Berechtigungen und Rollen
Benutzerrollen und Zugriffsrechte uber M365 Security Groups
Das Berechtigungssystem in KlarKonform basiert auf Microsoft 365 Security Groups. Rollen werden in Entra ID (Azure AD) verwaltet und automatisch mit KlarKonform synchronisiert.
Rollenkonzept
Rollen-Hierarchie
Verfugbare Rollen
| Rolle | Beschreibung | Typische Verwendung |
|---|---|---|
| Admin | Vollzugriff auf alle Module | IT-Leitung, Geschaftsfuhrung |
| HR | Personalverwaltung | Personalabteilung |
| Accounting | Buchhaltung | Finanzen, Controlling |
| User | Standard-Benutzer | Alle Mitarbeiter |
M365 Security Groups
Gruppenstruktur
Fur jeden Tenant werden Security Groups in folgendem Format erwartet:
Beispiele:
KlarKonform-MeineFirma-AdminKlarKonform-MeineFirma-HRKlarKonform-MeineFirma-AccountingKlarKonform-MeineFirma-User
Mapping
Rollenzuweisung
Uber Entra ID (empfohlen)
- Offnen Sie Entra ID (Azure Portal)
- Navigieren Sie zu "Gruppen"
- Suchen Sie die entsprechende KlarKonform-Gruppe
- Fugen Sie den Benutzer als Mitglied hinzu
- Synchronisieren Sie KlarKonform
Uber KlarKonform UI
- Mitarbeiter offnen > Bearbeiten
- Im Abschnitt "Rollen" gewunschte Rollen anhaken
- Speichern
Hintergrund-Ablauf:
Berechtigungsprufung
Wie Berechtigungen geprueft werden
Bei jedem Zugriff auf geschuetzte Bereiche prueft das System:
- Welche Rollen hat der Benutzer?
- Gehoert der Benutzer zum richtigen Mandanten?
- Ist die angeforderte Aktion fuer diese Rolle erlaubt?
Verfuegbare Aktionen
| Aktion | Beschreibung | Erforderliche Rolle |
|---|---|---|
viewAny | Mitarbeiterliste anzeigen | Admin, HR |
view | Einzelnen Mitarbeiter anzeigen | Admin, HR, eigener Datensatz |
create | Neuen Mitarbeiter anlegen | Admin |
update | Mitarbeiter bearbeiten | Admin, HR (eingeschrankt) |
delete | Mitarbeiter loschen | Admin |
Mandanten-Isolation
Jeder Benutzer kann nur Daten seines eigenen Mandanten sehen. Diese Einschraenkung wird automatisch bei allen Zugriffen angewendet.
Berechtigungsmatrix
Mitarbeiter-Modul
| Aktion | Admin | HR | Accounting | User |
|---|---|---|---|---|
| Mitarbeiterliste anzeigen | X | X | - | - |
| Mitarbeiter-Details anzeigen | X | X | - | Eigene |
| Mitarbeiter anlegen | X | - | - | - |
| Mitarbeiter bearbeiten | X | X* | - | - |
| Mitarbeiter loschen | X | - | - | - |
| Von M365 synchronisieren | X | - | - | - |
| M365-Benutzer importieren | X | - | - | - |
*HR kann eingeschrankte Felder bearbeiten
DSGVO-Module
| Aktion | Admin | HR | Accounting | User |
|---|---|---|---|---|
| Verarbeitungstatigkeiten | X | - | - | - |
| Anwendungen/AVV | X | - | - | - |
| TOMs | X | - | - | - |
| Loschkonzept | X | - | - | - |
| Mitarbeitervereinbarungen | X | X | - | Eigene |
| Websites | X | - | - | - |
Aktualisierung von Berechtigungen
Automatische Aktualisierung
Benutzerrollen werden zwischengespeichert fuer schnellere Zugriffe. Bei Profilaenderungen werden die gespeicherten Berechtigungen automatisch aktualisiert.
Hinweis: Nach Rollenaenderungen kann es einen Moment dauern, bis die neuen Berechtigungen wirksam sind. Bei Problemen hilft eine erneute Anmeldung.
Fehlerbehandlung
Fehlende Security Groups
Wenn eine Security Group nicht existiert:
| Situation | Verhalten |
|---|---|
| Rolle zuweisen | Fehler bei Speichern |
| Rolle entfernen | Ignoriert (keine Aktion) |
| Sync | Benutzer erhalt Rolle "User" |
M365-Berechtigungsfehler
| Fehler | Ursache | Losung |
|---|---|---|
| "Access denied" | Fehlender Admin-Consent | Graph-Berechtigungen prufen |
| "Group not found" | Gruppe existiert nicht | Gruppe in Entra ID erstellen |
| "Insufficient privileges" | Token hat keine Rechte | Admin-Token erneuern |
Setup-Anleitung
1. Security Groups erstellen
In Entra ID folgende Gruppen erstellen:
2. Initiale Mitglieder zuweisen
- Mindestens einen Admin-Benutzer zur Admin-Gruppe hinzufugen
- Alle Benutzer zur User-Gruppe hinzufugen
3. KlarKonform synchronisieren
- Als Admin anmelden
- Mitarbeiter > "Von M365 synchronisieren"
- Rollen werden automatisch aus Gruppenmitgliedschaft abgeleitet
4. Berechtigungen testen
- Als verschiedene Benutzer anmelden
- Zugriff auf Module prufen
- Bei Problemen Rollen in Entra ID prufen
Best Practices
Rollenvergabe
| Empfehlung | Begrundung |
|---|---|
| Minimal-Prinzip | Nur erforderliche Rechte vergeben |
| Admin sparsam | Wenige Admin-Benutzer |
| User als Standard | Alle Mitarbeiter in User-Gruppe |
| Dokumentieren | Rollenzuweisungen nachvollziehbar machen |
Regelmassige Prufung
| Intervall | Aktion |
|---|---|
| Wochentlich | Admin-Rollenzuweisungen prufen |
| Monatlich | Inaktive Benutzer mit Rollen prufen |
| Quartalsweise | Vollstandige Rollen-Revision |
Audit-Trail
Alle Rollenanderungen werden protokolliert:
- Wer hat die Anderung vorgenommen?
- Welche Rollen wurden geandert?
- Wann wurde die Anderung vorgenommen?