Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
admin:benutzerverwaltung [20.10.2022 14:23] Renzo Lauper [Handhabung] |
admin:benutzerverwaltung [02.03.2024 17:15] (aktuell) Renzo Lauper [Berechtigungen für das Leute-Modul] |
||
|---|---|---|---|
| Zeile 12: | Zeile 12: | ||
| ==== Berechtigungen für das Leute-Modul ==== | ==== Berechtigungen für das Leute-Modul ==== | ||
| + | === ALLE-Recht === | ||
| Mit dem ALLE-Recht definieren Sie, welche Berechtigung dieses Login für **alle** Adresse hat. Wenn Sie aber z.B. nur Zugriff auf einen Teil der Adressen geben möchten, müssen Sie das ALLE-Recht zuerst mal auf 0 setzen, denn auch hier gilt, dass Sie das ALLE-Recht nicht reduzieren sondern nur erhöhen können. | Mit dem ALLE-Recht definieren Sie, welche Berechtigung dieses Login für **alle** Adresse hat. Wenn Sie aber z.B. nur Zugriff auf einen Teil der Adressen geben möchten, müssen Sie das ALLE-Recht zuerst mal auf 0 setzen, denn auch hier gilt, dass Sie das ALLE-Recht nicht reduzieren sondern nur erhöhen können. | ||
| + | === Zugriff auf Adressen beschränken === | ||
| In den drei Auswahllisten "Stufe 1-3" können Sie je eine bestimmte Liste von Adressen auswählen, auf die dieses Login die Berechtigungsstufe 1 (Lesen), resp. 2 für Bearbeiten oder 3 für Löschen haben soll. Zur Auswahl stehen Ihnen dabei Ihre eigenen Filtervorlagen, die Kleingruppen und die Gruppen. D.h. den einfachen Fall, dass dieses Login auf alle Personen aus einer bestimmten Gruppe Zugriff haben soll, wählen Sie hier einfach diese Gruppe aus. Diese Berechtigung gilt dann rekursiv für alle Untergruppen. Für komplexere Listen müssen Sie vorgängig im Leute-Modul eine Filtervorlage erstellen und diese hier zuweisen. Diese Filtervorlage können Sie anschliessend wieder löschen, auf dem Login wird eine Kopie davon gespeichert. Das bedeutet auch, dass Sie bei einer späteren Änderung der Filtervorlage diese dem Login neu zuweisen müssen. | In den drei Auswahllisten "Stufe 1-3" können Sie je eine bestimmte Liste von Adressen auswählen, auf die dieses Login die Berechtigungsstufe 1 (Lesen), resp. 2 für Bearbeiten oder 3 für Löschen haben soll. Zur Auswahl stehen Ihnen dabei Ihre eigenen Filtervorlagen, die Kleingruppen und die Gruppen. D.h. den einfachen Fall, dass dieses Login auf alle Personen aus einer bestimmten Gruppe Zugriff haben soll, wählen Sie hier einfach diese Gruppe aus. Diese Berechtigung gilt dann rekursiv für alle Untergruppen. Für komplexere Listen müssen Sie vorgängig im Leute-Modul eine Filtervorlage erstellen und diese hier zuweisen. Diese Filtervorlage können Sie anschliessend wieder löschen, auf dem Login wird eine Kopie davon gespeichert. Das bedeutet auch, dass Sie bei einer späteren Änderung der Filtervorlage diese dem Login neu zuweisen müssen. | ||
| - | Für die Adressen, auf die dieses Login Zugriff hat, können Sie nun noch die sicht- resp. bearbeitbaren Spalten einschränken. Dazu stehen Ihnen die Auswahllisten "Betrachten/Bearbeiten-Rechte auf diese Spaltenvorlage begrenzen". Dazu erstellen Sie vorgängig im Leute-Modul eine Spaltenvorlage, die alle Spalten enthält, die dieses Login sehen resp. bearbeiten können soll. Auf dem Login können Sie nun diese Spaltenvorlagen bei der Stufe 1 oder 2 zuweisen. Es ist auch möglich, auf gewisse Spalte Lesezugriff zu gewähren, aber nur auf einen Teil davon Schreibrechte. Dazu weisen Sie zwei unterschiedliche Spaltenvorlagen für die Stufen 1 und 2 zu. | + | === Zugriff auf Spalten einschränken === |
| + | Für die Adressen, auf die dieses Login Zugriff hat, können Sie nun noch die sicht- resp. bearbeitbaren Spalten einschränken. Dazu stehen Ihnen die Auswahllisten "Betrachten/Bearbeiten-Rechte auf diese Spaltenvorlage begrenzen" zur Verfügung. Erstellen Sie vorgängig im Leute-Modul eine Spaltenvorlage, die alle Spalten enthält, die dieses Login sehen resp. bearbeiten können soll. Auf dem Login können Sie nun diese Spaltenvorlagen bei der Stufe 1 oder 2 zuweisen. Es ist auch möglich, auf gewisse Spalte Lesezugriff zu gewähren, aber nur auf einen Teil davon Schreibrechte. Dazu weisen Sie zwei unterschiedliche Spaltenvorlagen für die Stufen 1 und 2 zu. | ||
| + | === Ausschluss-Spalten === | ||
| + | Falls Sie den Zugriff auf einzelne Spalten ausschliessen wollen, kann es einfacher sein mit Ausschluss-Spalten zu arbeiten als mit den oben erwähnten Spaltenvorlagen. Jede einzelne Spalte (Vorname, E-Mail, Geburtsdatum, etc.) kann als Ausschlussspalte definiert werden. Dabei gibt es die Möglichkeit, diese Ausschlussspalten beliebig zu gruppieren. Z.B. können Sie alle Kommunikationsfelder (Telefon, Natel, E-Mail) in einer Ausschlussgruppe "Kommunikation" zusammenfassen, oder eine Ausschlussgruppe "Status" mit Konfession, Geburtsdatum, etc. definieren.\\ | ||
| + | Zu Beginn hat kein Login Zugriff auf diese Ausschlussspalten. Sie müssen diese bei jedem Login (oder über die Benutzergruppen) explizit freischalten. Dabei können Sie separat Lese- oder Schreibrechte pro Ausschlussgruppe vergeben.\\ | ||
| + | Melden Sie sich bei LAUPER COMPUTING, damit wir Ihnen die gewünschten Ausschlussspalten definieren - das lässt sich aktuell nicht direkt in kOOL machen. | ||
| + | |||
| + | === Neue Adressen von reduzierten Logins === | ||
| Wenn ein Login nur auf die Adressen aus einer Gruppe Zugriff hat, kann es passieren, dass dieses Login eine neue Adresse anlegt und diese anschliessend gar nicht mehr sieht. Denn wenn sie vergisst, diese Person der eigenen Gruppe zuzuweisen, hat dieses Login anschliessen keinen Zugriff auf diese Adresse. Mit der Option "Personen, die dieser User bearbeitet oder hinzufügt, sollen dieser Gruppe zugewiesen werden" kann dies verhindert werden. Dazu wählen Sie hier eine Gruppe aus, auf die dieses Login Zugriff hat. Nun wird beim Speichern einer Adresse sichergestellt, dass die Adresse mindestens zu dieser Gruppe gehört.\\ | Wenn ein Login nur auf die Adressen aus einer Gruppe Zugriff hat, kann es passieren, dass dieses Login eine neue Adresse anlegt und diese anschliessend gar nicht mehr sieht. Denn wenn sie vergisst, diese Person der eigenen Gruppe zuzuweisen, hat dieses Login anschliessen keinen Zugriff auf diese Adresse. Mit der Option "Personen, die dieser User bearbeitet oder hinzufügt, sollen dieser Gruppe zugewiesen werden" kann dies verhindert werden. Dazu wählen Sie hier eine Gruppe aus, auf die dieses Login Zugriff hat. Nun wird beim Speichern einer Adresse sichergestellt, dass die Adresse mindestens zu dieser Gruppe gehört.\\ | ||
| Wenn ein Login nur auf gewisse Adressen Zugriff hat, kann ein weiteres Problem sein, dass dieses Login eine Adresse neu anlegt, die es in kOOL eigentlich schon gibt, auf die er aber keinen Zugriff hat. Mit der Option "Suche in allen Adressen erlauben zur Übertragung in eigene Gruppe" und einer in oben erwähnter Option gewählten Gruppe kann dies behoben werden. Denn diese Option blendet lässt diesen Benutzer über ein separates Suchfeld in allen Adressen in kOOL suchen. Findet er die gesuchte Person kann er diese seiner eigene Gruppe zuweisen, wodurch er Zugriff auf diese Adresse erhält. **Wichtiger Hinweis**: Damit kann faktisch der Schutz umgangen werden, denn damit ist es möglich, eine beliebige Adresse zu sich zu holen und zu verändern - deshalb mit vorsicht einsetzen. | Wenn ein Login nur auf gewisse Adressen Zugriff hat, kann ein weiteres Problem sein, dass dieses Login eine Adresse neu anlegt, die es in kOOL eigentlich schon gibt, auf die er aber keinen Zugriff hat. Mit der Option "Suche in allen Adressen erlauben zur Übertragung in eigene Gruppe" und einer in oben erwähnter Option gewählten Gruppe kann dies behoben werden. Denn diese Option blendet lässt diesen Benutzer über ein separates Suchfeld in allen Adressen in kOOL suchen. Findet er die gesuchte Person kann er diese seiner eigene Gruppe zuweisen, wodurch er Zugriff auf diese Adresse erhält. **Wichtiger Hinweis**: Damit kann faktisch der Schutz umgangen werden, denn damit ist es möglich, eine beliebige Adresse zu sich zu holen und zu verändern - deshalb mit vorsicht einsetzen. | ||
| + | === Gruppen-Anmeldungen === | ||
| Gruppen-Anmeldungen von der Website können normalerweise nur von Logins bearbeitet werden, die im Leute-Modul die Stufe 4 (Moderieren) haben. Soll ein Kursverantwortlicher diese Aufgabe selber übernehmen, kann die Option "Dieser Benutzer darf Gruppen-Anmeldungen für seine Gruppen moderieren" aktiviert werden. Damit sieht dieses Login unter "Leute Offene Anmeldungen" alle zu moderierenden Anmeldungen, die für Gruppen sind, zu denen er Einteilen-Rechte hat. | Gruppen-Anmeldungen von der Website können normalerweise nur von Logins bearbeitet werden, die im Leute-Modul die Stufe 4 (Moderieren) haben. Soll ein Kursverantwortlicher diese Aufgabe selber übernehmen, kann die Option "Dieser Benutzer darf Gruppen-Anmeldungen für seine Gruppen moderieren" aktiviert werden. Damit sieht dieses Login unter "Leute Offene Anmeldungen" alle zu moderierenden Anmeldungen, die für Gruppen sind, zu denen er Einteilen-Rechte hat. | ||
| - | **Informationssperre**: Falls Sie diese in den globalen Einstellungen zum Leute-Modul aktiviert haben, können Sie bei jedem Login definieren, dass dieses Login die Sperre manuell umgehen darf. Dadurch erscheint beim Export im Leute-Modul ein Schalter, mit dem ein Export auch von Adressen möglich ist, die die Informationssperre aktiviert haben. Falls ein Login diese Berechtigunge nicht hat, wird die Informationssperre bei jedem Export angewandt und kann so nicht umgangen werden. | + | === Informationssperre === |
| + | Falls Sie diese in den globalen Einstellungen zum Leute-Modul aktiviert haben, können Sie bei jedem Login definieren, dass dieses Login die Sperre manuell umgehen darf. Dadurch erscheint beim Export im Leute-Modul ein Schalter, mit dem ein Export auch von Adressen möglich ist, die die Informationssperre aktiviert haben. Falls ein Login diese Berechtigunge nicht hat, wird die Informationssperre bei jedem Export angewandt und kann so nicht umgangen werden. | ||
| ==== Berechtigungen für das Gruppen-Modul ==== | ==== Berechtigungen für das Gruppen-Modul ==== | ||
| Die Berechtigungen für das Gruppen-Modul sind unabhängig von den Rechten für das Leute-Modul zu vergeben. Allerdings wird in den meisten Fällen auch ein Bearbeiten-Recht auf einer Adresse benötigt, um z.B. Gruppen-Zuweisungen bearbeiten zu können. Somit wird im Leute-Modul definiert, welche Adressen bearbeitet werden können, und über die Berechtigungen im Gruppen-Modul wird definiert, welche Gruppenzuweisungen für diese Adressen möglich sind. | Die Berechtigungen für das Gruppen-Modul sind unabhängig von den Rechten für das Leute-Modul zu vergeben. Allerdings wird in den meisten Fällen auch ein Bearbeiten-Recht auf einer Adresse benötigt, um z.B. Gruppen-Zuweisungen bearbeiten zu können. Somit wird im Leute-Modul definiert, welche Adressen bearbeitet werden können, und über die Berechtigungen im Gruppen-Modul wird definiert, welche Gruppenzuweisungen für diese Adressen möglich sind. | ||
| Zeile 99: | Zeile 110: | ||
| Natürlich lassen sich auch beide Systeme mischen. | Natürlich lassen sich auch beide Systeme mischen. | ||
| + | |||
| + | ===== Übersicht Berechtigungen ===== | ||
| + | Die Übersichtstabelle stellt die Berechtigungen pro Login pro Modul übersichtlich dar. Pro Modul sehen sie im helleren Blau die ALLE-Berechtigung und im dunkleren die maximale Berechtigungsstufe. Bei einigen Modul können Sie auf den Modulnamen klicken, um die Details zu öffnen. Dort sehen Sie z.B. für welche Bereiche höhere Berechtigungen gelten als für die ALLE-Stufe. Bei einzelnen Modulen erscheinen ebenfalls Zusatzinfos zu weiteren Einschränkungen oder Berechtigungen, z.B. Spalten-Einschränkungen im Termine-Modul oder Detailberechtigungen im Leute-Modul. | ||
| + | |||
| + | ==== Logins / Benutzergruppen ==== | ||
| + | Oben rechts können Sie umstellen zwischen Logins und Benutzergruppen. Je nach dem erscheinen die Berechtigungen der Logins oder der Benutzergruppen in der Übersichtstabelle. | ||
| + | |||
| + | ==== Vergleich einzelner Logins ==== | ||
| + | {{ :admin:logins_access.png?nolink|}}In der Liste der Logins können Sie die Übersichtstabelle für ein einzelnes Login öffnen. Danach können Sie oben rechts weitere Logins auswählen, die in der Vergleichstabelle auch erscheinen sollen. Oder Sie markieren in der Liste der Logins alle gewünschten Logins und klicken unterhalb der Liste auf "Berechtigungen für ausgewählte Logins anzeigen". | ||
| + | |||
| + | ==== Berechtigungen als Spalten einblenden ==== | ||
| + | {{ :admin:logins_module_column.png?nolink|}}In der Liste der Logins und Benutzergruppen können Sie mit dem Button "Spalten" rechts oben für jedes Modul eine eigene Spalte einblenden, mit der Sie pro Login/Benutzergruppe die Modul-Berechtigungen direkt sehen können. | ||
| ===== Identität annehmen ===== | ===== Identität annehmen ===== | ||
| Zeile 116: | Zeile 139: | ||
| ===== Zwei-Faktor-Authentifizierung (2FA) ===== | ===== Zwei-Faktor-Authentifizierung (2FA) ===== | ||
| - | Das Login für kOOL kann mit einer [[https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung|Zwei-Faktor-Authentifizierung]] gesichert werden. Damit muss nach der Eingabe von Benutzername und Passwort zusätzlich ein Code aus einer App eingegeben werden, der nur kurze Zeit gültig ist. Sollte jemand also Ihr Passwort kennen, kann er sich ohne Ihr Smartphone mit dieser App trotzdem nicht anmelden. | + | Das Login für kOOL kann mit einer [[https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung|Zwei-Faktor-Authentifizierung]] (2FA) gesichert werden. Damit muss nach der Eingabe von Benutzername und Passwort zusätzlich ein Code aus einer App eingegeben werden, der nur kurze Zeit gültig ist. Sollte jemand also Ihr Passwort kennen, kann er sich ohne Ihr Smartphone mit dieser App trotzdem nicht anmelden. |
| ==== Aktivierung in kOOL ==== | ==== Aktivierung in kOOL ==== | ||
| Zeile 122: | Zeile 145: | ||
| ==== Handhabung ==== | ==== Handhabung ==== | ||
| + | === App installieren === | ||
| + | Installieren Sie den Google Authenticator ([[https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=de|Google Play]], [[https://apps.apple.com/ch/app/google-authenticator/id388497605|Apple Store]]) oder den Microsoft Authenticator ([[https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=de_CH|Google Play]], [[https://apps.apple.com/de/app/microsoft-authenticator/id983156458|Apple Store]]) auf Ihrem Smarthpone oder Tablet. | ||
| + | |||
| === Erste Aktivierung === | === Erste Aktivierung === | ||
| Nach dem ersten Login nach Aktivierung der 2FA erscheint im kOOL ein QR-Code mit einer Code-Eingabe darunter. Diesen QR-Code müssen Sie mit der Smartphone-App scannen, wodurch Ihnen der Code angezeigt wird, den Sie einmalig im kOOL eingeben müssen. Ab dann erscheint in Ihrer App immer der aktuelle Code für kOOL, der jeweils eine gewisse Zeit lang gültig ist. | Nach dem ersten Login nach Aktivierung der 2FA erscheint im kOOL ein QR-Code mit einer Code-Eingabe darunter. Diesen QR-Code müssen Sie mit der Smartphone-App scannen, wodurch Ihnen der Code angezeigt wird, den Sie einmalig im kOOL eingeben müssen. Ab dann erscheint in Ihrer App immer der aktuelle Code für kOOL, der jeweils eine gewisse Zeit lang gültig ist. | ||
| Zeile 129: | Zeile 155: | ||
| === Reset === | === Reset === | ||
| - | Falls ein Benutzer ein neues Smartphone hat oder die App neu installieren musste, können Sie die Zwei-Faktor-Authentifizierung für diesen Benutzer zurücksetzen, damit er den QR-Code erneut scannen und so seine App neu einrichten kann. In der Liste der Logins finden Sie dazu das entsprechende Icon in der Spalte "2FA-Status". | + | {{ :admin:2fa_reset.png?nolink|}}Falls ein Benutzer ein neues Smartphone hat oder die App neu installieren musste, können Sie die Zwei-Faktor-Authentifizierung für diesen Benutzer zurücksetzen, damit er den QR-Code erneut scannen und so seine App neu einrichten kann. In der Liste der Logins finden Sie dazu das entsprechende Icon in der Spalte "2FA-Status". |
| ===== Einstellungen rund ums Passwort ===== | ===== Einstellungen rund ums Passwort ===== | ||
| In den Einstellungen im Admin-Modul können Sie einige Einstellungen zur Passwort-Sicherheit vornehmen: | In den Einstellungen im Admin-Modul können Sie einige Einstellungen zur Passwort-Sicherheit vornehmen: | ||