.
Für Aufgaben, die im Rahmen von Workflows vom System automatisch erstellt wurden, kommt diese Funktion immer automatisch zur Anwendung.
Welche Nutzer zur Weitergabe von Berechtigungen durch Zuweisung von Aufgaben (bzw. zum Start von Workflows mit manueller Zuordnung von Akteuren zu Phasen) berechtigt sind, können Sie als Fachadministrator über die Nutzer- und Gruppenverwaltung individuell einstellen.
Welche funktionalen Berechtigungen werden in Abhängigkeit vom Typ einer Aufgabe delegiert?
Welche Berechtigungen bei aktivierter Rechtedelegationsfunktion an den/die aktuelle/-n Bearbeiter/-in einer Aufgabe delegiert werden, hängt vom Typ der Aufgabe ab. Der folgenden Tabelle können Sie entnehmen, welche Rechte an den jeweiligen Aufgabentyp geknüpft sind.
Bitte beachten Sie, dass durch die Rechtedelegation mittels Aufgaben keine Einschränkungen wegen des Lizenztyps eines Benutzerkontos übersteuert werden können:
Falls es sich beim Bearbeiter einer Aufgabe um einen Nutzer mit Betrachter-Lizenz handelt, so werden vom System unabhängig vom Aufgabentyp grundsätzlich keine Schreibrechte erteilt. (Ausnahme: Die Erfassung von Kommentaren ist auch durch Nutzer mit Betrachter-Lizenz möglich.)
Aufgabentyp | Art des Ergebnisses | Durch Betrachter-Accounts sinnvoll nutzbar? | Leserecht | Kommentar-Recht | Schreibrecht (Steckbrief) | Schreibrecht (Modell) |
Steckbriefattribute erfassen | Aufgabe erledigt | Nein | Ja | Ja | Ja | Nein |
Modell erstellen / überarbeiten | Aufgabe erledigt | Nein | Ja | Ja | Ja | Ja |
Qualitätssicherung durchführen | Zustimmung / Ablehnung | Nein | Ja | Ja | Ja | Ja |
Zustimmen | Zustimmung / Ablehnung | Ja | Ja | Ja | Nein | Nein |
Endfassung festlegen | Aufgabe erledigt | Nein | Ja | Ja | Ja | Ja |
Kenntnis nehmen | Aufgabe erledigt | Ja | Ja | Ja | Nein | Nein |
Aktualität prüfen | Zustimmung / Ablehnung | Ja | Ja | Ja | Nein | Nein |
Sonstige | Aufgabe erledigt | Nein | Ja | Ja | Ja | Ja |
Unter welchen Voraussetzungen ist die Rechtedelegation durch Aufgabenerteilung möglich?
Damit ein/-e Nutzer/-in
Aufgaben erstellen kann, durch welche der/die Bearbeiter/-in temporär die passenden Zugriffsrechte auf deren Bezugsobjekt zur inhaltlichen Bearbeitung der Aufgabe erhalten
Workflows starten kann, bei denen zum Startzeitpunkt eine manuelle Zuordnung der Bearbeiter/-innen einzelner Phasen möglich ist
die Bearbeiter-Zuordnung für einen bereits gestarteten, von ihm/ihr verantworteten Workflow nachträglich ändern kann
müssen alle folgenden Bedingungen erfüllt sein:
der/die Nutzer/-in hat mindestens Lesezugriff auf das Bezugsobjekt der Aufgabe
der/die Nutzer/-in verfügt im jeweiligen Arbeitsbereich über das funktionale Recht “Rechte mittels Aufgaben delegieren”
der/die Nutzer/-in verfügt für den Ordner, innerhalb dessen sich das Bezugsobjekt befindet, über das Ordner-Recht “lesen & schreiben & verwalten”
Was ist beim Zusammenwirken mit anderen Zugriffsrechteeinstellungen zu beachten?
Zusammenwirken der Sichten-Einstellungen mit regulären Zugriffsrechten auf sonstige Informationsobjekte
Bei der Rechtedelegation mittels Aufgaben erhält der/die Bearbeiter/-in einer Aufgabe für die Dauer der Aufgabenbearbeitung Zugriff auf eine bei Zuweisung der Aufgabe ausgewählte bzw. in der Workflow-Vorlage definierte Attributsicht.
Diese Sicht wird ggf. zusätzlich zu den bereits regulär auf Grund der Einstellungen in der Nutzer- und Gruppenverwaltung verfügbaren Sichten freigeschaltet.
Achtung: Die Erteilung des Zugriffs auf die Attribute dieser Sicht ist nicht auf das Bezugsobjekt des Workflows beschränkt.
Der Bearbeiter der Aufgabe kann daher bei allen Informationsobjekten (Prozesse, Prozesslandkarten, Prozesskontexte), auf die er im jeweiligen Arbeitsbereich Zugriff hat, die Attribute dieser Sicht einsehen bzw. bearbeiten (entsprechend der Einstellungen in der Definition der Sicht in der Methodenkonfiguration und unter Berücksichtigung seiner allgemeinen Lese- und Schreibrechte auf die Informationsobjekte).
Transitive Freischaltung des Lesezugriffs auf Prozesskontext-Kataloge durch Auswertung der Sichten-Einstellungen
Die Sicht, welche für die Rechtedelegation mittels Aufgaben eingestellt ist, kann den Lesezugriff auf Attribute beinhalten, in deren Ausprägungen Prozesskontext-Elemente referenziert werden können (Bsp.: im Attribut “Verantwortliche Organisationseinheit” des Prozesssteckbriefs, das in der Sicht “Wissensmanagement” enthalten ist, können Referenzen auf den Prozesskontext “Organisationseinheiten” erfasst worden sein).
Damit er/sie beim Betrachten/Bearbeiten des Bezugsobjekts einer Aufgabe auch die Ausprägungen dieser Attribute einsehen und ggf. auch bearbeiten kann, benötigt der/die Bearbeiter/-in der Aufgabe temporär Lesezugriff auf den entsprechenden Prozesskontext-Katalog (d.h. im o.g. Beispiel der Katalog “Organisationseinheiten und Stellen”), sofern er/sie diesen nicht ohnehin bereits auf Basis seiner/ihrer regulären Berechtigungen haben sollte.
Bei der Rechtedelegation mittels Aufgaben wertet das System daher automatisch aus, welche Prozesskontext-Kataloge in Attributen referenziert werden, auf die in der eingestellten Sicht mindestens lesender Zugriff besteht und erteilt nötigenfalls temporär den Lesezugriff auf diese Kataloge.
Achtung: Durch die Rechtedelegation mittels Aufgaben wird die Steuerung der Zugriffsrechte dezentralisiert. Somit können nicht mehr ausschließlich Administratoren entscheiden, wer auf welche Prozesskontext-Kataloge und Attribut-Sichten Zugriff hat, sondern in gewissem Rahmen zusätzlich auch alle Nutzer, die über das Recht “Berechtigungen mittels Aufgaben delegieren” verfügen.
Sie sollten daher sicherstellen, dass die Attribut-Sichten, welche Sie für die Verwendung der Rechtedelegation mittels Aufgaben verwenden wollen, für diese dezentrale Rechtesteuerung geeignet konfiguriert sind. Vermeiden Sie nach Möglichkeit, dass diese Sichten potentiell sensible Informationen enthalten (z.B. personenbezogene Daten).
Prüfen Sie hierbei insbesondere Attribute mit dem Datentyp “Referenz auf Prozesskontext-Kataloge” (z.B. Stellen, Personen, Vergütungsgruppen).
Zusammenwirken mit der Berechtigung “Modell im Portal freigeben”
Prozesse und Prozesslandkarten, auf die durch Aufgaben Lesezugriff besteht, können im Portalmodul freigegeben werden, wenn der Nutzer das arbeitsbereichsweite funktionale Recht “Modelle im Portal freigeben” besitzt.
Wir empfehlen Ihnen grundsätzlich, das Recht “Modelle im Portal freigeben” nur an geschulte und besonders vertrauenswürdige Personen zu vergeben.