...
Eine Berechtigung definiert, ob ein Benutzer eine spezifische Aktion aufrufen darf oder nicht.
Eine Berechtigung ist einer Rolle zugewiesen.
Eine Berechtigung soll immer einen ganzen Bereich von Aktionen abdecken, nie nur eine einzelne.
Die volle Spezifikation ist hier ersichtlich: hitobito/doc/architecture/08_konzepte.md at master · hitobito/hitobito (github.com)
Beschrieb | |
---|---|
group_read | Lesen nur auf dieser Gruppe. |
group_full | Lesen und Schreiben nur auf dieser Gruppe. Erstellen von Anlässen und Abos (Mailinglisten) auf der Gruppe. |
group_and_below_full | Lesen und Schreiben auf dieser und allen darunter liegenden Gruppen (ohne Ebenen). Inkl. Erstellen von Anlässen und Abos (Mailinglisten). |
group_and_below_read | Lesen auf dieser und allen darunter liegenden Gruppen (ohne Ebenen). |
layer_read | Alles Lesen auf dieser Ebene. |
layer_full | Alles Lesen und Schreiben auf dieser Ebene. Erstellen von Anlässen und Abos (Mailinglisten) auf dieser Ebene. |
layer_and_below_full | Alles Lesen und Schreiben auf dieser Ebene und allen darunter liegenden Ebenen. Erstellen von Anlässen und Abos (Mailinglisten) auf dieser Ebene. |
layer_and_below_read | Alles Lesen auf dieser Ebene und allen darunter liegenden Ebenen. |
admin | Administration von applikationsweiten Einstellungen wie Kursarten oder Etikettenformate. |
...
Rollen definieren, wen man sehen kann, und von vom man gesehen wird.
Die Zugriffe durch mehrere Rollen kumulieren sich. Jede Person kann beliebig viele Rollen in verschiedenen Gruppen haben.
Rollen sind gruppenspezifisch. Welche Rollen zur Verfügung stehen, hängt davon ab, in welcher Gruppe die Person zugewiesen ist.
Die Rolle der Person bestimmt die Zugriffsrechte dieser Person (sprich die Berechtigungen). Eine Rolle kann, muss aber nicht, ein Zugriffsrecht vergeben.
Weiterführende Informationen sind hier zugänglich: Berechtigungskonzept — Hitobito Dokumentation
Nachfolgende Matrix zeigt auf, welche Rollen in welchen Gruppen mit welchen Berechtigungen bereitgestellt werden:
...