Rollen und Rechte
> Zurück zur Hauptseite DiPlan Cockpit Basis für Mandanten-Administratoren (M-A)
Einleitung[Bearbeiten | Quelltext bearbeiten]
Diese Dokumentation richtet sich an Nutzer der Rolle Mandanten-Administration für das DiPlanCockpit Basis (Kürzel: M-A-Basis). Damit Admins ihre Aufgaben zielgerichtet ausführen können, haben sie eine eigene Ansicht "Fachliche Leitstelle Administration", die sich grundlegend von der Sachbearbeitungsebene unterscheidet.
Die Aufgaben des Admins sind darauf ausgerichtet, das Verfahren für die Sachbearbeitung vorzubereiten/einzurichten.
1. Systemkontext[Bearbeiten | Quelltext bearbeiten]
Bei DiPlanCockpit Basis und DiPlanCockpit Pro handelt sich um ein Gesamtsystem und nicht um unterschiedliche Entwicklungen. Für Basis und Pro gibt es unterschiedliche Verfahrenskonfigurationen. Pro Verfahrenssteuerungstyp (auch Verfahrenssteuerung genannt) können so unterschiedliche Vorgaben und Abläufe definiert werden.
Das hinterlegte Rollen- und Rechte-Konzept differenziert, was die einzelnen Nutzer (je nach Rolle und Zuständigkeit) sehen und an Funktionen ausführen können (Lese- und Schreibrechte), sodass sie ihre spezifischen Aufgaben ausführen können. Dies wirkt sich auch auf die Rolle der Mandantenadministration im DiPlanCockpit Basis aus. Im Folgenden wird dargestellt, welche Funktionen für die Rolle M-A in Basis und Pro zur Verfügung stehen.
| Bereich | Beschreibung | Basis | EinklappenPro |
|---|---|---|---|
| Fachliche Leitstelle | Reiter Systemparameter | vorhanden | vorhanden |
| Fachliche Leitstelle | Reiter Konfiguration | vorhanden in geringem Umfang | vorhanden |
| Fachliche Leitstelle | Reiter Codelisten | vorhanden | vorhanden |
| Fachliche Leitstelle | Reiter Verfahrensverwaltung | vorhanden | vorhanden |
| Fachliche Leitstelle | Reiter Planwerksverwaltung | vorhanden | vorhanden |
| Fachliche Leitstelle | Reiter Transfermessages | vorhanden | vorhanden |
| Fachliche Leitstelle | Reiter Mustervorlagen | nicht vorhanden | vorhanden |
| Fachliche Leitstelle | Reiter Rechtszitate | nicht vorhanden | vorhanden |
| Fachliche Leitstelle | Reiter Protokolle | vorhanden | vorhanden |
- Der Reiter Konfiguration wird für den M-A-Basis zwar dargestellt, hat jedoch einen geringeren Funktionsumfang.
- Der Reiter Mustervorlagen erlaubt dem M-A-Pro das Erstellen, Ändern, Ersetzen und Löschen von Mustervorlagen. Diese basieren auf .dotx-Vorlagen und ermöglichen es, verfahrensübergreifend Musterdokumente auf Grundlage der Vorlage zu erstellen.
- Der Reiter Rechtszitate erlaubt dem M-A-Pro das Erstellen, Bearbeiten und Löschen von Rechtszitaten. Diese werden als Platzhalter in Mustervorlagen eingefügt, um die Rechtssicherheit von Mustervorlagen zu gewährleisten.
Der Reiter Zugriffsverwaltung im Bereich Fachliche Leitstelle wurde aus Basis und Pro entfernt. Die Verwaltung der Rollen und Rechte erfolgt in KeyCloak (siehe unten).
Die einzelnen Reiter werden an dieser Stelle detailliert beschrieben: https://wiki.diplanung.de/index.php/Admin-Bereich
2. Administrationsebene[Bearbeiten | Quelltext bearbeiten]
DiPlanung ist in mehrere Administrationsebenen strukturiert. Die erste Ebene umfasst den Betrieb der Anwendungen und dient als fachliche Leitstelle, wobei die Freie- und Hansestadt Hamburg die maßnahmenverantwortliche Stelle ist. Die zweite Ebene beinhaltet die Administration der dezentralen fachlichen Leitstellen und Mandanten-Administrationen in den nachnutzenden Bundesländern. Optional kann eine dritte Ebene eingezogen werden, wenn das nachnutzende Land weitere nachgelagerte Behörden in die Administration der Fachanwendung einbinden möchte. Die vierte Ebene umfasst die nutzenden Stellen der Anwendung, darunter Sachbearbeitungen in den Behörden und Kommunen, Träger öffentlicher Belange (TöB), Planungsbüros und Bürger:innen.
2.1 2FA[Bearbeiten | Quelltext bearbeiten]
Die obligatorische Verwendung von 2FA (Zwei-Faktor-Authentifizierung) ist für alle drei Administrationsebenen anzustreben.
3. Rollen- und Rechte-Konzept[Bearbeiten | Quelltext bearbeiten]
Das Rollen- und Rechte-Konzept bildet die Grundlage für rechtssichere Zuständigkeiten und Aufgabenverteilungen innerhalb des Fachverfahrens.
3.1 KeyCloak[Bearbeiten | Quelltext bearbeiten]
Die Rollen und Rechte werden zentral in KeyCloak verwaltet. Keycloak ist ein Open-Source-Softwareprodukt, das Single Sign-On mit Identitäts- und Zugriffsverwaltung für moderne Anwendungen und Dienste ermöglicht. Pro Mandant wird ein DiplanCockpit Basis Client in Keycloak zur Verfügung gestellt. Hierüber können die einzelnen Rollen und Rechte gesteuert werden. Dadurch wird gesteuert, welcher User auf welche Funktionen Zugriff hat. Eine featuregenaue Steuerung pro User ist nicht möglich, aber auch konzeptionell nicht gewollt.
Für jeden Mandanten werden Berechtigungen (Rollen/Rechte) und Verfahrensverantwortung über zwei getrennte Gruppen in Keycloak gesteuert.
3.1.1 Gruppe Cockpit Berechtigung[Bearbeiten | Quelltext bearbeiten]
In dieser Gruppe sind die fachlich definierten Rollen aufgeführt. Differenzierung zwischen Cockpit Basis und Cockpit Pro Nutzer über die K1 Nutzerrechte:
VERFAHRENSSTEUERUNG_WRITE
VERFAHRENSSTEUERUNG_READ
3.1.2 Gruppe Cockpit-Zuständigkeit[Bearbeiten | Quelltext bearbeiten]
In dieser Gruppe ist die Zuständigkeit pro Mandant hierarchisch aufgeschlüsselt.
Die Rollen und Rechte werden über die Cockpit-Berechtigung und die Cockpit-Zuständigkeit definiert. Ein Anwender hat immer mindestens eine Cockpit-Berechtigungsrolle. Ein Anwender kann für den Mandanten Hamburg keine oder genau eine Zuständigkeit zugewiesen bekommen z.B. Senat oder Altona oder Bergedorf.
Beispiel für mehrfache Gruppenzugehörigkeit: Die Anwendenden in EfA können den Gruppen Verfahrensmanagement (Cockpit-Berechtigung) oder - Sachbearbeitung (Cockpit-Berechtigung) und Altona (Cockpit-Zuständigkeit) zugeordnet sein.
3.1.3 Gruppe Organisation[Bearbeiten | Quelltext bearbeiten]
In diese Gruppe fallen die Planungsbüros (PB). Eine Besonderheit ist, dass Planungsbüros KEINE Zuständigkeit haben.
3.2 Erklärung der Rollen[Bearbeiten | Quelltext bearbeiten]
Im Folgenden werden jede Rolle und die dazugehörigen Rechte in Tabellenform dargestellt.
Die Tabelle zeigt, dass die Rolle M-A-Basis klar von den weiteren Rollen abgegrenzt werden kann, da ihr Fokus nicht auf fachlichen Aufgaben beruht. Stattdessen steht die Verwaltung der Rollen und Rechte der Nutzer im Vordergrund.
3.2.1 Erläuterung der Abkürzungen der Rollen[Bearbeiten | Quelltext bearbeiten]
- M-A = Mandanten-Administration - Mandanten spezifische Administration
- FP-A = Fachplanung Administration - Verfahrensmanager/in über alle Verfahren innerhalb des Mandanten
- FP-VM = Fachplanung-Verfahrensmanagement - Verfahrensmanager/in über Verfahren in eigener Verfahrensverantwortung (insb. auch Anlegen) und lesende Rechte in allen Verfahren des Mandanten
- FP-SB = Fachplanung-Sachbearbeitung - Verfahrensmanager/in über Verfahren in eigener Verfahrensverantwortung (insb. auch Anlegen)
- FP-PB-SB = Fachplanung-Planungsbüro-Sachbearbeiter (1. Stufe) mit Schreibrecht in einem ausgewählten Verfahren, für das die Organisation (Planungsbüro) berechtigt wurde. Rolle hat keine Zuständigkeit, d.h. sie kann über Zuständigkeiten an Verfahren mitarbeiten, für die sie berechtigt wurde.
- C-VM = Controlling-Verfahrensmanagement - Alle Verfahren innerhalb des Mandanten lesen, alle Reports erzeugen, nur eigene Verträge, Dokumente, Stellungnahmen lesen
- C-SB = Controlling-Sachbearbeitung - Verfahren, Verträge, Dokumente in eigener Verfahrensverantwortung lesen, eigene Reports erzeugen
3.2.2 Hinweise[Bearbeiten | Quelltext bearbeiten]
- "Eigene" im Recht bezieht sich immer auf die eigene Zuständigkeit, nicht darauf, ob das Verfahren abonniert ist oder selbst angelegt wurde. "Eigene" bezieht sich auf interne Nutzer (Behördenvertretende).
- Alle schreibenden Rechte in der K1 erfordern, dass das Verfahren abonniert ist, um Änderungen vornehmen zu können. Mit Klick auf ein Verfahren, wird es automatisch abonniert.
- Externe Planungsbüros (PB) können in angelegten Verfahren mitarbeiten, haben selbst aber keine Zuständigkeit. Sie erhalten eine eigene Übersichtsseite "Berechtigte Verfahren", auf der 0..n Verfahren aufgelistet sind, für die ein PB berechtigt wurde. Abonnieren ist dafür irrelevant. Es werden in der 1. Stufe die Rollen FP-PB-SB#1 (Pro) + FP-PB-SB_Basis#1 (Basis) umgesetzt.
- In KeyCloak gibt es für alle PB - unabhängig von der Berechtigungsstufe im DiPlanCockpit - nur eine Rolle / Gruppe / Organisation: FP-PB.
Legende zur Tabelle:
X = Recht gilt bei dieser Rolle
| Zugeordnete Rechte pro Rolle | Rollen EfA Cockpit Basis | |||||||
|---|---|---|---|---|---|---|---|---|
| Erläuterung des Rechts | M-A-Basis | FP-A-Basis | FP-VM-Basis | FP-SB-Basis | FP-PB-SB-Basis | C-VM-Basis | C-SB-Basis | |
| ADMIN | Zugriff auf den Admin-Bereich (fachliche Leitstelle Administration) sowie den Cockpit-Bereich. | X | ||||||
| VERFAHREN_EINSTELLUNGEN | Zugriff auf den Reiter Einstellungen im Cockpit-Bereich. | X | X | |||||
| VERFAHREN_READ | Interne SBs: Alle Verfahren eines Mandanten - über Zuständigkeiten hinweg können über die Suche gefunden und gelesen werden. Externe PBs: Leserecht für Verfahren, für die das PB berechtigt wurde. Suchfunktion gibt es für sie nicht. Interne SBs: Ist ein Verfahren nicht abonniert, kann nur die Stammdatenseite gelesen werden. | X | X | X | X | X | ||
| VERFAHREN_WRITE | Alle Verfahren eines Mandanten - über Zuständigkeiten hinweg - können schreibend bearbeitet werden. Interne SBs: Verfahren muss abonniert sein. Externe PBs: Schreibrecht für Verfahren, für die das PB berechtigt wurde. Abonnieren gibt es für sie nicht. | X | X | X | ||||
| VERFAHREN_BERECHTIGUNG_WRITE | Über Zuständigkeiten hinweg: Reiter Stammdaten, Sektion Berechtigung für Planungs- und Ingenieurbüros ist editierbar = Interne SBs können Berechtigung 0..n fach an externe PBs vergeben und wieder entziehen. Die Berechtigung für PBs gilt pro Verfahren und über Zuständigkeiten hinweg. Nur bereits in KeyCloak eingerichtete, externe Planungsbüros (PB) werden angezeigt. | X | X | |||||
| VERFAHREN_BERECHTIGUNG_READ | Über Zuständigkeiten hinweg: Reiter Stammdaten, Sektion Berechtigung für Planungs- und Ingenieurbüros ist sichtbar. Nur bereits in KeyCloak eingerichtete, externe Planungsbüros (PB) werden angezeigt. | X | X | X | X | |||
| VERFAHREN_ABONNIEREN | Verfahren können abonniert und de-abonniert werden. | X | X | X | X | X | X | |
| EIGENE_VERFAHREN_READ | Verfahren in der eigenen Zuständigkeit können über die Suche gefunden und gelesen werden. Ist ein Verfahren nicht abonniert, kann nur die Stammdatenseite gelesen werden. | X | X | X | X | X | X | |
| EIGENE_VERFAHREN_WRITE | Verfahren in der eigenen Zuständigkeit können schreibend bearbeitet werden. Verfahren muss abonniert sein. | X | X | X | X | |||
| EIGENE_VERFAHREN_
BERECHTIGUNG_WRITE |
In der jeweiligen Zuständigkeit: Reiter Stammdaten, Sektion Berechtigung für Planungs- und Ingenieurbüros ist editierbar = Interne Nutzer können Berechtigung 0..n fach an externe PBs vergeben und wieder entziehen. Die Berechtigung für PBs gilt pro Verfahren. Nur bereits in KeyCloak eingerichtete, externe Planungsbüros (PB) werden angezeigt. | X | X | X | X | |||
| EIGENE_VERFAHREN_
BERECHTIGUNG_READ |
In der jeweiligen Zuständigkeit: Reiter Stammdaten, Sektion Berechtigung für Planungs- und Ingenieurbüros ist sichtbar. | X | X | X | X | X | X | |
| EXTERNES_PLANUNGSBUERO | 1. Differenzierung für externes Planungsbüro (PB).
PBs sehen nur den Reiter "Berechtigte Verfahren (andere Art der (Übersichtsseite) mit den Verfahren, für die sich berechtigt wurden - über Zuständigkeiten hinweg. Sie können an berechtigen Verfahren mitarbeiten, sehen aber bestimmte Inhalte nicht wie Verträge und können bestimmte Funktionen nicht ausführen wie Berechtigung ändern. |
X | ||||||
| VERTRAG_READ | Nur für interne SBs: Verträge von allen Verfahren können gelesen werden. Verfahren muss abonniert sein. | X | X | |||||
| VERTRAG_WRITE | Nur für interne SBs: Verträge von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden. Verfahren muss abonniert sein. | X | X | |||||
| EIGENE_VERTRAG_READ | Nur für interne SBs: Verträge von Verfahren in eigener Zuständigkeit können gelesen werden. Verfahren muss abonniert sein. | X | X | X | X | X | X | |
| EIGENE_VERTRAG_WRITE | Nur für interne SBs: Verträge von Verfahren in eigener Zuständigkeit können hochgeladen, bearbeitet und gelöscht werden. Verfahren muss abonniert sein. | X | X | X | X | |||
| DOKUMENT_READ | (Verfahrens-) Dokumente von allen Verfahren können gelesen werden. Verfahren muss abonniert sein. | X | X | X | X | |||
| DOKUMENT_WRITE | (Verfahrens-) Dokumente von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden; Dokumente können aus Mustervorlagen generiert werden. Verfahren muss abonniert sein. VERFAHREN_WRITE erforderlich. | X | X | X | ||||
| EIGENE_DOKUMENT_READ | (Verfahrens-) Dokumente von Verfahren in eigener Zuständigkeit können gelesen werden. Verfahren muss abonniert sein. | X | X | X | X | X | X | |
| EIGENE_DOKUMENT_WRITE | (Verfahrens-) Dokumente von Verfahren in eigener Zuständigkeit können hochgeladen, bearbeitet und gelöscht werden; Dokumente können aus Mustervorlagen generiert werden. Verfahren muss abonniert sein. EIGENE_VERFAHREN_WRITE erforderlich. | X | X | X | X | |||
| REPORT | Reports / Auswertungen können erstellt werden - über Zuständigkeiten hinweg. | X | X | |||||
| EIGENE_REPORT | Reports / Auswertungen der eigenen Zuständigkeit können erstellt werden. | X | X | X | X | X | X | |
| VERFAHREN_CREATE | Sonderfall für die Rollen M-A und FP-A: Verfahren können angelegt werden - über Zuständigkeiten hinweg. VERFAHREN_WRITE oder EIGENE_VERFAHREN_WRITE erforderlich. | X | X | |||||
| VERFAHREN_DELETE | Gestartete Verfahren können endgültig gelöscht werden. VERFAHREN_WRITE erforderlich. | X | ||||||
| EIGENE_VERFAHREN_DELETE_
SIMULIERTES_VERFAHREN |
Simulierte Verfahren in der eigenen Zuständigkeit können endgültig gelöscht werden. Verfahren muss abonniert sein. EIGENE_VERFAHREN_WRITE erforderlich. | X | X | X | X | |||
| EIGENE_VERFAHREN_CREATE | Nur für interne SBs: Verfahren der eigenen Zuständigkeit können angelegt werden. | X | X | X | X | |||
| VERFAHREN_SUCHE | Nur für interne SBs: Verfahren können gesucht und abonniert werden. | X | X | X | X | X | X | |
| EIGENE_PLANWERKE_READ | Planwerke von Verfahren in eigener Zuständigkeit können gelesen und heruntergeladen werden. Verfahren muss abonniert sein. | X | X | X | X | X | X | |
| EIGENE_PLANWERKE_WRITE | Planwerke von Verfahren in eigener Zuständigkeit können hochgeladen, bearbeitet und gelöscht werden. Verfahren muss abonniert sein. EIGENE_VERFAHREN_WRITE erforderlich. | X | X | X | X | |||
| PLANWERKE_READ | Planwerke von allen Verfahren können gelesen und heruntergeladen werden. Verfahren muss abonniert sein. | X | X | X | ||||
| PLANWERKE_WRITE | Planwerke von allen Verfahren können hochgeladen, bearbeitet und gelöscht werden. Verfahren muss abonniert sein. VERFAHREN_WRITE erforderlich. | X | X | X | ||||
