Sicherheitsgruppen

Sicherheitsgruppen sind die zentrale Komponente fuer die Zugriffssteuerung in KlarKonform. Sie werden mit Microsoft 365 synchronisiert und steuern Berechtigungen innerhalb der Anwendung.

Uebersicht

+------------------------------------------------------------------+
|                Sicherheitsgruppen-Uebersicht                      |
+------------------------------------------------------------------+
|  [Synchronisieren]                              [Neue Gruppe]     |
+------------------------------------------------------------------+
| Name               | Mitglieder | Typ       | Letzte Sync        |
|--------------------|------------|-----------|---------------------|
| Admin              | 3          | System    | vor 1h             |
| Benutzer           | 15         | System    | vor 1h             |
| Buchhaltung        | 4          | Benutzerd.| vor 2h             |
| Entwicklung        | 8          | Benutzerd.| vor 30m            |
+------------------------------------------------------------------+
|                         [Ansehen] [Bearbeiten] [Loeschen]        |
+------------------------------------------------------------------+

Gruppen-Typen

System-Gruppen

System-Gruppen werden automatisch erstellt und koennen nicht geloescht werden:

Gruppe	Beschreibung	Berechtigungen
Admin	Administratoren	`admin` - alle Rechte
Benutzer	Standard-Benutzer	Grundlegende Leserechte

Wichtig: System-Gruppen sind durch ein Schloss-Symbol gekennzeichnet und koennen nicht geloescht werden.

Benutzerdefinierte Gruppen

Benutzerdefinierte Gruppen koennen frei erstellt, bearbeitet und geloescht werden. Sie erhalten individuelle Berechtigungen.

Neue Gruppe erstellen

Formular

+------------------------------------------------------------------+
|  Neue Sicherheitsgruppe erstellen                                 |
+------------------------------------------------------------------+
|                                                                   |
|  Anzeigename *                                                    |
|  +------------------------------------------------------------+  |
|  | Buchhaltung                                                |  |
|  +------------------------------------------------------------+  |
|                                                                   |
|  Mail-Alias *                                                     |
|  +------------------------------------------------------------+  |
|  | buchhaltung                                                |  |
|  +------------------------------------------------------------+  |
|  Nur Buchstaben, Zahlen und Bindestriche erlaubt                 |
|                                                                   |
|  Beschreibung                                                     |
|  +------------------------------------------------------------+  |
|  | Zugriff auf Buchhaltungsfunktionen                         |  |
|  |                                                            |  |
|  +------------------------------------------------------------+  |
|                                                                   |
|  [Erstellen]  [Abbrechen]                                        |
+------------------------------------------------------------------+

Validierungsregeln

Feld	Regeln
Anzeigename	Pflichtfeld, max. 255 Zeichen
Mail-Alias	Pflichtfeld, max. 64 Zeichen, nur `a-z`, `A-Z`, `0-9`, `-`, `_`
Beschreibung	Optional, max. 1024 Zeichen

Automatische Mail-Alias-Generierung

Der Mail-Alias wird automatisch aus dem Anzeigenamen generiert:

Anzeigename: "Buchhaltung Team"
      |
      v
Mail-Alias: "buchhaltung-team"

Sonderzeichen und Umlaute werden entfernt oder ersetzt.

Gruppe bearbeiten

Bearbeitbare Felder

Feld	Aenderbar	Anmerkung
Anzeigename	Ja	Wird in M365 synchronisiert
Beschreibung	Ja	Wird in M365 synchronisiert
Mail-Alias	Nein	Nach Erstellung unveraenderlich
Microsoft-ID	Nein	Automatisch von M365
Mitglieder	Ja	Siehe Mitgliederverwaltung

Pessimistisches Update

Wie bei Teams werden Aenderungen zuerst in M365 gespeichert:

Benutzer aendert Gruppenname
          |
          v
+---------------------+
| M365 API: PATCH     |
| /groups/[id]        |
+---------------------+
          |
    +-----+-----+
    |           |
  Erfolg      Fehler
    |           |
    v           v
Lokale DB    Fehler-
aktualis.    meldung
    |
    v
Erfolgs-
meldung

Mitglieder verwalten

Mitglied hinzufuegen

Gruppe oeffnen oder "Bearbeiten" klicken
Im Abschnitt "Mitglieder" einen Benutzer auswaehlen
Auf "Hinzufuegen" klicken
Der Benutzer wird der M365-Gruppe hinzugefuegt

+------------------------------------------------------------------+
|  Mitglieder (3)                                                   |
+------------------------------------------------------------------+
|  +------------------------------------------------------------+  |
|  | [Benutzer auswaehlen        v]  [Hinzufuegen]              |  |
|  +------------------------------------------------------------+  |
|                                                                   |
|  +------------------------------------------------------------+  |
|  | Max Mustermann                               [Entfernen]   |  |
|  | max@contoso.com                                            |  |
|  +------------------------------------------------------------+  |
|  | Anna Schmidt                                 [Entfernen]   |  |
|  | anna@contoso.com                                           |  |
|  +------------------------------------------------------------+  |
|  | Tom Mueller                                  [Entfernen]   |  |
|  | tom@contoso.com                                            |  |
|  +------------------------------------------------------------+  |
+------------------------------------------------------------------+

Mitglied entfernen

Gruppe oeffnen oder "Bearbeiten" klicken
Bei dem zu entfernenden Mitglied auf "Entfernen" klicken
Bestaetigen Sie die Aktion im Dialog

Achtung: Das Entfernen eines Mitglieds aus einer System-Gruppe (z.B. Admin) kann dazu fuehren, dass der Benutzer keinen Zugriff mehr auf wichtige Funktionen hat.

Verfuegbare Benutzer

Nur Benutzer mit einer Microsoft-ID koennen Gruppen hinzugefuegt werden. Benutzer ohne M365-Verknuepfung erscheinen nicht in der Auswahlliste.

Gruppe loeschen

Voraussetzungen

Nur benutzerdefinierte Gruppen koennen geloescht werden
System-Gruppen sind geschuetzt

Ablauf

+-------------------+     +-------------------+     +-------------------+
| Loeschen klicken  | --> | Bestaetigung      | --> | M365 API DELETE   |
+-------------------+     +-------------------+     +-------------------+
                                                           |
                                                     +-----+-----+
                                                     |           |
                                                   Erfolg     Fehler
                                                     |           |
                                                     v           v
                                              Lokale DB     Fehler-
                                              loeschen      meldung
                                                     |
                                                     v
                                              Erfolgs-
                                              meldung

Warnung: Das Loeschen einer Gruppe entfernt diese dauerhaft aus Microsoft 365. Diese Aktion kann nicht rueckgaengig gemacht werden!

Synchronisation

Manuelle Synchronisation

Navigieren Sie zur Sicherheitsgruppen-Uebersicht
Klicken Sie auf "Synchronisieren"
Alle Gruppen aus M365 werden abgerufen und lokal aktualisiert

Einzelne Gruppe synchronisieren

Oeffnen Sie die Gruppendetails
Klicken Sie auf "Synchronisieren"
Nur diese Gruppe wird aktualisiert

Was wird synchronisiert?

Eigenschaft	Synchronisiert
Name	Ja
Beschreibung	Ja
Mail-Alias	Ja
Microsoft-ID	Ja (einmalig)
Mitglieder	Ueber M365 API abgerufen
Berechtigungen	Nein (lokal verwaltet)

Berechtigungen

Berechtigungskategorien

+------------------------------------------------------------------+
|                    Berechtigungsstruktur                          |
+------------------------------------------------------------------+
|                                                                   |
|  admin (Super-Admin)                                              |
|    |                                                              |
|    +-- Ueberschreibt alle anderen Berechtigungen                  |
|                                                                   |
+------------------------------------------------------------------+
|                                                                   |
|  Dashboard                                                        |
|    +-- view_dashboard                                             |
|                                                                   |
|  Kunden & Lieferanten                                             |
|    +-- manage_customers                                           |
|    +-- manage_suppliers                                           |
|    +-- view_customers                                             |
|    +-- view_suppliers                                             |
|                                                                   |
|  Rechnungen & Buchhaltung                                         |
|    +-- manage_invoices                                            |
|    +-- view_invoices                                              |
|    +-- manage_accounting                                          |
|                                                                   |
|  Dokumente                                                        |
|    +-- manage_documents                                           |
|    +-- view_documents                                             |
|    +-- sign_documents                                             |
|                                                                   |
|  Kommunikation                                                    |
|    +-- manage_mail                                                |
|    +-- send_mail                                                  |
|    +-- view_mail                                                  |
|    +-- manage_conversations                                       |
|    +-- view_conversations                                         |
|                                                                   |
|  Dateien & Backups                                                |
|    +-- manage_files                                               |
|    +-- view_files                                                 |
|    +-- browse_files                                               |
|    +-- manage_backups                                             |
|    +-- view_backups                                               |
|                                                                   |
|  Benutzer & Rollen                                                |
|    +-- manage_users                                               |
|    +-- manage_roles                                               |
|    +-- manage_groups                                              |
|                                                                   |
|  Schichten                                                        |
|    +-- manage_shifts                                              |
|    +-- view_shifts                                                |
|    +-- clock_in_out                                               |
|                                                                   |
|  System                                                           |
|    +-- manage_settings                                            |
|    +-- manage_subscription                                        |
|    +-- view_admin_panel                                           |
|                                                                   |
+------------------------------------------------------------------+

Admin-Berechtigung

Die Berechtigung admin ist besonders:

Sie ueberschreibt alle anderen Berechtigungen
Ein Benutzer mit admin hat automatisch alle Rechte
Nur fuer System-Administratoren vorgesehen

Standard-Benutzer-Berechtigungen

Die System-Gruppe "Benutzer" hat folgende Standard-Berechtigungen:

view_dashboard
manage_customers
manage_suppliers
view_customers
view_suppliers
view_invoices
view_documents
send_mail
view_mail
view_conversations
view_files
browse_files

Detail-Ansicht

+------------------------------------------------------------------+
|  Buchhaltung                          [System] [Sync] [Bearbeiten]
+------------------------------------------------------------------+
|  Beschreibung: Zugriff auf Buchhaltungsfunktionen                |
+------------------------------------------------------------------+
|                                                                   |
|  Gruppen-Informationen                                            |
|  +------------------------------------------------------------+  |
|  | Microsoft-ID: 12345-67890-abcdef                           |  |
|  | Mail-Alias:   buchhaltung                                  |  |
|  | Erstellt:     15.01.2024                                   |  |
|  | Letzte Sync:  vor 30 Minuten                               |  |
|  +------------------------------------------------------------+  |
|                                                                   |
|  Mitglieder (4)                                                   |
|  +------------------------------------------------------------+  |
|  | Max Mustermann           max@contoso.com                   |  |
|  | Anna Schmidt             anna@contoso.com                  |  |
|  | Tom Mueller              tom@contoso.com                   |  |
|  | Lisa Weber               lisa@contoso.com                  |  |
|  +------------------------------------------------------------+  |
|                                                                   |
+------------------------------------------------------------------+

Fehlerbehebung

Gruppe laesst sich nicht erstellen

Pruefen Sie die Validierungsfehler (Name, Mail-Alias)
Pruefen Sie, ob der Mail-Alias bereits in M365 existiert
Pruefen Sie die M365-Verbindung und Admin-Berechtigung

Mitglied laesst sich nicht hinzufuegen

Pruefen Sie, ob der Benutzer eine Microsoft-ID hat
Pruefen Sie, ob der Benutzer bereits Mitglied ist
Pruefen Sie die M365-Verbindung

Synchronisation fehlgeschlagen

Pruefen Sie die M365-Verbindung
Pruefen Sie die Admin-Token-Gueltigkeit
Kontrollieren Sie die Fehlermeldung im Log

System-Gruppe laesst sich nicht loeschen

System-Gruppen (Admin, Benutzer) sind geschuetzt und koennen nicht geloescht werden. Dies ist beabsichtigt, um die Systemintegritaet zu wahren.

Sicherheitsgruppen

On this page