Dokument Zugriff

Mithilfe des Dokumentenzugriffs werden Benutzern Zugriffsrechte für die Verwendung von Dokumenten innerhalb von IFS Dokumentenmanagement erteilt. Er dient hauptsächlich der Zugriffskontrolle auf die Dateien, die mit den Dokumenten verknüpft sind, steuert aber beispielsweise auch den Bearbeitungszugriff auf einige Attribute des Datensatzes eines Dokuments selbst.

Zugriffsebenen

Es gibt drei verschiedene Zugriffsebenen für Dokumentrevisionen, von der „geringsten“ bis zur „höchsten“ Zugriffsebene. Dies sind folgende:

• Lesezugriff – Gibt einer Person oder Gruppe die Möglichkeit, eine Dokumentdatei anzuzeigen oder zu drucken. Arbeitsgänge wie „Per Email versenden“ und „Datei kopieren nach“ werden über diese Zugriffsebene erteilt.
• Bearbeitungszugriff – Erweitert den Lesezugriff, indem Personen oder Gruppen zusätzlich die Rechte gewährt werden, Dokumentendateien zu bearbeiten und einzuchecken und Dokumentenattribute zu ändern. Benutzer mit Bearbeitungszugriff können eine Dokumentendatei auch vollständig löschen (allerdings nicht die gesamte Dokumentrevision).
• Adminzugriff – Gibt einer Person oder Gruppe die Administratorzugriffsrechte. Dies umfasst den Bearbeitungszugriff sowie das Recht, den Status von Dokumenten zu ändern, Dokumentrevisionen zu löschen, Genehmigungsschritte hinzuzufügen und Zugriffsrechte für andere Personen und Gruppen zu ändern.

Die für jede Zugriffsebene erlaubten Arbeitsgänge werden unten aufgeführt.

Mögliche Arbeitsgänge/Zugriff	Ansicht	Bearbeiten	Administrator
Ansicht	X	X	X
Bearbeiten		X	X
Einchecken		X	X
Drucken	X	X	X
Auschecken rückgängig machen		X	X
Statusänderungen			X
Neue Version erstellen		X	X
Neue Seite erstellen		X	X
Dokumentendatei löschen		X	X
Dokument löschen			X
Als Vorlage setzen	X	X	X
Dokumentenverteilung...	X	X	X
Freigabeablauf definieren			X
Dokumentzugriff definieren			X

Zugriff ist pro Dokumentenrevision für Personen, Gruppen und Objekte definiert, und jede Zugriffsposition kann ggf. aktiviert deaktiviert werden. Die Möglichkeit, Zugriffseinträge zu deaktivieren, empfiehlt sich insbesondere während der Entwicklung des Dokuments, bevor es freigegeben wird. Auf diese Weise kann das Zugriffsschema auch Personen berücksichtigen, die in der Phase des vorläufigen Entwurfs keinen Zugriff erhalten, indem die Option „Aktiviert“ deaktiviert wird. Wenn das Dokument später freigegeben wird, können die deaktivierten Zugriffseinträge aktiviert werden, um einer größeren Zielgruppe den Zugriff zu ermöglichen.

Die Angabe eines Sternchens (*) im Feld „Personen-ID“ gewährt allen Personen den Zugriff auf die Revision, sofern ihnen der Zugriff nicht anderweitig über eine Personen-ID, Gruppen-ID oder ein Objekt gewährt wurde.

Zugriff auf allgemeine Dokumenteninformationen

Der Zugriff auf ein Dokument kann allgemein in zwei Kategorien unterteilt werden:

• Zugriff auf ein Dokument – die Einstellungen sind weiter oben im Abschnitt Zugriffsebenen beschrieben.
• Zugriff auf Informationen, dass ein Dokument existiert – die Möglichkeit, sich das Dokument und seine allgemeinen Informationen anzeigen zu lassen (z. B. im Fenster Dokumentrevision).

Eingeschr. Zugriff

Wenn andere Personen nicht erkennen sollen, ob bzw. dass ein Dokument im System vorhanden ist, kann es mithilfe der Option Eingeschränkter Zugriff geschützt werden. Wenn diese Option aktiviert ist, wird das Dokument vor allen Personen verborgen, denen nicht mindestens der Lesezugriff für diese bestimmte Dokumentrevision gewährt wurde.

Diese Eigenschaft wird im Dokumententitel festgelegt. Jeder Anwender mit Admin-Zugriff für alle Dokumentrevisionen eines bestimmten Dokumententitels sollte den Status der Option Eingeschränkter Zugriff ändern können.

Prioritäten des definierten Zugriffs, nach Quelle des Zugriffs

Die höchste Priorität kommt dem Personenzugriff zu, gefolgt vom Gruppen- und Objektzugriff. Wenn beispielsweise eine Personen-ID definiert und Lesezugriff zugewiesen wird und dieselbe Person zu einer Gruppe mit Bearbeitungszugriff gehört, erhält er oder sie nur Lesezugriff.

Da Personenzugriff die höchste Priorität hat, können Sie diesen auch verwenden, um anderen Personen Zugriff zu verweigern. Wenn Sie sicherstellen möchten, dass jemand nicht auf eine Dokumentrevision zugreifen kann, können Sie für diese Person einen Personenzugriffsdatensatz erstellen und anschließend die Optionen Lesezugriff, Bearbeitungszugriff und Admin-Zugriff deaktivieren. Achten Sie dabei darauf, den Datensatz zu aktivieren. Selbst wenn diese Person Zugriff auf die Dokumentenrevision durch eine Gruppe oder ein Objekt erhält, kommt dem Personenzugriffsdatensatz höchste Priorität. Dies resultiert darin, dass die Person nicht auf die Dokumentenrevision zugreifen kann.

Der Gruppen- und der Objektzugriff besitzen die gleiche Priorität. Wenn ein Benutzer über Gruppen und Objekte Zugriff erhält, erhält der Benutzer die maximale Zugriffsebene dieser Elemente. Wenn ein Benutzer beispielsweise Lesezugriff durch eine Gruppe und Bearbeitungszugriff durch ein Objekt erhält, erhält er bzw. sie Bearbeitungszugriff auf das Dokument. Gleiches gilt, wenn ein Benutzer Bearbeitungszugriff durch eine Gruppe und Lesezugriff durch ein Objekt erhält: Er bzw. sie erhält Bearbeitungszugriff.

Wenn für die Personen-ID ein Sternchen (*) angegeben wird, wird den dadurch repräsentierten Personen – also allen Personen, denen kein Zugriff durch eine Personen-ID, eine Gruppe oder ein Objekt gewährt wurde – die geringste Priorität zugewiesen.

Objektgesteuerter Zugriff

Beschreibung

Gemäß dem Konzept des objektgesteuerten Zugriffs kann sich ein anderes Geschäftsobjekt auf den Zugriff auf ein bestimmtes Dokument auswirken. Die Funktionalität ist insofern allgemein, als dass theoretisch (Details siehe unten) jede Art von Geschäftsobjekt im System für die Steuerung des Dokumentenzugriffs konfiguriert werden kann, solange es eine von der Haupt-API des Objekts aus aufrufbare Datenbankmethode gibt, die entwickelt wurde, um die Zugriffsebene für das verknüpfte Dokument zurückzuliefern. Wenn bestimmte Komponenten installiert sind, verfügt IFS Cloud über einige vordefinierte Konfigurationen, etwa für die Arbeitsabläufe im Zusammenhang mit Projekten, Fakturierung und B2B-Vertragswesen. Damit andere Objekte den Zugriff steuern können, muss für jede Art von Objekt eine kleine Anpassung vorgenommen werden, sodass eine Methode aufgerufen werden kann, um Zugriff zu erhalten. Alles Weitere kann durch eine entsprechende Konfiguration erledigt werden.

Und so funktioniert es:

Das Konzept funktioniert folgendermaßen: Wenn die notwendige Konfiguration vorgenommen und ein Dokument mit einer bestimmten Art von Objekt verknüpft wurde, wird die Zugriffsdefinition des Dokuments um einen neuen Zugriffseintrag ergänzt. Wenn der Benutzer, der die Verknüpfung erstellt, ein Administrator des verknüpften Dokuments ist, wird die anfängliche Zugriffsebene des neuen Zugriffseintrags durch die Konfiguration in Dokumentengrundlagen/Standard-Objektzugriffsebenen. Wenn der Anwender kein Administrator des Dokuments ist, gewährt der neu hinzugefügte Zugriffseintrag keinen Zugriff (alle Aktivierungsoptionen sind deaktiviert). Ein Administrator des Dokuments kann diese Ebenen für das Dokument selbst aktualisieren, um höhere oder geringere Zugriffsrechte zu erteilen oder den Zugriff vollständig zu deaktivieren. Das Dokument kann jedoch über abweichend festgelegte Zugriffseinträge verfügen, die bestimmten Personen oder Gruppen von Personen den Zugriff gewährt.

Wenn ein Objekt, das den Zugriff auf das Dokument steuert, vom Dokument getrennt wird, wird auch der Zugriffseintrag für das Objekt aus der Zugriffsdefinition des Dokuments entfernt. Dies geschieht ebenfalls, wenn die Möglichkeit zur Steuerung des Zugriffs für den Objekttyp in Dokumentengrundlagen/Objekttypen für Zugriffskontrolle deaktiviert oder entfernt wird.

Mit anderen Worten: Zugriffseinträge für Objekte lassen sich auf der Registerkarte Dokumentrevision/Zugriff/Definition nicht von Hand hinzufügen oder entfernen. Sie werden automatisch vom System ergänzt bzw. gelöscht. Sie können jedoch aktualisiert werden, d. h., die eigentlichen Zugriffsebenen für jeden Zugriffseintrag können von einem Administrator des Dokuments angepasst werden.

Tatsächlicher, durch ein Objekt gewährter Zugriff

Der maximal verfügbare, vom Objekt abgeleitete Dokumentzugriff für ein bestimmtes Objekt wird auf der Registerkarte Definition festgelegt. Dies bedeutet, dass der maximale Zugriff unabhängig von der Ebene, die das Objekt dem Dokument von der definierten API-Methode aus zu gewähren versucht, durch die Zugriffsebene des für das Dokument definierten Zugriffseintrags festgelegt werden. Wenn von Seiten des Objekts beispielsweise der Admin-Zugriff gewährt wurde, als Zugriffseintrag des Objekts für das Dokument aber nur der Lesezugriff angegeben ist, wird der resultierende Zugriff aus diesem Zugriffseintrag nie über dem Lesezugriff liegen. Wenn als Zugriffseintrag des Objekts für das Dokument hingegen der Admin-Zugriff gewährt wird, kann das Objekt diesen bei Bedarf ebenfalls gewähren. Wenn das Objekt jedoch einen geringeren Zugriff gewährt als durch den Zugriffseintrag festgelegt, erhält der Benutzer höchstens den Zugriff, den das Objekt gewährt. Auf diese Weise behält der Dokumentenadministrator jederzeit die Kontrolle über den Zugriff, da er die Zugriffsdefinition regeln kann.

Die folgende Tabelle zeigt den tatsächlichen Zugriff für den Benutzer, der aus dem durch das Objekt gewährten Zugriff (über die in den Basisdaten definierte API-Methode) und den durch den Zugriffseintrag festgelegten Zugriff resultiert:

	Lesezugriff (durch Objekt)	Bearbeitungszugriff (durch Objekt)	Admin-Zugriff (durch Objekt)
Lesezugriff (durch Zugriffseintrag)	Zugriff / Lesen	Zugriff / Lesen	Zugriff / Lesen
Bearbeitungszugriff (durch Zugriffseintrag)	Zugriff / Lesen	Zugriff / Bearbeiten	Zugriff / Bearbeiten
Admin-Zugriff (durch Zugriffseintrag)	Zugriff / Lesen	Zugriff / Bearbeiten	Zugriff / Administrator

Durch mehrere Objekte gewährter Zugriff

Wenn eine Person ihren Zugriff nur durch zwei verschiedene Objekte erhält, wird ihr der maximale Zugriff gewährt, der für diese Objekte festgelegt wurde. Wenn eine Person beispielsweise durch das eine Objekt Lesezugriff und durch das andere Objekt Admin-Zugriff erhält, wird der Person Admin-Zugriff für das Dokument gewährt.

Standard-Objekttypen für die Zugriffskontrolle

Wenn durch die Installation von IFS Dokumentenmanagement bestimmte Komponenten verfügbar sind, lässt sich mit ihnen der Dokumentenzugriff kontrollieren. Nachfolgend finden Sie eine Auflistung der Objekte, mit denen sich der Zugriff in der Standardinstallation steuern lässt (weitere Objekte können durch entsprechende Anpassungen eingerichtet werden):

• Projekte (Objekttypen „Project“, „SubProject“ und „Activity“): Zur Steuerung des Dokumentenzugriff durch das Projekt wird für die Mitglieder des Projekts ein Dokument mit ihm verknüpft. Um festzulegen, welcher Zugriff jedem Mitglied/Team für jede Ebene des Projekts gewährt werden soll, rufen Sie Projektinformationen/Projektzugriff/Zugriffsdefinition auf.
• Arbeitsaufträge (Objekttyp „WorkOrder“): Dieser Objekttyp wird im Rahmen des B2B-Vertragswesens verwendet, in denen ein Auftragnehmer auf Dokumente zugreifen können muss, die zu einem Arbeitsauftrag gehören, an dem er mitwirkt.
• Angebote (Objekttypen „QuotationLineNopartOrd“ und „QuotationLinePartOrd“): Dieser Objekttyp wird im Rahmen des B2B-Vertragswesens verwendet. Während der Angebotsphase kann der Auftragnehmer Dokumente betrachten, hinzufügen oder entfernen.
• Rechnungen (Objekttypen „IncomingInvoice“ und „ManSuppInvoice“): Der Zugriff auf die Dokumentendatei der Rechnung, die in IFS Rechnungswesen mit der eigentlichen Rechnung verknüpft ist, wird durch das Rechnungsobjekt gesteuert. Der Zugriff auf das Rechnungsdokument richtet sich danach, wer in IFS Rechnungswesen auf die Rechnung zugreifen kann, wobei auch Regeln berücksichtigt werden, die einem Manager den Zugriff auf Rechnungen seiner Mitarbeiter gewähren können.
• Personalwesen - Wenn Sie beim Einrichten des Dokumentenzugriffs ein Dokument an ein LU unter HR-Zugriffsschutz anfügen, wird automatisch ein Datensatz für die Objektverknüpfung generiert. Der Datensatz gewährt Benutzern mit ordnungsgemäßem Organisationszugriff den Zugriff. Dadurch kann eine Person nur Dokumente von Mitarbeitern anzeigen, auf die sie Zugriff haben.
  Die Objektverknüpfungszeile wird generiert, wenn ein Dokument über einen ausgewählten Satz von nachfolgend dargestellten Logical Units angehängt wird:
  • Abteilung - Company Person, DisciplinaryAndGrievance, DiscGrievAction, DiscGrievParticipants, EmpAdditionalPay, EmpEmployedTime, EmpJobAssign, EmployeeSalary
  • Karriereplanung und Nachfolgeplanung - EmpCareerCounseling, EmpCareerPath, EmpCareerPlan, EmpCareerPotentiality, EmpDevelopmentPlan, EmployeeObjective, EmployeeActivity, Emp Performance Appraisal
  • Weiterbildung und Entwicklung - CounsellingPlan, EducationScholarship, JobRotation, SpecialAssignment, TrainingDevelopment
  • Schulungsmanagement - EmpTrainingHistory
  • Zeiterfassung - Abwesenheitsplan, Abwesenheitsanforderung, Abwesenheitsregistrierung
  • Strategische Personalbasis - EmpStrength, EmpAreaOfInterest, EmpWeakness, Employee Competency
  • Reisekostenabrechnung - TravelRequestOption, TravelOptionDetail, ExpenseHeader
  • Pläne und Regeln - WorkSchedAssign
  • Mitarbeiterzahlung - Mitarbeiterzahlungstrans.
  • Leistung - Mitarbeitervorsorgeplan

Hinweis: Der Zugriff über diese vordefinierten Objekte kann deaktiviert bzw. aktiviert werden, dies wird allerdings nicht empfohlen. Sie sollten die API oder die Methode für diese Einträge nicht bearbeiten, da dies zu einem nicht unterstützten Verhalten führen kann.

Zugriffspositionen aktivieren/deaktivieren

Die aktivierte Einstellung macht es möglich, ein Dokument durch Hinzufügen von Zugriffspositionen vorzubereiten und diese beim Freigeben des Dokuments zu aktivieren. Beim gleichzeitigen Freigeben von mehr als einem Dokument, kann der Zugriff für jedes einzelne Dokument beibehalten werden, alle aktivierten Positionen können deaktiviert werden, und Sie können die Zugriffsrechte bearbeiten.

Rollen und Zugriffsrechte

Bei der Arbeit mit Dokumenten werden Anwendern Rollen zugewiesen, die über ihre Dokumentzugriffstufen bestimmen. Einige dieser Rollen werden im Folgenden beschrieben.

• Dokumentenmanagement-Administrator – Der Dokumentenmanagement-Administrator hat immer Administratorzugriff auf alle Dokumente. Diese Zugriffsebene ist eine Systemberechtigung, die Benutzern erteilt werden kann. Der Dokumentenmanagement-Administrator kann alle Dokumente ein- oder auschecken und Reservierungen für alle Dokumente aufheben, die von anderen Anwendern ausgecheckt wurden.
• Dokumentverantwortlicher – Der Dokumentverantwortliche hat immer Admin-Zugriff auf die Revision. Es kann immer nur eine verantwortliche Person geben. Der Dokumentenrevisionsersteller wird automatisch als verantwortliche Person festgelegt. Diese Einstellung kann jedoch zu einem späteren Zeitpunkt geändert werden.
• Dokumentenrevisionsersteller – Diese Person hat die Revision erstellt. Dieser Wert wird gemeinsam mit dem Erstellungsdatum automatisch durch das System festgelegt. Diese Werte können nicht geändert werden. Der Dokumentenrevisionsersteller wird außerdem als Dokumentverantwortlicher festgelegt. Es ist möglich, dem Dokumentenrevisionsersteller alle Zugriffsrechte zu entziehen.

Zugriff zum Erstellen von Dokumenten

Der Zugriff zum Erstellen von Dokumenten einer bestimmten Klasse kann einer Person gewährt werden, indem auf der Registerkarte „Personen und Gruppen“ im Formular „Dokumentenklassenmanagement“ entsprechende Datensätze angelegt werden. Wenn in diesem Formular keine Datensätze vorhanden sind, können standardmäßig alle Personen Dokumente dieser Klasse erstellen. Sobald Datensätze in diesem Formular vorhanden sind, muss für die Person ein Datensatz definiert sein oder muss sie zu einer der definierten Gruppen gehören.

Wenn einer Person kein Zugriff auf eine bestimmte Klasse gewährt wird, wird diese Klasse weder in der Werteliste des Felds „Dokumentenklasse“ im Assistenten „Dokumente erstellen“ zur Dokumentenerstellung noch im Bereich „Anhang“ des Assistenten „Neues Dokument erstellen“ angezeigt. Wenn die Dokumentenklasse manuell eingegeben wird, erscheint eine Fehlermeldung, dass die Person nicht über den erforderlichen Zugriff zum Erstellen eines Dokuments dieser Klasse verfügt.

In allen anderen als den genannten Formularen werden alle Dokumentenklassen (einschließlich derjenigen, auf die der Benutzer keinen Zugriff hat) aufgeführt, um die Suchfunktion zu unterstützen.

Pages

Default Object Access Levels
Document Access Template
Document Details
Document Overview
Document Revision
Document Revisions
My Documents In Progress
Object Types for Access Control

Activity Diagrams

Set Document Access