8.2 Berechtigungen — Rollen und Zugriffsrechte konfigurieren

8.2 Berechtigungen — Rollen und Zugriffsrechte konfigurieren

Steuern Sie, welche Benutzer auf welche Subsysteme, Datenobjekte und Anwendungen zugreifen dürfen — mit einem flexiblen, rollenbasierten Berechtigungssystem.

1

Überblick

UDM verwendet ein rollenbasiertes Berechtigungssystem. Berechtigungen werden nicht einzelnen Benutzern direkt zugewiesen, sondern über die Unternehmensstruktur gesteuert:

  • Unternehmensrollen (z. B. „CRM-Bearbeiter“) bündeln Zugriffsrechte auf UDM-Objekte
  • Abteilungen bilden die organisatorische Struktur ab
  • Benutzer erhalten Berechtigungen über ihre Rollen- und Abteilungszuordnung
  • Rechte umfassen: Lesen, Schreiben, Neu anlegen, Löschen und Vollzugriff

Berechtigungen können auf verschiedene Objekttypen vergeben werden: Anwendungen (Apps), Ansichtselemente, Dialoge, Datenquellen, Datenobjekte, Jobs, Menügruppen und Berichtsvorlagen.

Unser Beispiel für diese Anleitung
CRM-Rollen einrichten

Sie möchten drei Rollen für Ihr CRM-Subsystem anlegen: „CRM-Leser“ (nur Lesen), „CRM-Bearbeiter“ (Lesen + Schreiben) und „CRM-Admin“ (alles inkl. Löschen und Administration). Anschließend weisen Sie diese Rollen den entsprechenden Benutzern zu.

2

Schritt 1: Unternehmensrollen anlegen

Unternehmensrollen sind das zentrale Werkzeug zur Gruppierung von Berechtigungen. Erstellen Sie für jedes Aufgabenprofil eine eigene Rolle.

  1. Benutzerverwaltung öffnen

    Navigieren Sie im Admin-Client zu Verwaltung → Benutzerverwaltung. Hier finden Sie die Übersicht über Unternehmensstruktur, Rollen und Benutzer.

  2. Neue Rolle erstellen

    Wechseln Sie in den Bereich „Unternehmensrollen“ und klicken Sie auf „Neu“. Vergeben Sie einen aussagekräftigen Namen, z. B. CRM-Leser.

  3. Weitere Rollen anlegen

    Wiederholen Sie den Vorgang für CRM-Bearbeiter und CRM-Admin.

Tipp: Least-Privilege-Prinzip Vergeben Sie immer nur die minimal notwendigen Rechte. Beginnen Sie mit eingeschränkten Rollen und erweitern Sie diese bei Bedarf. So vermeiden Sie versehentliche Zugriffe auf sensible Daten.
3

Schritt 2: Rechte für Subsysteme und Datenobjekte zuweisen

Jede Berechtigung wird auf ein konkretes UDM-Objekt vergeben. Sie legen fest, wer (Rolle, Abteilung oder Benutzer) auf welches Objekt mit welchen Rechten zugreifen darf.

  1. Zielobjekt auswählen

    Navigieren Sie zum gewünschten Objekt (z. B. einer Anwendung oder einem Ansichtselement) und öffnen Sie dessen Berechtigungen.

  2. Neue Berechtigung anlegen

    Klicken Sie auf „Berechtigung hinzufügen“. Wählen Sie die Unternehmensrolle (z. B. „CRM-Leser“) und optional eine Abteilung aus.

  3. Zugriffsrechte festlegen

    Aktivieren Sie die gewünschten Rechte für diese Rolle. Für „CRM-Leser“ wählen Sie nur „Lesen“.

  4. Vererbung konfigurieren

    Aktivieren Sie bei Bedarf die Option „Berechtigung vererben“. Damit gelten die Rechte auch für untergeordnete UDM-Elemente (z. B. von einer App auf deren Ansichtselemente und Dialoge).

Berechtigungsstufen im Überblick

Berechtigung Beschreibung Typischer Einsatz
Kein Zugriff Objekt ist für den Benutzer nicht sichtbar und nicht zugänglich Standardwert, wenn keine Berechtigung vergeben ist
Lesen Daten anzeigen und durchsuchen, aber nicht verändern Lesende Rollen, Berichtsnutzer
Lesen + Schreiben Bestehende Datensätze bearbeiten Sachbearbeiter, Datenerfasser
Neu anlegen Neue Datensätze erstellen Bearbeiter mit Erfassungsaufgaben
Löschen Datensätze entfernen Nur für verantwortliche Rollen
Vollzugriff Alle Rechte inkl. Lesen, Schreiben, Neu anlegen und Löschen Bereichsadministratoren
Admin Vollzugriff plus administrative Funktionen (Konfiguration, Strukturänderungen) Systemadministratoren
Achtung: Admin-Rechte mit Bedacht vergeben Die Berechtigungsstufe „Admin“ gewährt Zugriff auf strukturelle Änderungen und Konfigurationseinstellungen. Vergeben Sie diese Stufe nur an Benutzer, die tatsächlich administrative Aufgaben wahrnehmen. Im Zweifelsfall genügt „Vollzugriff“.
AdminClient → Berechtigungsmatrix Rollen × Rechte (CRM-Anwendung)
RolleLesenSchreibenNeu anlegenLöschenAdminVererben
CRM-Leser
CRM-Bearbeiter
CRM-Admin
Sachbearbeiter Vertrieb
Externer Auditor
5 Rollen · Zielobjekt: App "CRM" · Vererbung auf Ansichtselemente und Dialoge
4

Schritt 3: Rollen den Benutzern zuordnen

Nachdem die Rollen mit Berechtigungen ausgestattet sind, weisen Sie sie den entsprechenden Benutzern zu.

  1. Benutzer öffnen

    Navigieren Sie in der Benutzerverwaltung zum gewünschten Benutzer.

  2. Rolle zuweisen

    Ordnen Sie dem Benutzer die passende Unternehmensrolle zu (z. B. „CRM-Bearbeiter“). Ein Benutzer kann mehrere Rollen besitzen.

  3. Abteilung zuordnen

    Weisen Sie den Benutzer einer Abteilung zu. Berechtigungen können zusätzlich an Abteilungen geknüpft sein, um den Zugriff weiter einzuschränken.

5

Schritt 4: Effektive Berechtigungen prüfen

UDM berechnet die effektive Berechtigung eines Benutzers aus der Kombination aller zugeordneten Rollen, Abteilungen und ggf. benutzerspezifischen Einzelberechtigungen. Dabei gilt:

  • Mehrere Berechtigungen auf dasselbe Objekt werden kumulativ ausgewertet — die höchste Stufe gewinnt
  • Berechtigungen werden nach Spezifizität priorisiert: eine benutzerspezifische Berechtigung übersteuert eine rollenbasierte
  • Die Option „Kein Zugriff“ auf einer spezifischeren Ebene kann den Zugriff gezielt entziehen

Priorität der Berechtigungsebenen

UDM wertet Berechtigungen in einer definierten Rangfolge aus. Je spezifischer die Zuordnung, desto höher die Priorität:

Priorität Zuordnung Beispiel
1 (niedrigste) Nur Abteilung Abteilung „Vertrieb“ darf CRM lesen
2 Nur Rolle Rolle „CRM-Bearbeiter“ darf schreiben
3 Abteilung + Rolle Rolle „CRM-Admin“ in Abteilung „Vertrieb“
4 Nur Benutzer Benutzer „Max Mustermann“ direkt
5–7 (höchste) Benutzer + Abteilung/Rolle Benutzer + Rolle + Abteilung (maximale Spezifizität)
Vererbung von Berechtigungen Wenn Sie bei einer Berechtigung die Option „Berechtigung vererben“ aktivieren, gelten die Rechte automatisch auch für alle untergeordneten UDM-Elemente. Beispiel: Eine Berechtigung auf eine Anwendung (App) wird an deren Ansichtselemente und Dialoge weitergegeben. Dies vereinfacht die Konfiguration erheblich, da Sie nicht jedes Element einzeln berechtigen müssen. Hinweis: Diese Vererbung bezieht sich auf die UDM-Objekthierarchie, nicht auf die Unternehmenshierarchie.
6

Berechtigungsfähige Objekttypen

Berechtigungen können auf folgende Objekttypen vergeben werden:

Objekttyp Beschreibung
Anwendung (App) Gesamte UDM-Anwendung inkl. aller untergeordneten Elemente. Ideal als Einstiegspunkt mit Vererbung.
Ansichtselement Einzelne Ansicht innerhalb einer App (z. B. eine Tabelle, ein Dashboard). Unterstützt zusätzlich Datenfilter.
Dialog Bearbeitungsdialog für Datensätze. Steuert, ob ein Benutzer den Dialog öffnen darf.
Datenquelle Zugriff auf die zugrunde liegenden Daten. Unterstützt Datenfilter zur Einschränkung.
Datenobjekt (Entity) Tabelle im Datenmodell. Steuert den Zugriff auf Tabellenebene.
Job Automatisierte Aufgaben und Hintergrundprozesse.
Menügruppe Sichtbarkeit von Menüeinträgen in der Navigation.
Berichtsvorlage Zugriff auf Report-Vorlagen und deren Ausführung.
7

Zusätzliche Optionen je Berechtigung

Neben den Zugriffsrechten bietet jede Berechtigung weitere Steuerungsmöglichkeiten:

Option Beschreibung
Im Menü anzeigen Steuert, ob das Objekt im Navigations­menü der App sichtbar ist.
Nachrichten anzeigen Aktiviert den Menüpunkt „Nachrichten“ in der App für diese Berechtigung.
Berichte anzeigen Aktiviert den Menüpunkt „Berichte“ in der App.
Vererben Berechtigung gilt auch für untergeordnete UDM-Elemente (App → Ansichtselemente → Dialoge).
Datenfilter Schränkt die sichtbaren Datensätze ein (z. B. nur eigene Kunden, nur aktive Projekte). Verfügbar bei Ansichtselementen und Datenquellen.
8

Ergebnis unseres Beispiels

Nach der Konfiguration haben wir:

  • Drei Unternehmensrollen: „CRM-Leser“, „CRM-Bearbeiter“ und „CRM-Admin“
  • Die Rolle „CRM-Leser“ hat Lesezugriff auf die CRM-Anwendung (mit Vererbung auf alle Ansichtselemente)
  • Die Rolle „CRM-Bearbeiter“ hat Lese- und Schreibzugriff inkl. Neuanlage
  • Die Rolle „CRM-Admin“ hat Vollzugriff inkl. Löschen und Administration
  • Benutzer sind über ihre Rollenzuordnung automatisch berechtigt
AdminClient → Rollen-Detail "Sachbearbeiter Vertrieb"
👤
Sachbearbeiter Vertrieb
12 Benutzer · Abteilung Vertrieb
Zugeordnete Berechtigungen
App "CRM"
Lesen Schreiben Vererben
Ansichtselement "Kundenliste"
Lesen Datenfilter: Region = eigene
Datenquelle "AktiveKunden"
Lesen
Job "Tagesbericht"
Kein Zugriff
Berichtsvorlage "Umsatzbericht"
Lesen
Effektive Rechte
Status
aktiv · zuletzt geprüft 2026-05-04
9

Häufige Fragen

Frage Antwort
Kann ein Benutzer mehrere Rollen haben? Ja. Die Rechte aller Rollen werden kumulativ ausgewertet — der Benutzer erhält die Summe aller Rechte.
Was passiert, wenn keine Berechtigung vergeben ist? Standardmäßig hat ein Benutzer keinen Zugriff. Objekte ohne explizite Berechtigung sind nicht sichtbar.
Kann ich den Zugriff für einen einzelnen Benutzer einschränken? Ja. Erstellen Sie eine benutzerspezifische Berechtigung mit „Kein Zugriff“. Diese hat höhere Priorität als rollenbasierte Berechtigungen.
Was sind Datenfilter bei Berechtigungen? Datenfilter schränken ein, welche Datensätze ein Benutzer sehen darf (z. B. nur Kunden der eigenen Region). Sie werden bei Ansichtselementen und Datenquellen unterstützt.
Wie funktioniert die Vererbung? Eine Berechtigung mit aktivierter Vererbung auf einer App wird automatisch an alle Ansichtselemente und Dialoge dieser App weitergegeben. Untergeordnete Elemente können diese geerbte Berechtigung durch eine eigene, spezifischere Berechtigung übersteuern.
Wo finde ich die Benutzerverwaltung? Im Admin-Client unter Verwaltung → Benutzerverwaltung. Dort verwalten Sie Unternehmensstruktur, Rollen und Benutzer.