Das Rechte-Rollen-Konzept

1. Rechte-Rollen-Konzept

1.5. Rechtestruktur

Rechtsarchitektur und Rechtehierarchie

Ein Recht kann in LOGINEO NRW verschiedene Zustände haben. Standardmäßig ist es für die einzelnen Kontotypen entweder „gesetzt“, das heißt, dass die dahinterliegende Funktion für den Kontotyp erlaubt ist oder es befindet sich in einem „neutralen Zustand“. Dies bedeutet, die mit dem Recht zu administrierende Funktion ist nicht freigeschaltet. Ist ein solches („neutrales“) Recht auf Instanzebene administrierbar, kann es als „optionales Recht“ bezeichnet werden, da es durch eine Administratorin oder einen Administrator gesetzt werden kann.

Berechtigungen können entweder erlaubt oder verboten werden. Von einer Administratorin oder einem Administrator gesetzte Erlaubnis und / oder Verbot können auch wieder gelöscht werden.

Hinweis
Ein Verbot sollte nur in seltenen Ausnahmefällen und mit Bedacht vergeben werden, da Verbote bis zu ihrer Löschung im System dominant wirken (siehe Grundsätze der Rechtevergabe). In vielen Fällen reicht es aus, eine Erlaubnis wieder zu löschen, um die Nutzung einer Funktion zu verbieten. 

Berechtigungen können dabei für einzelne Benutzerkonten (einzelne Nutzerinnen und Nutzer), ganze Gruppen, ausgewählte Kontotypen einer Gruppe oder für einzelne Kontotypen administriert werden. Jedes Recht hat damit auch eine Herkunftsebene. Wird eine Berechtigung auf irgendeiner Herkunftsebene verboten, kann dieses Verbot nicht mehr umgangen werden. Das heißt, ein Verbot kann nicht durch eine Erlaubnis neutralisiert werden. Verbote müssen zunächst auf der entsprechenden Herkunftsebene gelöscht werden.

Rechtezustände

Zur Verdeutlichung ein konkretes Anwendungsbeispiel des externen Mailings:

Das externe Mailing ist standardmäßig für den Kontotyp „Schüler*in“ in LOGINEO NRW nicht erlaubt. Ein Administrator oder eine Administratorin kann dies aber für alle Schülerinnen und Schüler einer Schule durch wenige Klicks veranlassen. In dem Beispiel der folgenden Abbildung wurde das externe Mailing lediglich einer Gruppe erlaubt. Eine solche Gruppe könnte zum Beispiel alle Klassen der Jahrgangsstufen 6-13 umfassen. Einem Mitglied der Gruppe wurde allerdings auf individueller Ebene (Herkunftsebene: Benutzerkonto) diese Berechtigung verboten, weshalb die der Gruppe erteilte Erlaubnis für diesen User nicht mehr wirksam ist. Das Verbot auf der Ebene des einzelnen Benutzerkontos müsste erst wieder gelöscht werden, damit die „darunter liegende“ Erlaubnis wieder greift.

Umgekehrt müsste auch ein Verbot auf Gruppenebene zunächst gelöscht werden, damit ein auf individueller Ebene gesetztes Recht greifen kann.

Grafik zur Hirarchie von Rechten und Verboten: Externes Mailing ist für den Kontotyp Schüler optional und per Voreinstellung nicht erlaubt. Der Admin kann dies auf einfache Weise für eine Gruppe erlauben. Für einen speziellen Nutzer kann aber ein Verbot gesetzt werden, sprich: Das Recht entzogen werden.