Zugänge, Gruppen, allgemeine und bereichsbezogene Berechtigungen pflegen.
Benutzer erhalten Zugriff auf eine simplebis-Umgebung. Benutzergruppen bündeln die Berechtigungen, die ein Benutzer im Manager und in den angebundenen Funktionen erhält. In der Regel werden Rechte nicht direkt einzeln am Benutzer gepflegt, sondern über eine oder mehrere Benutzergruppen vergeben.
Ein Benutzer kann mehreren Gruppen zugeordnet sein. Die Rechte wirken additiv: Wenn eine seiner Gruppen ein Recht erlaubt, gilt dieses Recht für den Benutzer. Eine andere Gruppe nimmt dieses Recht nicht wieder weg. Deshalb sollten Gruppen möglichst klar geschnitten sein, zum Beispiel Administration, Kasse, Buchungen, Shop, Website oder Mitarbeiterverwaltung.
Die Pflege befindet sich im simplebis-manager unter Einstellungen. Dort gibt es im Bereich Organisation die Menüpunkte Benutzer und Benutzergruppen.
Unter Einstellungen > Benutzergruppen werden Gruppen angelegt und bearbeitet. In der Gruppen-Detailansicht werden der Name und die Berechtigungen gepflegt. Unter Einstellungen > Benutzer werden Benutzer der Umgebung angezeigt. In der Benutzer-Detailansicht wird festgelegt, welchen Benutzergruppen der Benutzer angehört.
Eine Benutzergruppe erhält zuerst einen eindeutigen Namen, der den Zweck der Gruppe beschreibt. Danach werden die Berechtigungen der Gruppe gesetzt.
Für normale Gruppen zeigt die Detailansicht das Feld Berechtigungen. Dort sind die Rechte nach Modulen und Bereichen sortiert. Die Liste der Rechte hängt von den aktivierten Modulen der aktuellen Umgebung ab. Ist ein Modul in der Umgebung nicht aktiv, erscheinen seine modulspezifischen Rechte dort nicht.
Viele Rechte bauen auf einem Grundrecht auf. Typisch ist zuerst ein Recht wie Modul verwenden oder use. Erst wenn dieses Grundrecht aktiv ist, werden abhängige Aktionen wie Erstellen, Bearbeiten, Löschen, Stornieren oder spezielle Verwaltungsrechte sichtbar. Dadurch bleibt die Ansicht kürzer und es werden keine Detailrechte ohne das nötige Basisrecht gepflegt.
Im Berechtigungsfeld gibt es links den Bereich Allgemein und, sofern passende Daten vorhanden sind, weitere Bereiche für einzelne Standorte, Shops oder Webseiten. Im Bereich Allgemein werden Rechte gesetzt, die für die ganze Umgebung gelten, zum Beispiel die Nutzung eines Moduls oder allgemeine Verwaltungsaktionen.
Zum Pflegen gehst du so vor: Gruppe unter Einstellungen > Benutzergruppen öffnen, im Berechtigungsfeld zuerst Allgemein wählen, die benötigten Grundrechte aktivieren und anschließend die abhängigen Rechte ergänzen. Danach die bereichsbezogenen Reiter prüfen und dort die Rechte für konkrete Standorte, Shops oder Webseiten setzen. Anschließend speichern und die Gruppe den passenden Benutzern zuordnen.
Die Berechtigungen werden im Manager verwendet, um Menüpunkte, Bereiche und Aktionen sichtbar oder nutzbar zu machen. Zusätzlich prüfen serverseitige Funktionen und API-/MCP-Funktionen je nach Modul ebenfalls die Umgebung, aktivierte Module und Benutzerrechte. Berechtigungen sollten deshalb nicht nur als Anzeigeeinstellung verstanden werden, sondern als zentraler Zugriffsschutz der Umgebung.
Einige Berechtigungen gelten nicht pauschal für die ganze Umgebung, sondern werden pro Objekt vergeben. Der Berechtigungsdialog erzeugt dafür eigene Reiter aus den Daten der Umgebung.
Standortbezogene Rechte erscheinen unter Standorte. Dort werden aktive Standorte der Umgebung angeboten. Ein Beispiel ist das Recht, Artikelmengen für einen bestimmten Standort zu verwalten.
Shopbezogene Rechte erscheinen unter Shops. Ein Beispiel ist das Recht, einen bestimmten Shop zu bearbeiten oder Artikelpreise für einen bestimmten Shop zu verwalten.
Websitebezogene Rechte erscheinen unter Webseiten. Ein Beispiel ist das Recht, eine bestimmte Website zu bearbeiten.
Wichtig ist: Ein allgemeines Modulrecht reicht bei solchen scoped Berechtigungen nicht immer aus. Wenn ein Benutzer zum Beispiel das Artikel-Modul grundsätzlich verwenden darf, aber Mengen nur an bestimmten Standorten pflegen soll, muss zusätzlich im Standort-Reiter das jeweilige Standortrecht gesetzt werden. Wird später ein neuer Standort, Shop oder eine neue Website angelegt, sollten die Benutzergruppen erneut geprüft werden, weil für das neue Objekt eigene bereichsbezogene Rechte nötig sein können.
Benutzer werden unter Einstellungen > Benutzer gepflegt. In der Benutzer-Detailansicht gibt es das Feld Benutzergruppen. Dort wird eine oder mehrere Gruppen ausgewählt.
Nach dem Speichern erhält der Benutzer die Summe der Rechte aus allen zugeordneten Gruppen. Wenn ein Benutzer zu viele oder zu wenige Funktionen sieht, wird deshalb zuerst geprüft, welchen Gruppen er zugeordnet ist und welche Rechte diese Gruppen enthalten.
Bei Änderungen an Gruppen sollten betroffene Benutzer sich neu anmelden oder die Umgebung neu laden, damit die aktuellen Rechte im Manager sicher neu geladen werden.
Die Admin-Gruppe ist eine besondere Benutzergruppe. In simplebis wird sie als Super-Admin-Gruppe geführt. Mitglieder dieser Gruppe dürfen immer alles.
Für diese Gruppe werden die normalen Berechtigungsfelder nicht wie bei anderen Gruppen gepflegt, weil ihre Rechte nicht eingeschränkt werden. Sobald ein Benutzer Mitglied der Admin-Gruppe ist, gelten alle bekannten Berechtigungen als erlaubt. Das umfasst auch bereichsbezogene Rechte für Standorte, Shops und Webseiten.
Die Admin-Gruppe sollte deshalb nur für Personen verwendet werden, die die gesamte Umgebung verwalten dürfen. Für operative Rollen ist es besser, eigene Gruppen mit bewusst eingeschränkten Rechten anzulegen.
Nach Änderungen an Berechtigungen sollte mit einem passenden Benutzerkonto geprüft werden, ob nur die gewünschten Menüpunkte, Listen, Detailseiten und Aktionen erreichbar sind.
Wenn ein Bereich fehlt, sind die häufigsten Ursachen: Das benötigte Modul ist in der Umgebung nicht aktiv, das Grundrecht für das Modul fehlt, ein abhängiges Detailrecht wurde nicht aktiviert, oder ein benötigtes Standort-, Shop- oder Website-Recht wurde nicht im passenden Reiter gesetzt.
Wenn ein Benutzer zu viel darf, liegt es meist an einer zusätzlichen Gruppe mit weitergehenden Rechten oder an einer Mitgliedschaft in der Admin-Gruppe. In diesem Fall zuerst die Benutzergruppen des Benutzers prüfen und danach die Rechte der einzelnen Gruppen vergleichen.