Bevor Sie beginnen
Eine Rolle ist eine Reihe von Rechten, die für die Benutzer:innen, denen sie zugewiesen sind, bestimmen, was sie sehen und/oder tun können, wenn sie sich bei Lucca anmelden. Dies beantwortet folgende Fragen: Auf welche Anwendungen haben Benutzer:innen mit dieser Rolle Zugriff? Welche Daten können sie sehen und ändern?
Folgende Rollen sind defaultmäßig vorhanden: „Benutzer:in“, „Manager:in“ oder „Administrator:in“. Weiterhin können zusätzliche Rollen (in unbegrenzter Zahl) erstellt werden, wie „Buchhalter:in“, „Benutzer:in mit ausschließlichem Zugriff auf Timmi Abwesenheiten“, „Beauftragte/r des Unternehmens“ oder jegliche andere Funktion im Unternehmen.
Lucca bietet die beiden folgenden Arten von Rollen:
- Die primäre Rolle entspricht den hauptsächlichen Zugriffsrechten eines/einer Benutzers:in. Ein:e Benutzer:in verfügt über nur eine primäre Rolle. Ein:e Benutzer:in zwingend über eine primäre Rolle verfügen.
- Die sekundäre Rolle ermöglicht, zusätzlich zur primären Rolle, den Zugriff auf weitere Funktionen. Ein:e Benutzer:in kann über mehrere sekundäre Rollen verfügen. Die sekundären Rollen werden meist verwendet, um die primäre Rolle mit zusätzlichen Funktionen zu vervollständigen, die sich an bestimmte Mitarbeitende richten.
In diesem Merkblatt sehen wir, wie die Rollen und Berechtigungen kategorisiert werden. Wenn Sie Ihre Rollen einstellen möchten, beschreiben wir dies in einem zweiten Merkblatt: Rollen auf Lucca einstellen.
Kategorien von Rollen und Berechtigungen
Jede Rolle besitzt eine Kategorie. Die Kategorie entspricht der Berechtigungsebene der Rolle.
Die Rollenkategorie ist jedoch keine Eigenschaft, die festgelegt werden kann: Die Kategorie ist je nach Berechtigungen der Rolle unterschiedlich und mit dieser verbunden. Die Rolle kann somit derselben Kategorie angehören, wie die der höchsten Berechtigung.
Die Berechtigungen werden somit in fünf Kategorien aufgeteilt.
Von der höchsten bis zur niedrigsten Berechtigungsebene lauten die Kategorien:
Allgemeine:r Administrator:in🟣
Risiken: Kann die Lucca-Umgebung gefährden.
Diese Berechtigung entspricht der höchsten Ebene und entspricht einer Rolle, die potenziell eine Instanz gefährden kann (z. B. Gefährdung des allgemeinen Betriebs für alle Benutzer:innen).
Sie deckt Berechtigungen für wichtige Eingriffe ab, die sich auf die gesamte Instanz auswirken:
-
Beispiele: Verwaltung der Imports, der API-Schlüssel, der Authentifizierung und der Rollen, Installierung/Deinstallierung einer Anwendung.
Business Administrator:in🔴
Risiken: Ermöglicht die Gefährdung einer Anwendung und ihrer Konfiguration
Der/die Business Administrator:in verfügt über einen schreibgeschützten Zugriff auf alle Geschäftsprozesse sowie auf Einstellungsressourcen.
Er/sie handelt im Auftrag des/der allgemeinen Administrators:in.
Hierzu gehören:
- Berechtigung für grundlegende Eingriffe auf Anwendungsebene und/oder potenziell an mehreren Anwendungen.
- Beispiele: Verwaltung der Abteilungen, Arbeitszyklen, Kostenstellen, Löschen einer Kostenart.
- Berechtigung für die gesamte Konfiguration einer Lucca-Lösung, um diese im Unternehmen nutzen zu können:
- Beispiele: Verwaltung der FTP-Server, Konfigurieren der Verbindung zur Lohnbuchhaltungshilfe, Verwaltung der Datenfelder des/der Benutzers:in in der Personalakte.
Berufsverantwortliche:r 🟡
Risiken: Ermöglicht Ihnen, fast alle Daten aus einer Anwendung zu extrahieren und deren Funktionslogik zu kompromittieren.
Der/die Berufsverantwortliche stellt die ordnungsgemäße Ausführung der Geschäftsabläufe in der Anwendung sicher, konsolidiert die Geschäftsdaten für Analysezwecke, entspricht dem letzten Glied der Geschäftsprozesse und sorgt für die Synchronisierung mit der Außenumgebung.
Beispiele für „Geschäftsprozesse“: Bestätigungsprozess der Abwesenheiten, der Spesenabrechnungen, Verwaltung der Gesprächskampagnen usw.
Er/sie verfügt über einen erweiterten Lese- und Schreibzugriff auf die Geschäftsprozesse im eigenen Arbeitsbereich. Er/sie darf die Nutzung der Anwendung nicht gefährden können.
Er/sie handelt im Auftrag des/der Business Administrators:in.
Hierzu gehören:
- Berechtigung für grundlegende Eingriffe auf Geschäftsebene:
- Beispiel: Hinzufügen einer Kostenart, eines/einer Benutzers:in.
- Berechtigung zur erweiterten Anzeige von vertraulichen Geschäfts- und/oder Personengruppendaten:
- Beispiel: Einsicht in die Vergütungen meiner Abteilungen und Unterabteilungen, Erzeugen eines Benutzer:innenberichts.
- Berechtigung zur Manipulation bestimmter geschäftlicher und/oder technischer Einheiten.
- Beispiele: Überwachung der Spesenabrechnungen, Verwaltung der Kampagnen.
Manager:in 🔵
Risiken: Ermöglicht das Extrahieren von Daten in einem definierten Umfang und gefährdet den hierarchischen Prozess.
Diese Rolle ermöglicht das Extrahieren von Daten in einem definierten Umfang und kann den hierarchischen Prozess gefährden. Er/sie trägt mehr oder weniger betriebliche Verantwortung in Bezug auf eine Untergruppe an Benutzern:innen (Manager:innen, Abteilungsleiter:innen, Direktor:innen) sowie auf den Abschluss von in unseren Anwendungen modellierten Geschäftsprozessen. Diesbezüglich:
- ist er/sie der/die Hauptverantwortliche des Genehmigungsprozesses für Benutzer:innenanfragen, für die er/sie verantwortlich ist;
- verfügt er/sie über den schreibgeschützten Zugriff auf die Ressourcen der Benutzer:innen, für die er/sie verantwortlich ist.
Hierzu gehören:
- Berechtigungen, die mit einem hierarchischen Eingriff verbunden sind:
- Beispiel: Genehmigen eines Abwesenheitsantrags für unterstellte Mitarbeitende.
- Berechtigungen, die mit der Anzeige von Standarddaten einer erweiterten Personengruppe verbunden sind:
- Beispiele: Einsicht in die Planung der betreuten Mitarbeitenden sowie in deren Ziele, Verwalten der Projekte der betreuten Mitarbeitenden.
Benutzer:in 🟢
Risiken: Ermöglicht grundlegende Eingriffe im persönlichen Bereich.
Diese Rolle ermöglicht Eingriffe im persönlichen Bereich.
Darunter befinden sich Berechtigungen für grundlegende Eingriffe und die defaultmäßige Verwendung der Anwendung: eine Abwesenheit für mich selbst erklären, meine Gehaltsabrechnung downloaden, meine Zeiten und Spesenabrechnungen einreichen usw.
Anmerkungen :
- In Wirklichkeit ist eine 6. Kategorie mit dem Namen „Keine Kategorie“ vorhanden, die Berechtigungen zugeordnet wird, die aus technischen Gründen nicht klassifiziert werden können. Hierbei handelt es sich um eine Ausnahme.
- Ein Farb- und Symbolcode ermöglicht, die Rollen- und Berechtigungskategorien einfach in der Schnittstelle zu identifizieren: