Rollen und Rechte: Unterschied zwischen den Versionen

Aus DiPlanung

(Die Seite wurde neu angelegt: „== Einleitung == Diese Dokumentation richtet sich an Nutzer der Rolle Mandanten-Administration für das DiPlanCockpit Basis (Kürzel: M-A-Basis). Damit Admins…“)
 
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
'''> Zurück zur Hauptseite [[DiPlan Cockpit Basis für Mandanten-Administratoren (M-A)]]'''
 +
 
== Einleitung ==
 
== Einleitung ==
 
Diese Dokumentation richtet sich an Nutzer der Rolle Mandanten-Administration für das DiPlanCockpit Basis (Kürzel: M-A-Basis). Damit Admins ihre Aufgaben zielgerichtet ausführen können, haben sie eine eigene Ansicht "Fachliche Leitstelle Administration", die sich grundlegend von der Sachbearbeitungsebene unterscheidet.
 
Diese Dokumentation richtet sich an Nutzer der Rolle Mandanten-Administration für das DiPlanCockpit Basis (Kürzel: M-A-Basis). Damit Admins ihre Aufgaben zielgerichtet ausführen können, haben sie eine eigene Ansicht "Fachliche Leitstelle Administration", die sich grundlegend von der Sachbearbeitungsebene unterscheidet.
Zeile 5: Zeile 7:
  
 
== 1. Systemkontext ==
 
== 1. Systemkontext ==
Bei DiPlanCockpit Basis und DiPlanCockpit Pro handelt sich um ein Gesamtsystem und nicht um unterschiedliche Entwicklungen. Für Basis und Pro gibt es unterschiedliche Verfahrenskonfigurationen und Aufgabenkonfigurationen. Pro Verfahrenssteuerung (auch Verfahrenstyp genannt) können so unterschiedliche Vorgaben und Abläufe definiert werden.
+
Bei DiPlanCockpit Basis und DiPlanCockpit Pro handelt sich um ein Gesamtsystem und nicht um unterschiedliche Entwicklungen. Für Basis und Pro gibt es unterschiedliche Verfahrenskonfigurationen. Pro Verfahrenssteuerungstyp (auch Verfahrenssteuerung genannt) können so unterschiedliche Vorgaben und Abläufe definiert werden.
  
 
Das hinterlegte Rollen- und Rechte-Konzept differenziert, was die einzelnen Nutzer (je nach Rolle und Zuständigkeit) sehen und an Funktionen ausführen können (Lese- und Schreibrechte), sodass sie ihre spezifischen Aufgaben ausführen können. Dies wirkt sich auch auf die Rolle der Mandantenadministration im DiPlanCockpit Basis aus. Im Folgenden wird dargestellt, welche Funktionen für die Rolle M-A in Basis und Pro zur Verfügung stehen.
 
Das hinterlegte Rollen- und Rechte-Konzept differenziert, was die einzelnen Nutzer (je nach Rolle und Zuständigkeit) sehen und an Funktionen ausführen können (Lese- und Schreibrechte), sodass sie ihre spezifischen Aufgaben ausführen können. Dies wirkt sich auch auf die Rolle der Mandantenadministration im DiPlanCockpit Basis aus. Im Folgenden wird dargestellt, welche Funktionen für die Rolle M-A in Basis und Pro zur Verfügung stehen.
 
+
{| class="wikitable sortable mw-collapsible"
Tabelle "20240531_Table_Basis_Pro_V01"20240531_Table_Basis_Pro_V01.xlsx einfügen.
+
!Bereich
 
+
!Beschreibung
 +
!Basis
 +
!Pro
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Systemparameter
 +
|vorhanden
 +
|vorhanden
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Konfiguration
 +
|vorhanden in geringem Umfang
 +
|vorhanden
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Codelisten
 +
|vorhanden
 +
|vorhanden
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Verfahrensverwaltung
 +
|vorhanden
 +
|vorhanden
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Planwerksverwaltung
 +
|vorhanden
 +
|vorhanden
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Transfermessages
 +
|vorhanden
 +
|vorhanden
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Mustervorlagen
 +
|nicht vorhanden
 +
|vorhanden
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Rechtszitate
 +
|nicht vorhanden
 +
|vorhanden
 +
|-
 +
|Fachliche Leitstelle
 +
|Reiter Protokolle
 +
|vorhanden
 +
|vorhanden
 +
|}
 
* Der Reiter Konfiguration wird für den M-A-Basis zwar dargestellt, hat jedoch einen geringeren Funktionsumfang.
 
* Der Reiter Konfiguration wird für den M-A-Basis zwar dargestellt, hat jedoch einen geringeren Funktionsumfang.
* Der Reiter Mustervorlagen erlaubt dem M-A-Pro das Erstellen, Ändern, Ersetzen und Löschen von Mustervorlagen. Diese basieren auf dotx.-Vorlagen und ermöglichen es, verfahrensübergreifend Musterdokumente auf Grundlage der Vorlage zu erstellen.
+
* Der Reiter Mustervorlagen erlaubt dem M-A-Pro das Erstellen, Ändern, Ersetzen und Löschen von Mustervorlagen. Diese basieren auf .dotx-Vorlagen und ermöglichen es, verfahrensübergreifend Musterdokumente auf Grundlage der Vorlage zu erstellen.
 
* Der Reiter Rechtszitate erlaubt dem M-A-Pro das Erstellen, Bearbeiten und Löschen von Rechtszitaten. Diese werden als Platzhalter in Mustervorlagen eingefügt, um die Rechtssicherheit von Mustervorlagen zu gewährleisten.
 
* Der Reiter Rechtszitate erlaubt dem M-A-Pro das Erstellen, Bearbeiten und Löschen von Rechtszitaten. Diese werden als Platzhalter in Mustervorlagen eingefügt, um die Rechtssicherheit von Mustervorlagen zu gewährleisten.
  
Zeile 19: Zeile 69:
 
Die einzelnen Reiter werden an dieser Stelle detailliert beschrieben: [[Admin-Bereich|https://wiki.diplanung.de/index.php/Admin-Bereich]]  
 
Die einzelnen Reiter werden an dieser Stelle detailliert beschrieben: [[Admin-Bereich|https://wiki.diplanung.de/index.php/Admin-Bereich]]  
  
= 2. Administrationsebene: =
+
=== 2. Administrationsebene ===
 
DiPlanung ist in mehrere Administrationsebenen strukturiert. Die erste Ebene umfasst den Betrieb der Anwendungen und dient als fachliche Leitstelle, wobei die Freie- und Hansestadt Hamburg die maßnahmenverantwortliche Stelle ist. Die zweite Ebene beinhaltet die Administration der dezentralen fachlichen Leitstellen und Mandanten-Administrationen in den nachnutzenden Bundesländern. Optional kann eine dritte Ebene eingezogen werden, wenn das nachnutzende Land weitere nachgelagerte Behörden in die Administration der Fachanwendung einbinden möchte. Die vierte Ebene umfasst die nutzenden Stellen der Anwendung, darunter Sachbearbeitungen in den Behörden und Kommunen, Träger öffentlicher Belange (TöB), Planungsbüros und Bürger:innen.
 
DiPlanung ist in mehrere Administrationsebenen strukturiert. Die erste Ebene umfasst den Betrieb der Anwendungen und dient als fachliche Leitstelle, wobei die Freie- und Hansestadt Hamburg die maßnahmenverantwortliche Stelle ist. Die zweite Ebene beinhaltet die Administration der dezentralen fachlichen Leitstellen und Mandanten-Administrationen in den nachnutzenden Bundesländern. Optional kann eine dritte Ebene eingezogen werden, wenn das nachnutzende Land weitere nachgelagerte Behörden in die Administration der Fachanwendung einbinden möchte. Die vierte Ebene umfasst die nutzenden Stellen der Anwendung, darunter Sachbearbeitungen in den Behörden und Kommunen, Träger öffentlicher Belange (TöB), Planungsbüros und Bürger:innen.
  
= 3. Rollen- und Rechte-Konzept: =
+
==== 2.1 2FA ====
 +
Die obligatorische Verwendung von 2FA (Zwei-Faktor-Authentifizierung) ist für alle drei Administrationsebenen anzustreben.
 +
 
 +
== 3. Rollen- und Rechte-Konzept ==
 
Das Rollen- und Rechte-Konzept bildet die Grundlage für rechtssichere Zuständigkeiten und Aufgabenverteilungen innerhalb des Fachverfahrens.
 
Das Rollen- und Rechte-Konzept bildet die Grundlage für rechtssichere Zuständigkeiten und Aufgabenverteilungen innerhalb des Fachverfahrens.
  
== 3.1 KeyCloak: ==
+
=== 3.1 KeyCloak ===
Die Rollen und Rechte werden zentral in KeyCloak verwaltet. Keycloak ist ein Open-Source-Softwareprodukt, das Single Sign-On mit Identitäts- und Zugriffsverwaltung für moderne Anwendungen und Dienste ermöglicht. Pro Mandanten wird ein DiplanCockpit Basis Client in Keycloak zur Verfügung gestellt. Hierüber können die einzelnen Rollen und Rechte gesteuert werden. Dadurch wird ermöglicht, welcher User auf welche Funktionen Zugriff hat. Eine featuregenaue Steuerung Pro User ist jedoch nicht möglich, aber auch konzeptionell nicht gewollt.
+
Die Rollen und Rechte werden zentral in KeyCloak verwaltet. Keycloak ist ein Open-Source-Softwareprodukt, das Single Sign-On mit Identitäts- und Zugriffsverwaltung für moderne Anwendungen und Dienste ermöglicht. Pro Mandant wird ein DiplanCockpit Basis Client in Keycloak zur Verfügung gestellt. Hierüber können die einzelnen Rollen und Rechte gesteuert werden. Dadurch wird gesteuert, welcher User auf welche Funktionen Zugriff hat. Eine featuregenaue Steuerung pro User ist nicht möglich, aber auch konzeptionell nicht gewollt.
  
 
Für jeden Mandanten werden Berechtigungen (Rollen/Rechte) und Verfahrensverantwortung über zwei getrennte Gruppen in Keycloak gesteuert.
 
Für jeden Mandanten werden Berechtigungen (Rollen/Rechte) und Verfahrensverantwortung über zwei getrennte Gruppen in Keycloak gesteuert.
  
=== 3.1.1 Gruppe Cockpit Berechtigung ===
+
==== 3.1.1 Gruppe Cockpit Berechtigung ====
 
In dieser Gruppe sind die fachlich definierten Rollen aufgeführt. Differenzierung zwischen Cockpit Basis und Cockpit Pro Nutzer über die K1 Nutzerrechte:
 
In dieser Gruppe sind die fachlich definierten Rollen aufgeführt. Differenzierung zwischen Cockpit Basis und Cockpit Pro Nutzer über die K1 Nutzerrechte:
  
Zeile 37: Zeile 90:
 
VERFAHRENSSTEUERUNG_READ
 
VERFAHRENSSTEUERUNG_READ
  
=== 3.1.2 Gruppe Cockpit-Verfahrensverantwortung ===
+
==== 3.1.2 Gruppe Cockpit-Verfahrensverantwortung ====
 
In dieser Gruppe ist die Verfahrensverantwortung pro Mandant hierarchisch aufgeschlüsselt.
 
In dieser Gruppe ist die Verfahrensverantwortung pro Mandant hierarchisch aufgeschlüsselt.
  
Zeile 44: Zeile 97:
 
Beispiel für mehrfache Gruppenzugehörigkeit:
 
Beispiel für mehrfache Gruppenzugehörigkeit:
  
Die Anwender*in EfA kann den Gruppen Verfahrensmanagement (Cockpit-Berechtigung) oder - Sachbearbeitung (Cockpit-Berechtigung) und Altona (Cockpit-Verfahrensverantwortung)
+
Die Anwender*in EfA kann den Gruppen Verfahrensmanagement (Cockpit-Berechtigung) oder Sachbearbeitung (Cockpit-Berechtigung) und Altona (Cockpit-Verfahrensverantwortung) zugeordnet sein.
 
 
zugeordnet sein.
 
  
== 3.2 Erklärung der Rollen: ==
+
=== 3.2 Erklärung der Rollen ===
Im Folgenden wird jede Rolle und die dazugehörigen Rechte in Tabellenform dargestellt.
+
Im Folgenden werden jede Rolle und die dazugehörigen Rechte in Tabellenform dargestellt.
  
20240531_R_u_R_Basis_V01 - Kopie.xlsx
+
Die Tabelle zeigt, dass die Rolle M-A-Basis klar von den weiteren Rollen abgegrenzt werden kann, da ihr Fokus nicht auf fachlichen Aufgaben beruht. Stattdessen steht die Verwaltung der Rollen und Rechte der Nutzer im Vordergrund.
  
Die zeigt, dass die Rolle M-A-Basis klar von den weiteren Rollen abgegrenzt werden kann, da ihr Fokus nicht auf fachlichen Aufgaben beruht. Stattdessen steht die Verwaltung der Rollen und Rechte der Nutzer im Vordergrund.
+
Erläuterung der Abkürzungen der Rollen:
  
'''Sidenotes:'''
+
* M-A = Mandanten-Administration - Mandanten spezifische Administration
 +
* FP-A = Fachplanung Administration - Verfahrensmanager/in über alle Verfahren innerhalb des Mandanten
 +
* FP-VM = Fachplanung-Verfahrensmanagement - Verfahrensmanager/in über Verfahren in eigener Verfahrensverantwortung (insb. auch Anlegen) und lesende Rechte in allen Verfahren des Mandanten
 +
* FP-SB = Fachplanung-Sachbearbeitung - Verfahrensmanager/in über Verfahren in eigener Verfahrensverantwortung (insb. auch Anlegen)
 +
* C-VM = Controlling-Verfahrensmanagement - Alle Verfahren innerhalb des Mandanten lesen, alle Reports erzeugen, nur eigene Verträge, Dokumente, Stellungnahmen lesen
 +
* C-SB = Controlling-Sachbearbeitung - Verfahren, Verträge, Dokumente in eigener Verfahrensverantwortung lesen, eigene Reports erzeugen
  
Diese Dokumentation verzichtet auf Screenshots, da reale Daten aus Datenschutzgründen nicht dargestellt werden dürfen.
+
{| class="wikitable"
 +
! rowspan="2" |Zugeordnete Rechte pro Rolle
 +
!
 +
! colspan="6" |Rollen  EfA Cockpit Basis
 +
|-
 +
!Erläuterung des Rechts
 +
!M-A-Basis
 +
!FP-A-Basis
 +
!FP-VM-Basis 
 +
!FP-SB-Basis 
 +
!C-VM-Basis
 +
!C-SB-Basis
 +
|-
 +
|ADMIN
 +
|Zugriff auf den Admin-Bereich (fachliche Leitstelle Administration)
 +
|X
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|VERFAHREN_READ
 +
|Alle Verfahren (eines Mandanten) können über die Suche gefunden und gelesen  werden. Ist ein Verfahren nicht abonniert, kann nur die Stammdatenseite  gelesen werden.
 +
|X
 +
|X  = Recht gilt bei dieser Rolle
 +
|X
 +
|
 +
|X
 +
|
 +
|-
 +
|VERFAHREN_WRITE
 +
|Alle Verfahren (eines Mandanten) können schreibend bearbeitet werden. Verfahren  muss abonniert sein.
 +
|X
 +
|X
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|VERFAHREN_ABONNIEREN
 +
|Verfahren können abonniert und deabonniert werden.
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|-
 +
|EIGENE_VERFAHREN_READ
 +
|Verfahren in der eigenen Zuständigkeit können über die Suche gefunden und gelesen werden. Ist ein Verfahren nicht abonniert, kann nur die Stammdatenseite  gelesen werden.
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|-
 +
|EIGENE_VERFAHREN_WRITE
 +
|Verfahren in der eigenen Zuständigkeit können schreibend bearbeitet werden. Verfahren muss abonniert sein.
 +
|X
 +
|X
 +
|X
 +
|X
 +
|
 +
|
 +
|-
 +
|VERTRAG_READ
 +
|Verträge von allen Verfahren können gelesen werden.
 +
|X
 +
|X
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|VERTRAG_WRITE
 +
|Verträge von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden.
 +
|X
 +
|X
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|EIGENE_VERTRAG_READ
 +
|Verträge von Verfahren in eigener Zuständigkeit können gelesen werden.
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|-
 +
|EIGENE_VERTRAG_WRITE
 +
|Verträge von Verfahren in eigener Zuständigkeit können hochgeladen, bearbeitet und  gelöscht werden.
 +
|X
 +
|X
 +
|X
 +
|X
 +
|
 +
|
 +
|-
 +
|DOKUMENT_READ
 +
|(Verfahrens-)  Dokumente von allen Verfahren können gelesen werden.
 +
|X
 +
|X
 +
|X
 +
|
 +
|
 +
|
 +
|-
 +
|DOKUMENT_WRITE
 +
|(Verfahrens-)  Dokumente von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden
 +
|X
 +
|X
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|EIGENE_DOKUMENT_READ
 +
|(Verfahrens-)  Dokumente von Verfahren in eigener Zuständigkeit können gelesen werden
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|-
 +
|EIGENE_DOKUMENT_WRITE
 +
|(Verfahrens-)  Dokumente von Verfahren in eigener Zuständigkeit können hochgeladen,  bearbeitet und gelöscht werden
 +
|X
 +
|X
 +
|X
 +
|X
 +
|
 +
|
 +
|-
 +
|VERFAHREN_DELETE
 +
|Gestartete Verfahren können endgültig gelöscht werden
 +
|X
 +
|
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|EIGENE_VERFAHREN_DELETE_SIMULIERTES_VERFAHREN
 +
|Simulierte Verfahren in  eigener Zuständigkeit können endgültig gelöscht werden.
 +
|X
 +
|X
 +
|X
 +
|X
 +
|
 +
|
 +
|-
 +
|EIGENE_VERFAHREN_CREATE
 +
|Verfahren in eigener Zuständigkeit können angelegt werden. Verfahren_write oder  eigene_verfahren_write erforderlich
 +
|X
 +
|X
 +
|X
 +
|X
 +
|
 +
|
 +
|-
 +
|EIGENE_PLANWERKE_READ
 +
|Planwerke von Verfahren in eigener Zuständigkeit können gelesen und heruntergeladen  werden.
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|X
 +
|-
 +
|EIGENE_PLANWERKE_WRITE
 +
|Planwerke von Verfahren in eigener Zuständigkeit können hochgeladen, bearbeitet und  gelöscht werden.
 +
|X
 +
|X
 +
|X
 +
|X
 +
|
 +
|
 +
|-
 +
|PLANWERKE_READ
 +
|Planwerke von allen Verfahren können gelesen und heruntergeladen werden.
 +
|X
 +
|X
 +
|
 +
|
 +
|
 +
|
 +
|-
 +
|PLANWERKE_WRITE
 +
|Planwerke von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden.
 +
|X
 +
|X
 +
|
 +
|
 +
|
 +
|
 +
|}

Aktuelle Version vom 30. September 2024, 13:22 Uhr

> Zurück zur Hauptseite DiPlan Cockpit Basis für Mandanten-Administratoren (M-A)

Einleitung[Bearbeiten | Quelltext bearbeiten]

Diese Dokumentation richtet sich an Nutzer der Rolle Mandanten-Administration für das DiPlanCockpit Basis (Kürzel: M-A-Basis). Damit Admins ihre Aufgaben zielgerichtet ausführen können, haben sie eine eigene Ansicht "Fachliche Leitstelle Administration", die sich grundlegend von der Sachbearbeitungsebene unterscheidet.

Die Aufgaben des Admins sind darauf ausgerichtet, das Verfahren für die Sachbearbeitung vorzubereiten/einzurichten.

1. Systemkontext[Bearbeiten | Quelltext bearbeiten]

Bei DiPlanCockpit Basis und DiPlanCockpit Pro handelt sich um ein Gesamtsystem und nicht um unterschiedliche Entwicklungen. Für Basis und Pro gibt es unterschiedliche Verfahrenskonfigurationen. Pro Verfahrenssteuerungstyp (auch Verfahrenssteuerung genannt) können so unterschiedliche Vorgaben und Abläufe definiert werden.

Das hinterlegte Rollen- und Rechte-Konzept differenziert, was die einzelnen Nutzer (je nach Rolle und Zuständigkeit) sehen und an Funktionen ausführen können (Lese- und Schreibrechte), sodass sie ihre spezifischen Aufgaben ausführen können. Dies wirkt sich auch auf die Rolle der Mandantenadministration im DiPlanCockpit Basis aus. Im Folgenden wird dargestellt, welche Funktionen für die Rolle M-A in Basis und Pro zur Verfügung stehen.

Bereich Beschreibung Basis Pro
Fachliche Leitstelle Reiter Systemparameter vorhanden vorhanden
Fachliche Leitstelle Reiter Konfiguration vorhanden in geringem Umfang vorhanden
Fachliche Leitstelle Reiter Codelisten vorhanden vorhanden
Fachliche Leitstelle Reiter Verfahrensverwaltung vorhanden vorhanden
Fachliche Leitstelle Reiter Planwerksverwaltung vorhanden vorhanden
Fachliche Leitstelle Reiter Transfermessages vorhanden vorhanden
Fachliche Leitstelle Reiter Mustervorlagen nicht vorhanden vorhanden
Fachliche Leitstelle Reiter Rechtszitate nicht vorhanden vorhanden
Fachliche Leitstelle Reiter Protokolle vorhanden vorhanden
  • Der Reiter Konfiguration wird für den M-A-Basis zwar dargestellt, hat jedoch einen geringeren Funktionsumfang.
  • Der Reiter Mustervorlagen erlaubt dem M-A-Pro das Erstellen, Ändern, Ersetzen und Löschen von Mustervorlagen. Diese basieren auf .dotx-Vorlagen und ermöglichen es, verfahrensübergreifend Musterdokumente auf Grundlage der Vorlage zu erstellen.
  • Der Reiter Rechtszitate erlaubt dem M-A-Pro das Erstellen, Bearbeiten und Löschen von Rechtszitaten. Diese werden als Platzhalter in Mustervorlagen eingefügt, um die Rechtssicherheit von Mustervorlagen zu gewährleisten.

Der Reiter Zugriffsverwaltung im Bereich Fachliche Leitstelle wurde aus Basis und Pro entfernt. Die Verwaltung der Rollen und Rechte erfolgt in KeyCloak (siehe unten).

Die einzelnen Reiter werden an dieser Stelle detailliert beschrieben: https://wiki.diplanung.de/index.php/Admin-Bereich

2. Administrationsebene[Bearbeiten | Quelltext bearbeiten]

DiPlanung ist in mehrere Administrationsebenen strukturiert. Die erste Ebene umfasst den Betrieb der Anwendungen und dient als fachliche Leitstelle, wobei die Freie- und Hansestadt Hamburg die maßnahmenverantwortliche Stelle ist. Die zweite Ebene beinhaltet die Administration der dezentralen fachlichen Leitstellen und Mandanten-Administrationen in den nachnutzenden Bundesländern. Optional kann eine dritte Ebene eingezogen werden, wenn das nachnutzende Land weitere nachgelagerte Behörden in die Administration der Fachanwendung einbinden möchte. Die vierte Ebene umfasst die nutzenden Stellen der Anwendung, darunter Sachbearbeitungen in den Behörden und Kommunen, Träger öffentlicher Belange (TöB), Planungsbüros und Bürger:innen.

2.1 2FA[Bearbeiten | Quelltext bearbeiten]

Die obligatorische Verwendung von 2FA (Zwei-Faktor-Authentifizierung) ist für alle drei Administrationsebenen anzustreben.

3. Rollen- und Rechte-Konzept[Bearbeiten | Quelltext bearbeiten]

Das Rollen- und Rechte-Konzept bildet die Grundlage für rechtssichere Zuständigkeiten und Aufgabenverteilungen innerhalb des Fachverfahrens.

3.1 KeyCloak[Bearbeiten | Quelltext bearbeiten]

Die Rollen und Rechte werden zentral in KeyCloak verwaltet. Keycloak ist ein Open-Source-Softwareprodukt, das Single Sign-On mit Identitäts- und Zugriffsverwaltung für moderne Anwendungen und Dienste ermöglicht. Pro Mandant wird ein DiplanCockpit Basis Client in Keycloak zur Verfügung gestellt. Hierüber können die einzelnen Rollen und Rechte gesteuert werden. Dadurch wird gesteuert, welcher User auf welche Funktionen Zugriff hat. Eine featuregenaue Steuerung pro User ist nicht möglich, aber auch konzeptionell nicht gewollt.

Für jeden Mandanten werden Berechtigungen (Rollen/Rechte) und Verfahrensverantwortung über zwei getrennte Gruppen in Keycloak gesteuert.

3.1.1 Gruppe Cockpit Berechtigung[Bearbeiten | Quelltext bearbeiten]

In dieser Gruppe sind die fachlich definierten Rollen aufgeführt. Differenzierung zwischen Cockpit Basis und Cockpit Pro Nutzer über die K1 Nutzerrechte:

VERFAHRENSSTEUERUNG_WRITE

VERFAHRENSSTEUERUNG_READ

3.1.2 Gruppe Cockpit-Verfahrensverantwortung[Bearbeiten | Quelltext bearbeiten]

In dieser Gruppe ist die Verfahrensverantwortung pro Mandant hierarchisch aufgeschlüsselt.

Die Rollen und Rechte werden über die Cockpit-Berechtigung und die Cockpit-Verfahrensverantwortung definiert. Ein Anwender hat immer mindestens eine Cockpit-Berechtigungsrolle. Ein Anwender kann für den Mandanten Hamburg keine oder genau eine Verfahrensverantwortungen zugewiesen bekommen z.B. Senat oder Altona oder Bergedorf.

Beispiel für mehrfache Gruppenzugehörigkeit:

Die Anwender*in EfA kann den Gruppen Verfahrensmanagement (Cockpit-Berechtigung) oder Sachbearbeitung (Cockpit-Berechtigung) und Altona (Cockpit-Verfahrensverantwortung) zugeordnet sein.

3.2 Erklärung der Rollen[Bearbeiten | Quelltext bearbeiten]

Im Folgenden werden jede Rolle und die dazugehörigen Rechte in Tabellenform dargestellt.

Die Tabelle zeigt, dass die Rolle M-A-Basis klar von den weiteren Rollen abgegrenzt werden kann, da ihr Fokus nicht auf fachlichen Aufgaben beruht. Stattdessen steht die Verwaltung der Rollen und Rechte der Nutzer im Vordergrund.

Erläuterung der Abkürzungen der Rollen:

  • M-A = Mandanten-Administration - Mandanten spezifische Administration
  • FP-A = Fachplanung Administration - Verfahrensmanager/in über alle Verfahren innerhalb des Mandanten
  • FP-VM = Fachplanung-Verfahrensmanagement - Verfahrensmanager/in über Verfahren in eigener Verfahrensverantwortung (insb. auch Anlegen) und lesende Rechte in allen Verfahren des Mandanten
  • FP-SB = Fachplanung-Sachbearbeitung - Verfahrensmanager/in über Verfahren in eigener Verfahrensverantwortung (insb. auch Anlegen)
  • C-VM = Controlling-Verfahrensmanagement - Alle Verfahren innerhalb des Mandanten lesen, alle Reports erzeugen, nur eigene Verträge, Dokumente, Stellungnahmen lesen
  • C-SB = Controlling-Sachbearbeitung - Verfahren, Verträge, Dokumente in eigener Verfahrensverantwortung lesen, eigene Reports erzeugen
Zugeordnete Rechte pro Rolle Rollen EfA Cockpit Basis
Erläuterung des Rechts M-A-Basis FP-A-Basis FP-VM-Basis FP-SB-Basis C-VM-Basis C-SB-Basis
ADMIN Zugriff auf den Admin-Bereich (fachliche Leitstelle Administration) X
VERFAHREN_READ Alle Verfahren (eines Mandanten) können über die Suche gefunden und gelesen werden. Ist ein Verfahren nicht abonniert, kann nur die Stammdatenseite gelesen werden. X X = Recht gilt bei dieser Rolle X X
VERFAHREN_WRITE Alle Verfahren (eines Mandanten) können schreibend bearbeitet werden. Verfahren muss abonniert sein. X X
VERFAHREN_ABONNIEREN Verfahren können abonniert und deabonniert werden. X X X X X X
EIGENE_VERFAHREN_READ Verfahren in der eigenen Zuständigkeit können über die Suche gefunden und gelesen werden. Ist ein Verfahren nicht abonniert, kann nur die Stammdatenseite gelesen werden. X X X X X X
EIGENE_VERFAHREN_WRITE Verfahren in der eigenen Zuständigkeit können schreibend bearbeitet werden. Verfahren muss abonniert sein. X X X X
VERTRAG_READ Verträge von allen Verfahren können gelesen werden. X X
VERTRAG_WRITE Verträge von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden. X X
EIGENE_VERTRAG_READ Verträge von Verfahren in eigener Zuständigkeit können gelesen werden. X X X X X X
EIGENE_VERTRAG_WRITE Verträge von Verfahren in eigener Zuständigkeit können hochgeladen, bearbeitet und gelöscht werden. X X X X
DOKUMENT_READ (Verfahrens-) Dokumente von allen Verfahren können gelesen werden. X X X
DOKUMENT_WRITE (Verfahrens-) Dokumente von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden X X
EIGENE_DOKUMENT_READ (Verfahrens-) Dokumente von Verfahren in eigener Zuständigkeit können gelesen werden X X X X X X
EIGENE_DOKUMENT_WRITE (Verfahrens-) Dokumente von Verfahren in eigener Zuständigkeit können hochgeladen, bearbeitet und gelöscht werden X X X X
VERFAHREN_DELETE Gestartete Verfahren können endgültig gelöscht werden X
EIGENE_VERFAHREN_DELETE_SIMULIERTES_VERFAHREN Simulierte Verfahren in eigener Zuständigkeit können endgültig gelöscht werden. X X X X
EIGENE_VERFAHREN_CREATE Verfahren in eigener Zuständigkeit können angelegt werden. Verfahren_write oder eigene_verfahren_write erforderlich X X X X
EIGENE_PLANWERKE_READ Planwerke von Verfahren in eigener Zuständigkeit können gelesen und heruntergeladen werden. X X X X X X
EIGENE_PLANWERKE_WRITE Planwerke von Verfahren in eigener Zuständigkeit können hochgeladen, bearbeitet und gelöscht werden. X X X X
PLANWERKE_READ Planwerke von allen Verfahren können gelesen und heruntergeladen werden. X X
PLANWERKE_WRITE Planwerke von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden. X X