Finanzverwalter soll nur Finanzdaten sehen und bearbeiten können

[kolja]

Moinmoin

Eigentlich dachte ich gestern Abend, ich habs durchschaut.
Dann heute morgen alles so eingerichtet, aber leider geht`s doch nicht so wie ich gerne möchte:

• Stammdaten - darf jeder sehen und der Nutzer selbst bearbeiten
• Zusätzliche Daten - darf der Nutzer nur sehen, die Rolle Finanzen und Rolle Verwaltung sehen und bearbeiten
• Finanzen - darf nur die Rolle Finanzen sehen und bearbeiten
• Verwaltung - darf nur die Rolle Verwaltung sehen und bearbeiten

Dazu habe ich die Kategorien wie folgt eingerichtet:

Kategorie zus. Daten: Sichtbar für: Rolle Finanzen und Rolle Verwaltung
Kategorie Finanzen: Sichtbar für: Rolle Finanzen
Kategorie Verwaltung: Sichtbar für: Rolle Verwaltung

Dass funktioniert auch in der Listenansicht, bearbeiten kann die Rolle Finanzen die Felder in der Kategorie Finanzen noch nicht.


Für die Rollen habe ich also folgendes probiert:

Rolle Mensch:

• Rollenmmitgliedschaft sehen: Nur Rollenmitglieder
• Berechtigung: eigenes Profil bearbeiten

Rolle Finanzen:

• Berechtigung: Profildaten aller Benutzer bearbeiten

Was aber dazu führt, dass diese Rolle wirklich alle Daten bearbeiten kann,
auch die Daten, der Rolle Verwaltung, die sie ja nicht einmal sehen sollte.
Aber das entspricht zumindest der vergebenen Berechtigung.
Ich hatte nur vermutet, das dass was nicht gesehen auch nicht bearbeitet werden kann.


Etwas merkwürdig und vielleicht der Schlüssel zu Lösung, ist die Übersicht der Profilfelder-Kategorien:

Kategorie: Stammdaten:

• Sichtbar für: alle Mitglieder dieser Organisation
• Profilfelder bearbeiten: Finanzen, Admin

Kategorie: zusätzliche Daten:

• Sichtbar für: Admin, Finanzen, Verwaltung, Finanzen, Verwaltung
• Profilfelder bearbeiten: Finanzen, Admin

Kategorie: Finanzen:

• Sichtbar für: Finanzen, Finanzen, Admin
• Profilfelder bearbeiten: Finanzen, Admin

Kategorie: Verwaltung:

• Sichtbar für: Verwaltung, Finanzen, Admin
• Profilfelder bearbeiten: Finanzen, Admin

Die doppelten Nennungen sind kein Tippfehler, sondern stehen so in der Tabelle.
Daher meine Hoffnung, dass ich irgendwo falsche Rechte verteilt habe, wobei mir ja eigentlich welche fehlen...


Über etwas Hilfe wäre ich wirklich sehr froh.

Danke schonmal für diese unglaublich umfangreiche Verwaltungssoftware!

Gruß Kolja

[kolja]

Habe gefühlt das ganze Forum durchsucht, bin mehrmals auf einen ähnlichen bzw sogar auch denselben Wunsch gestoßen.
In der neuesten Antwort heißt es:

Hallo Marcus,
ich glaube dafür wartest du am Besten auf die Version 3.3.
Dort kannst du bei den Profilfeldkategorien demnächst Rollen hinterlegen, die die Profilfelder dieser Kategorie sehen/editieren dürfen. Dann legst du 1 Rolle mit Team A and und eine Rolle mit Team B und vergibst entsprechend die Rechte.
Anschauen kannst du dir das schon mal auf dem Playground https://www.admidio.org/playground
Schau mal ob du das dort so konfiguriert bekommst.
Viele Grüße Fasse

Das freut mich, denn dann bin ich nur zu blöd es zufinden
Denn die Version 3.3.13 ist ja gerade die aktuelle.

Leider scheint der Playground nicht zu funktionieren, zumindest bekomme ich mit der Kombi:
Benutzername: Admin
Passwort: Admidio
keinen Zugriff darauf.

Gruß Kolja

[fasse]

Hallo Kolja,

ich befürchte, dass man es so aktuell nicht konfigurieren kann, wie du es möchtest. Das Bearbeiten einer Kategorie kann man aktuell nicht konfigurieren. Das bräuchtest du eigentlich jetzt.

Bei dem Rechtesystem für die Profilbearbeitung müssen wir noch mal ran. Hier ist vieles gewachsen, was jetzt doch kompliziert geworden ist.

Gruß
Fasse

[kolja]

Hallo fasse

Danke für die Antwort, auch wenn ich dann den Text in der Ankündigung zu 3.3 nicht ganz verstehe:

Berechtigungssystem
Wir haben in dieser Version größere Änderungen am Berechtigungssystem vorgenommen. Zentraler Bestandteil bleiben weiterhin die Rollen. Allerdings könnt ihr nun Kategorien Rollen zuordnen. Dabei könnt ihr unterscheiden, ob diese Rollen Objekte der Kategorie nur sehen oder diese auch bearbeiten dürfen. Ihr könnt dazu jeder Kategorie beliebige Rollen zuordnen.

In der Datenbank habe ich inzwischen den Eintrag category_edit in der Tabelle roles_rights gefunden.
Der verweißt allerdings auf den Eintrag category_view und eine manuelle Änderung in der Tabelle roles_rights_data
(von view auf edit) brachte keine sichtbare Änderung.

War mein Gedanke denn richtig?
Wenn ja, gibt es einen Weg die EInstellung über die Datenbank vorzunehmen?
Das würde mir ja erstmal reichen, denn die Zeit sitzt mit etwas im Nacken

Lieben Gruß Kolja

edit:
Der Playground funktioniert wieder.
Dort sehe ich im Gegensatz zu meiner frischen Installation, in der Ansicht "Profilfelder-Kategorie bearbeiten" die Administratoren angezeigt.
Hatte mich schon gefreut, aber die lassen sich eben nirgendwo individuell für eine Kategorie ändern.
Bedeutet es denn, dass ihr seid gerade an dem Thema arbeitet?

[fasse]

Hallo Kolja,

ich habe mich gerade noch mal genauer damit beschäftigt. Ist nun auch wieder ein paar Jahre her, als ich das eingebaut habe.

Die Kategorien werden ja in verschiedenen Modulen genutzt. In den anderen Modulen kann man auch Bearbeitenrechte hinterlegen. Bei den Profilfeldern bewusst noch nicht. HIer käme es anschließend zu Konflikten mit den beiden feldspezifischen Einstellungen.

Wenn man das bei den Profilfeldern erlauben würde, müsste man die feldspezifischen Einstellungen abändern, da es ansonsten zu verwirrend wird. Das wollten wir damals noch nicht.

Aktuell steht allerdings ein neues Theme auf der Tagesordnung, so dass dieses Thema wohl noch was dauert.

Gruß
Fasse

[kolja]

Guten Morgen fasse,

schade, dass scheinbar keine kurzfristige Lösung geben wird, denn der Rest von Admidio gefällt mir sehr gut
und eine wirkliche Alternative habe ich noch nicht gefunden.

Mit den feldspezifischen EInstellungen meinst du sehen und bearbeiten ?
Und damit dann den Konflikt, dass eine Rolle bearbeiten kann, die sie aber nicht bearbeiten darf?

Das wäre ja duch die Instanz "denkender Mensch" zu lösen.
Natürlich mit einem entsprechenden Hinweis, wie er auch bei dem Datentyp Dropdown in den Profilfeldeinstellungen steht.

Auf jeden Fall vielen Dank dafür, dass du dich nochmal damit beschäftigt hast.

Lieben Gruß Kolja

P.S.
Nur aus Neugierde, was ist denn das neue Theme?

[fasse]

Das neue Theme wird im Rahmen der 4.0 umgesetzt. Bald will ich das mal in Playground hinterlegen.

Dann kannst du dir das da anschauen. Sehr gerne mit konstruktiven Feedback.

[kolja]

Bin gespannt und wenn ich etwas kann, dann kritisieren
Vor allem wenn es um Darstellung und Usability geht.

"Mein" Admidio habe ich auch erstmal anpassen müssen.
Die Eigenschaft, neue Menueinträge hinzuzufügen ist grandios nützlich und das Abschalten von Modulen (Galerie, Downloads etc) auch.
Trägt beides dazu bei, Übersicht zu schaffen und sich auf das, für unseren Verein, Notwendige konzentrieren zu können.
Etwas nervig ist die Aufteilung der .css Dateien durch Bootstrap, aber das geht noch.
Durch die zentrale Sprachdatei ist es ja auch sehr einfach Funktionen zweckzuentfremden, indem sie einfach umbenannt werden.
Damit möchte ich gerne aus der Benutzerbeziehung eine Möglichkeit schaffen, um Gruppenzugehörigkeiten für unsere Nextcloud zu managen.

Aber erstmal muss mein Problem mit den rollenabhängigen Zugriffen auf die Profilfelder gelöst werden...
Hast du da noch einen Ansatz für mich?
Erstmal reicht ja auch eine "schnelle & dreckige" Lösung.

Da du wahrscheinlich nicht der einzige Programmierer bist, kannst du mich auch gerne an jemand anderes verweisen.

Gruß Kolja

[fasse]

Hallo Kolja,

leider ist es zur Zeit sehr ruhig in der Entwicklung, da wir alle mit Beruf und anderen Freizeitprojekten genug zu tun haben. Ich befürchte, dass wir hier keine schnelle Lösung finden.

Meine Ideen habe ich dennoch mal niedergeschrieben, damit sie nicht verloren gehen. Du kannst ja mal drauf schauen:
https://github.com/Admidio/admidio/issues/912

Gruß
Fasse