9.4 Dokument-Berechtigungen — Zugriffssteuerung für Dateien

9.4 Dokument-Berechtigungen — Zugriffssteuerung für Dateien

Anleitung für Kundenadministratoren · UDM Admin Client

1

Überblick

UDM bietet ein feingranulares Berechtigungssystem für Dokumente und Dateien. Sie können steuern, wer auf welche Dokumente mit welchen Rechten zugreifen darf — unabhängig von den allgemeinen Datensatz-Berechtigungen.

Die Dokument-Berechtigungen arbeiten als 3-Stufen-Kaskade:

  1. Datensatz-Berechtigung — Hat der Benutzer überhaupt Zugriff auf den Datensatz, an dem das Dokument hängt?
  2. Dokument-Regeln — Gibt es für die Dateiquelle oder Kategorie eine explizite Zugriffsregel?
  3. Vererbung — Wenn keine explizite Regel existiert, wird der Zugriff vom Datensatz geerbt (bei Vollzugriff).

Dieses System ermöglicht es, z. B. Personalakten nur für die HR-Abteilung sichtbar zu machen, während die allgemeinen Projektdokumente für alle Projektmitglieder zugänglich bleiben.

Unser Beispiel für diese Anleitung
Dokumentzugriff in der Personalverwaltung

Sie möchten für Ihr Personalwesen drei Zugriffsebenen einrichten: „Gehaltsabrechnungen“ sollen nur für HR-Leiter sichtbar sein, „Verträge“ sollen von HR-Mitarbeitern gelesen und heruntergeladen werden können, und „Allgemeine Dokumente“ sollen für alle Mitarbeiter mit Datensatz-Zugriff verfügbar sein.

2

Berechtigungsebenen

Dokument-Berechtigungen greifen auf drei Ebenen. Jede Ebene verengt den Zugriff weiter — von der Dateiquelle über die Kategorie bis hin zum einzelnen Dokument.

Dateiquelle (FileSource)

Eine Dateiquelle ist der physische Speicherort Ihrer Dokumente — z. B. ein Netzlaufwerk, ein SharePoint-Verzeichnis oder ein lokaler Ordner. Jede Dateiquelle wird im Admin-Client konfiguriert und kann einem oder mehreren Datenobjekten zugeordnet werden.

Dokument-Berechtigungsregeln vom Typ „Dateiquelle“ steuern den Zugriff auf alle Dokumente, die aus dieser Quelle stammen. Damit können Sie z. B. ein vertrauliches Archivlaufwerk komplett für bestimmte Rollen sperren.

Kategorie

Dokumentkategorien sind fachliche Gruppierungen Ihrer Dokumente — z. B. „Verträge“, „Rechnungen“ oder „Gehaltsabrechnungen“. Kategorien werden unabhängig von der Dateiquelle vergeben und ermöglichen eine inhaltliche Steuerung des Zugriffs.

Dokument-Berechtigungsregeln vom Typ „Kategorie“ steuern den Zugriff auf alle Dokumente einer bestimmten Kategorie, unabhängig davon, in welcher Dateiquelle sie liegen.

Einzeldokument

Auf Einzeldokument-Ebene wirkt die Kombination aus Dateiquelle und Kategorie. Wenn ein Dokument sowohl einer berechtigten Dateiquelle als auch einer berechtigten Kategorie zugeordnet ist, gilt das höchste Zugriffsrecht aus den zutreffenden Regeln.

Dokumente, für die keine passende Regel existiert (weder Dateiquelle noch Kategorie), sind nicht sichtbar — sofern Dokument-Regeln für die Berechtigung konfiguriert sind.

Wichtig: Explizite Regeln vs. keine Regeln Wenn für eine Berechtigung keine Dokument-Regeln definiert sind, erbt der Benutzer den Dokumentzugriff vom Datensatz: Bei Vollzugriff kann er alle Dokumente lesen und herunterladen. Sobald Sie mindestens eine Dokument-Regel anlegen, sind nur noch Dokumente sichtbar, die einer der Regeln entsprechen.
3

Berechtigungstypen (Zugriffsebenen)

Jede Dokument-Berechtigungsregel legt fest, was der Benutzer mit den betroffenen Dokumenten tun darf. Es gibt vier Zugriffsebenen:

Zugriffsebene Beschreibung Erlaubte Aktionen
Kein Zugriff Das Dokument ist für den Benutzer nicht sichtbar.
Lesen Das Dokument wird in der Liste angezeigt und eine Vorschau ist möglich. Dokumentliste sehen, Vorschau anzeigen
Lesen + Download Zusätzlich zum Lesen kann das Dokument heruntergeladen werden. Dokumentliste sehen, Vorschau anzeigen, Download
Vollzugriff Der Benutzer darf Dokumente lesen, herunterladen und neue Dokumente hochladen (sofern die Dateiquelle nicht schreibgeschützt ist). Dokumentliste sehen, Vorschau, Download, Upload
Tipp: Upload bei schreibgeschützten Dateiquellen Auch bei Vollzugriff kann ein Upload nur stattfinden, wenn die Dateiquelle nicht als ReadOnly konfiguriert ist. Die Dateiquelle hat also ein zusätzliches Veto-Recht über den Schreibzugriff.
Berechtigungs-Matrix — Rolle × Dokumentkategorie
Rolle / KategorieGehaltsabrechnungenVerträgeAllgemeine Dokumente
HR-LeiterVollzugriffVollzugriffVollzugriff
HR-MitarbeiterKein ZugriffLesen + DownloadLesen + Download
AbteilungsleiterKein ZugriffLesenLesen + Download
MitarbeiterKein ZugriffKein ZugriffLesen
4

Schritt für Schritt: Dokument-Berechtigungen konfigurieren

  1. Berechtigung öffnen

    Navigieren Sie im Admin-Client zum gewünschten Datenobjekt und öffnen Sie dessen Berechtigungen. Wählen Sie die Berechtigung aus, der Sie Dokument-Regeln hinzufügen möchten — oder erstellen Sie eine neue Berechtigung für die gewünschte Rolle/Abteilung/Benutzer-Kombination.

  2. Dokument-Regel hinzufügen

    Klicken Sie im Bereich „Dokument-Regeln“ auf „Neu“. Es wird eine neue Regel angelegt.

  3. Geltungsbereich (Scope) wählen

    Wählen Sie, ob die Regel für eine Dateiquelle oder eine Dokumentkategorie gelten soll:

    • Dateiquelle: Wählen Sie anschließend die gewünschte Dateiquelle aus der Liste
    • Kategorie: Wählen Sie die gewünschte Dokumentkategorie aus der Liste
  4. Zugriffsebene festlegen

    Wählen Sie die gewünschte Zugriffsebene: Kein Zugriff, Lesen, Lesen + Download oder Vollzugriff.

  5. Weitere Regeln hinzufügen (optional)

    Fügen Sie bei Bedarf weitere Regeln hinzu, um verschiedene Dateiquellen oder Kategorien mit unterschiedlichen Zugriffsebenen zu versehen.

  6. Berechtigung speichern

    Speichern Sie die Berechtigung. Die Dokument-Regeln werden sofort wirksam — beim nächsten Laden der Dokumentliste sehen Benutzer nur noch die freigegebenen Dokumente.

Achtung: Erste Regel aktiviert den Filter Sobald Sie die erste Dokument-Regel zu einer Berechtigung hinzufügen, werden alle Dokumente ohne passende Regel unsichtbar. Stellen Sie sicher, dass Sie Regeln für alle Dateiquellen und Kategorien anlegen, auf die der Benutzer zugreifen soll.
AdminClient → Berechtigung → Neue Dokument-Regel
Geltungsbereich
Scope
Kategorie
Kategorie
Verträge
Zugriffsebene
Recht
Lesen + Download
Upload erlauben
aus
5

Vererbung und Prioritäten

Dokument-Berechtigungen basieren auf dem UDM-Berechtigungssystem mit seiner 7-Stufen-Hierarchie. Die Hierarchie bestimmt, welche Berechtigung im Konfliktfall gewinnt:

Stufe Berechtigung gilt für Priorität
1 Nur Abteilung (Bereich) Niedrigste
2 Nur Rolle
3 Abteilung + Rolle
4 Nur Benutzer
5 Benutzer + Abteilung
6 Benutzer + Rolle
7 Benutzer + Rolle + Abteilung Höchste

Überschreiben statt Zusammenführen

Eine höherwertige Berechtigung ersetzt die niedrigere komplett — es findet kein Zusammenführen (Merge) der Dokument-Regeln statt. Wenn ein Benutzer eine Rolle mit Dokument-Regeln hat und zusätzlich eine benutzerspezifische Berechtigung (höhere Stufe) ohne Dokument-Regeln, gelten keine Dokument-Regeln — der Benutzer erbt dann den Zugriff vom Datensatz.

Abteilungsebene

Innerhalb einer Hierarchiestufe wird zusätzlich die Abteilungsebene berücksichtigt. Eine Berechtigung für eine speziellere (tiefere) Abteilung überschreibt eine Berechtigung für eine übergeordnete Abteilung.

Vererbung ohne Dokument-Regeln

Wenn die aufgelöste Berechtigung keine Dokument-Regeln enthält, gilt:

  • Vollzugriff auf den Datensatz → Benutzer kann alle Dokumente lesen und herunterladen
  • Kein Vollzugriff → Benutzer kann keine Dokumente sehen
Zusammenfassung der Auflösungskaskade
  1. Prüfung, ob der Benutzer überhaupt auf den Datensatz zugreifen darf (Entity-Berechtigung + ggf. Datenfilter)
  2. Auflösung der 7-Stufen-Hierarchie zur effektiven Berechtigung
  3. Prüfung der Dokument-Regeln der aufgelösten Berechtigung (Dateiquelle/Kategorie-Match)
  4. Wenn keine Regeln vorhanden: Vererbung vom Datensatz-Vollzugriff
6

Praxisbeispiele

Beispiel 1: Vertrauliche Personalakten schützen

Szenario
Gehaltsabrechnungen nur für HR-Leiter

Alle Mitarbeiter dürfen die Stammdaten ihrer Kollegen sehen, aber Gehaltsabrechnungen sollen nur für die Rolle „HR-Leiter“ sichtbar sein.

Konfiguration:

  1. Erstellen Sie eine Dokumentkategorie „Gehaltsabrechnungen“
  2. Legen Sie eine Berechtigung für die Rolle „Mitarbeiter“ an:
    • Datensatz-Rechte: Lesen
    • Dokument-Regel: Kategorie „Allgemeine Dokumente“ → Lesen + Download
  3. Legen Sie eine Berechtigung für die Rolle „HR-Leiter“ an:
    • Datensatz-Rechte: Vollzugriff
    • Dokument-Regel: Kategorie „Allgemeine Dokumente“ → Lesen + Download
    • Dokument-Regel: Kategorie „Gehaltsabrechnungen“ → Vollzugriff

Ergebnis: Mitarbeiter sehen nur allgemeine Dokumente. HR-Leiter sehen zusätzlich die Gehaltsabrechnungen und können neue hochladen.

Beispiel 2: Archivlaufwerk absichern

Szenario
Archiv-Dateiquelle nur für Administratoren

Ein Archivlaufwerk enthält ältere Dokumente, die nur von Administratoren eingesehen werden sollen. Das aktive Projektlaufwerk bleibt für alle zugänglich.

Konfiguration:

  1. Sie haben zwei Dateiquellen: „Projektlaufwerk“ und „Archiv“
  2. Berechtigung für die Rolle „Projektmitarbeiter“:
    • Dokument-Regel: Dateiquelle „Projektlaufwerk“ → Lesen + Download
  3. Berechtigung für die Rolle „Admin“:
    • Dokument-Regel: Dateiquelle „Projektlaufwerk“ → Vollzugriff
    • Dokument-Regel: Dateiquelle „Archiv“ → Lesen + Download

Ergebnis: Projektmitarbeiter sehen nur Dokumente vom Projektlaufwerk. Administratoren sehen zusätzlich das Archiv.

Beispiel 3: Einzelnen Benutzer übersteuern

Szenario
Benutzerspezifische Einschränkung

Ein externer Berater soll nur Lesezugriff auf Projektdokumente haben, obwohl seine Rolle normalerweise Vollzugriff gewährt.

Konfiguration:

  1. Erstellen Sie eine benutzerspezifische Berechtigung (Stufe 4 oder höher) für den externen Berater
  2. Dokument-Regel: Dateiquelle „Projektlaufwerk“ → Lesen (ohne Download)

Ergebnis: Der Berater kann Projektdokumente in der Vorschau ansehen, aber nicht herunterladen. Die rollenbasierte Berechtigung wird durch die höherwertige benutzerspezifische Berechtigung komplett überschrieben.

7

Tipps für die Praxis

Tipp: Least-Privilege-Prinzip Vergeben Sie immer nur die minimal notwendigen Rechte. Beginnen Sie mit „Lesen“ und erweitern Sie bei Bedarf auf „Lesen + Download“ oder „Vollzugriff“.
Tipp: Kategorien als zentrales Steuerungselement Nutzen Sie Dokumentkategorien als primäres Werkzeug zur Zugriffssteuerung. Kategorien sind fachlich motiviert und unabhängig vom Speicherort. Dateiquellen-Regeln eignen sich eher für technische Abgrenzungen (z. B. Archiv vs. aktiv).
Tipp: Regeln planen, bevor Sie konfigurieren Erstellen Sie vor der Konfiguration eine Matrix: Welche Rolle soll auf welche Kategorie/Dateiquelle mit welchen Rechten zugreifen? So vermeiden Sie Lücken und Überschneidungen.
Achtung: Datenfilter und Dokument-Berechtigungen Wenn eine Berechtigung einen Datenfilter enthält (z. B. „nur Kunden der eigenen Region“), wird dieser zuerst geprüft. Entspricht der Datensatz nicht dem Filter, sind auch alle angehängten Dokumente unsichtbar — unabhängig von den Dokument-Regeln.
Achtung: Höhere Stufe überschreibt komplett Wenn Sie eine benutzerspezifische Berechtigung ohne Dokument-Regeln anlegen, werden die Dokument-Regeln der rollenbasierten Berechtigung nicht vererbt, sondern entfallen. Der Benutzer erbt dann nur den Datensatz-Zugriff (Vollzugriff = alle Dokumente sichtbar; kein Vollzugriff = keine Dokumente).
8

Häufige Fragen (FAQ)

Frage Antwort
Was passiert, wenn keine Dokument-Regeln konfiguriert sind? Bei Vollzugriff auf den Datensatz kann der Benutzer alle Dokumente lesen und herunterladen. Ohne Vollzugriff sind keine Dokumente sichtbar.
Können Dateiquelle- und Kategorie-Regeln kombiniert werden? Ja. Sie können innerhalb einer Berechtigung sowohl Dateiquelle- als auch Kategorie-Regeln anlegen. Wenn ein Dokument beiden entspricht, gilt das höchste Zugriffsrecht.
Kann ich den Upload verhindern, aber Download erlauben? Ja. Setzen Sie die Zugriffsebene auf „Lesen + Download“. Der Upload ist nur bei „Vollzugriff“ möglich.
Was passiert, wenn die Dateiquelle schreibgeschützt ist? Auch bei Vollzugriff kann kein Upload stattfinden. Die ReadOnly-Einstellung der Dateiquelle hat Vorrang.
Kann ich Dokumente für einen einzelnen Benutzer freigeben? Ja. Erstellen Sie eine benutzerspezifische Berechtigung (Stufe 4–7) mit den gewünschten Dokument-Regeln. Diese hat Vorrang vor rollen- und abteilungsbasierten Berechtigungen.
Werden geänderte Berechtigungen sofort wirksam? Ja. Die Berechtigungsprüfung erfolgt bei jedem Laden der Dokumentliste. Änderungen greifen beim nächsten Zugriff des Benutzers.
Was ist der Unterschied zu den allgemeinen Berechtigungen? Die allgemeinen Berechtigungen steuern den Zugriff auf Datensätze (Anwendungen, Datenobjekte, Dialoge). Dokument-Berechtigungen steuern den Zugriff auf Dateien, die an diesen Datensätzen hängen — als zusätzliche Schicht.
Kann ich eine Vorschau erlauben, aber den Download verbieten? Ja. Die Zugriffsebene „Lesen“ erlaubt genau das: Der Benutzer sieht das Dokument in der Vorschau, kann es aber nicht herunterladen.