[{"data":1,"prerenderedAt":798},["ShallowReactive",2],{"guide:de:authorization":3},{"id":4,"title":5,"body":6,"description":790,"extension":791,"meta":792,"navigation":793,"path":794,"seo":795,"stem":796,"__hash__":797},"guide_de/de/user/authorization/index.md","Berechtigungen – Administratorrechte und Rollenbeschränkungen",{"type":7,"value":8,"toc":773},"minimark",[9,14,27,32,35,55,58,61,65,68,73,144,149,169,174,185,189,200,203,208,231,236,245,248,280,284,290,295,323,328,342,346,352,362,365,371,377,380,386,392,395,399,405,410,416,422,426,437,441,446,460,465,479,483,488,508,513,530,535,546,550,558,571,576,581,587,592,598,603,609,612,616,621,635,640,654,658,663,674,679,690,695,706,711,722,727,738,743,754,759],[10,11,13],"h1",{"id":12},"autorisierung","Autorisierung",[15,16,17,18,22,23,26],"p",{},"Die Autorisierung legt fest, was Benutzer nach der Authentifizierung tun dürfen und was nicht. Aptli kombiniert zwei unabhängige Ebenen: freizügige ",[19,20,21],"strong",{},"Administratorrechte"," (was Sie tun dürfen) und restriktive ",[19,24,25],{},"Rollenbeschränkungen"," (was Sie nicht sehen dürfen). Zusammen ermöglichen sie Administratoren eine detaillierte Kontrolle sowohl über die Funktionen als auch über die Sichtbarkeit von Daten.",[28,29,31],"h2",{"id":30},"überblick-über-das-autorisierungsmodell","Überblick über das Autorisierungsmodell",[15,33,34],{},"Das vollständige Sicherheitsmodell von Aptli umfasst drei Ebenen:",[36,37,38,45,50],"ol",{},[39,40,41,44],"li",{},[19,42,43],{},"Authentifizierung"," – Wer Sie sind (behandelt im Abschnitt „Authentifizierung“)",[39,46,47,49],{},[19,48,21],{}," – Was Sie ändern DÜRFEN (freizügige Berechtigungen)",[39,51,52,54],{},[19,53,25],{}," – Was Sie NICHT sehen DÜRFEN (restriktive Filter)",[15,56,57],{},"Alle Einschränkungen werden auf dem Server durchgesetzt – nicht autorisierte Daten werden niemals an Ihren Browser gesendet, unabhängig davon, was Sie über die Benutzeroberfläche, die API oder Exporte versuchen.",[15,59,60],{},"Dieses Modell bietet enorme Flexibilität bei gleichzeitiger Wahrung der Sicherheit.",[28,62,64],{"id":63},"administratorrechte-erlaubnisbasiert","Administratorrechte (erlaubnisbasiert)",[15,66,67],{},"Administratorrechte gewähren die Erlaubnis, Informationen zu ändern oder den Status anzupassen. Ohne diese Rechte können Benutzer nur Daten anzeigen und ihr eigenes Profil bearbeiten.",[15,69,70],{},[19,71,72],{},"Gängige Administratorrechte:",[74,75,76,83,89,95,101,114,126,132,138],"ul",{},[39,77,78,82],{},[79,80,81],"code",{},"usersUpdate"," – Profile anderer Benutzer bearbeiten (Name, Titel, Abteilung – KEINE E-Mail/Passwort)",[39,84,85,88],{},[79,86,87],{},"usersLogout"," – Benutzer zwangsweise abmelden oder sperren",[39,90,91,94],{},[79,92,93],{},"usersDelete"," – Benutzerkonten löschen",[39,96,97,100],{},[79,98,99],{},"usersCreate"," – Neue Benutzer anlegen oder gelöschte Konten wiederherstellen",[39,102,103,106,107,106,110,113],{},[79,104,105],{},"pointsCreate",", ",[79,108,109],{},"pointsUpdate",[79,111,112],{},"pointsDelete"," – Punktmerkmale ändern",[39,115,116,106,119,106,122,125],{},[79,117,118],{},"workOrdersCreate",[79,120,121],{},"workOrdersUpdate",[79,123,124],{},"workOrdersDelete"," – Arbeitsaufträge verwalten",[39,127,128,131],{},[79,129,130],{},"assignmentsCreate"," - Arbeitsaufträge erstellen",[39,133,134,137],{},[79,135,136],{},"reportsCreate"," - Arbeitsberichte einreichen",[39,139,140,143],{},[79,141,142],{},"transactionsCreate"," - Bestandsbewegungen erstellen",[15,145,146],{},[19,147,148],{},"Super-Rechte (haben Vorrang vor allen anderen):",[74,150,151,157,163],{},[39,152,153,156],{},[79,154,155],{},"appSettingSchemasModify"," - Einstellungen auf Anwendungsebene ändern (Domänen, Zeitlimits, Sicherheit)",[39,158,159,162],{},[79,160,161],{},"adminRightsModify"," - Anderen Benutzern Administratorrechte gewähren",[39,164,165,168],{},[79,166,167],{},"viewDeleted"," - Gelöschte Datensätze anzeigen (fast universell, teilweise durch Rollenbeschränkungen außer Kraft gesetzt)",[15,170,171],{},[19,172,173],{},"Überprüfen der Administratorrechte eines Benutzers:",[36,175,176,179,182],{},[39,177,178],{},"Navigieren Sie zu Admin → Benutzer",[39,180,181],{},"Öffnen Sie das Benutzerprofil",[39,183,184],{},"Im Abschnitt „Administratorrechte“ werden alle gewährten Berechtigungen aufgelistet",[28,186,188],{"id":187},"rollenbeschränkungen-restriktiv","Rollenbeschränkungen (restriktiv)",[15,190,191,196],{},[192,193],"img",{"alt":194,"src":195},"Rollenliste","/guide/authorization/roles-list.png",[197,198,199],"em",{},"Rollenverwaltungsseite mit den konfigurierten Rollenbeschränkungen",[15,201,202],{},"Rollen sind Sammlungen von Einschränkungen, die das Anzeigen und Ändern von Datensätzen mit bestimmten Merkmalen verhindern. Die Zugehörigkeit zu einer Rolle wendet alle Einschränkungen auf diesen Benutzer an.",[15,204,205],{},[19,206,207],{},"Rollenkomponenten:",[74,209,210,216,226],{},[39,211,212,215],{},[19,213,214],{},"Mitglieder"," – Benutzer, für die diese Einschränkungen gelten",[39,217,218,221,222,225],{},[19,219,220],{},"Eigentümer"," – Benutzer, der die Mitgliedschaft verwaltet (oder Benutzer mit dem Administratorrecht ",[79,223,224],{},"rolesUpdate",")",[39,227,228,230],{},[19,229,25],{}," – Filter auf Feldebene, die bestimmte Daten ausblenden",[232,233,235],"h3",{"id":234},"struktur-der-rollenbeschränkungen","Struktur der Rollenbeschränkungen",[15,237,238,242],{},[192,239],{"alt":240,"src":241},"Rollendetails","/guide/authorization/role-detail.png",[197,243,244],{},"Seite mit Rollendetails, die die Konfiguration der Beschränkungen auf Feldebene zeigt",[15,246,247],{},"Jede Beschränkung definiert:",[74,249,250,256,262,268,274],{},[39,251,252,255],{},[19,253,254],{},"Modell"," – Welcher Datentyp (Punkte, Polygone, Zuordnungen usw.)",[39,257,258,261],{},[19,259,260],{},"Feld"," – Nach welcher Eigenschaft gefiltert werden soll (Eigentümer, Status, Kategorie, benutzerdefinierte Felder)",[39,263,264,267],{},[19,265,266],{},"Vergleich"," – Wie abgeglichen werden soll (=, !=, >, \u003C, enthält usw.)",[39,269,270,273],{},[19,271,272],{},"Filterwert"," – Welcher Wert abgeglichen werden soll",[39,275,276,279],{},[19,277,278],{},"Berechtigungen"," – Was gesperrt ist (Lesen, Bearbeiten, Erstellen, Löschen)",[232,281,283],{"id":282},"anwendungsbeispiel-trennung-von-auftragnehmern","Anwendungsbeispiel: Trennung von Auftragnehmern",[15,285,286,289],{},[19,287,288],{},"Szenario:"," Verhindern, dass Auftragnehmer A die Arbeit von Auftragnehmer B sieht",[15,291,292],{},[19,293,294],{},"Einrichtung:",[36,296,297,300,320],{},[39,298,299],{},"Rolle erstellen: „Auftragnehmer A“",[39,301,302,303],{},"Rollenbeschränkung hinzufügen:\n",[74,304,305,308,311,314,317],{},[39,306,307],{},"Modell: Punkt (Objekte)",[39,309,310],{},"Feld: Eigentümer",[39,312,313],{},"Vergleich: =",[39,315,316],{},"Filterwert: Auftragnehmer B",[39,318,319],{},"Berechtigungen: Lesen ✓, Bearbeiten ✓, Erstellen ✓, Löschen ✓ (alle „true“ = keine dieser Aktionen möglich)",[39,321,322],{},"Fügen Sie die Benutzer von Auftragnehmer A als Mitglieder hinzu",[15,324,325],{},[19,326,327],{},"Ergebnis:",[74,329,330,333,336,339],{},[39,331,332],{},"Mitglieder von Auftragnehmer A können keine Punkte sehen, bei denen Eigentümer = „Auftragnehmer B“ ist",[39,334,335],{},"Nicht nur in der Benutzeroberfläche ausgeblendet – die API gibt Daten so zurück, als ob die Datensätze nicht existieren",[39,337,338],{},"Kann nicht versehentlich über Screenshot, API-Aufruf oder Export eingesehen werden",[39,340,341],{},"Vollständig serverseitig durchgesetzt",[232,343,345],{"id":344},"weitere-anwendungsfälle","Weitere Anwendungsfälle",[15,347,348,351],{},[19,349,350],{},"Nach Arbeitsphase:","\nVerhindern, dass Außendienstmitarbeiter QC-Validierungsberichte sehen:",[353,354,359],"pre",{"className":355,"code":357,"language":358},[356],"language-text","Role: \"Field Workers\"\nRestriction:\n  Model: Validation\n  Field: status\n  Comparison: !=\n  Filter Value: \"\" (any value)\n  Permissions: Read ✓\n","text",[79,360,357],{"__ignoreMap":361},"",[15,363,364],{},"Außendienstmitarbeiter können Validierungen überhaupt nicht sehen.",[15,366,367,370],{},[19,368,369],{},"Nach Asset-Typ:","\nInfrastrukturteams trennen (Masten/Leerrohre vs. aktive Anlagen):",[353,372,375],{"className":373,"code":374,"language":358},[356],"Role: \"Civil Team\"\nRestriction:\n  Model: Point\n  Field: category\n  Comparison: =\n  Filter Value: \"Active Equipment\"\n  Permissions: Read ✓, Edit ✓, Create ✓, Delete ✓\n",[79,376,374],{"__ignoreMap":361},[15,378,379],{},"Das Bau-Team kann Punkte aktiver Anlagen weder sehen noch ändern.",[15,381,382,385],{},[19,383,384],{},"Nach physisch/logisch:","\nZugriff auf Bürodaten trennen (Kapazitätsbeziehungen vs. Bürostandorte):",[353,387,390],{"className":388,"code":389,"language":358},[356],"Role: \"Capacity Analysts\"\nRestriction:\n  Model: Point\n  Field: layer\n  Comparison: =\n  Filter Value: \"Office Locations\"\n  Permissions: Edit ✓, Create ✓, Delete ✓\n",[79,391,389],{"__ignoreMap":361},[15,393,394],{},"Analysten können Büros anzeigen, aber Standorte nicht ändern (schreibgeschützt).",[28,396,398],{"id":397},"kombination-von-administratorrechten-und-rollenbeschränkungen","Kombination von Administratorrechten und Rollenbeschränkungen",[15,400,401,404],{},[19,402,403],{},"Standardverhalten:","\nAlle Benutzer können alles sehen, aber nichts ändern (ohne Administratorrechte).",[15,406,407],{},[19,408,409],{},"Hinzufügen von Schreibzugriff mit Einschränkungen:",[15,411,412,415],{},[19,413,414],{},"Beispiel:"," Außendienstmitarbeiter können ihre eigene Arbeit bearbeiten, aber nicht die anderer",[353,417,420],{"className":418,"code":419,"language":358},[356],"Admin Rights:\n  - reportsCreate: true\n  - reportsUpdate: true\n\nRole Restrictions:\n  Model: Report\n  Field: reportedBy\n  Comparison: !=\n  Filter Value: [current user ID]\n  Permissions: Edit ✓\n",[79,421,419],{"__ignoreMap":361},[15,423,424],{},[19,425,327],{},[74,427,428,431,434],{},[39,429,430],{},"Mitarbeiter können Berichte erstellen (Administratorrechte gewährt)",[39,432,433],{},"Mitarbeiter können NUR ihre eigenen Berichte bearbeiten (Rollenbeschränkung filtert andere heraus)",[39,435,436],{},"Berichte anderer Mitarbeiter können weder eingesehen noch geändert werden",[28,438,440],{"id":439},"serverseitige-durchsetzung","Serverseitige Durchsetzung",[15,442,443],{},[19,444,445],{},"So funktioniert es:",[74,447,448,451,454,457],{},[39,449,450],{},"Alle Abfragen werden gefiltert, bevor Daten zurückgegeben werden",[39,452,453],{},"Rollenbeschränkungen werden auf dem Server angewendet (nicht nur Ausblenden in der Benutzeroberfläche)",[39,455,456],{},"Benutzer können die Einschränkungen nicht über direkte API-Aufrufe, Browser-Tools oder Exporte umgehen",[39,458,459],{},"Für nicht autorisierte Benutzer existieren die Daten tatsächlich nicht",[15,461,462],{},[19,463,464],{},"Sicherheitsimplikationen:",[74,466,467,470,473,476],{},[39,468,469],{},"Ein Screenshot des Bildschirms einer anderen Person hilft nicht weiter (die Daten werden für Sie nicht geladen)",[39,471,472],{},"Eingeschränkte Daten können nicht exportiert werden (der Server erzwingt die Filter)",[39,474,475],{},"Datensatz-IDs können nicht „erraten“ werden (vor der ID-Suche gefiltert)",[39,477,478],{},"Datensätze außerhalb Ihrer Berechtigungen werden als nicht gefunden zurückgegeben, selbst wenn Sie die ID kennen",[28,480,482],{"id":481},"rollen-verwalten","Rollen verwalten",[15,484,485],{},[19,486,487],{},"Rollen erstellen:",[36,489,490,493,496,499,502,505],{},[39,491,492],{},"Navigieren Sie zu Admin → Rollen",[39,494,495],{},"Klicken Sie auf „Rolle erstellen“",[39,497,498],{},"Geben Sie den Rollennamen und die Beschreibung ein",[39,500,501],{},"Fügen Sie Mitglieder hinzu (ziehen Sie Benutzer in das Mitgliederfeld)",[39,503,504],{},"Fügen Sie Rollenbeschränkungen hinzu (es können mehrere sein)",[39,506,507],{},"Speichern",[15,509,510],{},[19,511,512],{},"Rollen bearbeiten:",[74,514,515,521,524,527],{},[39,516,517,518,520],{},"Nur Rolleninhaber ODER Benutzer mit ",[79,519,224],{},"-Administratorrechten",[39,522,523],{},"Kann Mitglieder hinzufügen/entfernen",[39,525,526],{},"Kann Einschränkungen ändern",[39,528,529],{},"Kann Rolle löschen (befreit Mitglieder von Einschränkungen)",[15,531,532],{},[19,533,534],{},"Rollenmitgliedschaft:",[74,536,537,540,543],{},[39,538,539],{},"Benutzer können mehreren Rollen angehören (Einschränkungen werden kombiniert)",[39,541,542],{},"Austritt aus der Organisation: Vor dem Löschen des Kontos aus allen Rollen entfernen",[39,544,545],{},"Massenmitgliedschaft: Mehrere Benutzer gleichzeitig ziehen",[28,547,549],{"id":548},"anpassung-der-berechtigungen-für-neue-benutzer","Anpassung der Berechtigungen für neue Benutzer",[15,551,552],{},[19,553,554,555,557],{},"Konfiguration der App-Einstellungen (erfordert ",[79,556,155],{},"):",[36,559,560,563,566,569],{},[39,561,562],{},"Navigieren Sie zu App-Einstellungen → Authentifizierung",[39,564,565],{},"„Rollen für neue Benutzer“ – Rollen automatisch neuen Konten zuweisen",[39,567,568],{},"„Admin-Rechte für neue Benutzer“ – Standardberechtigungen erteilen",[39,570,507],{},[15,572,573],{},[19,574,575],{},"Typische Konfigurationen:",[15,577,578],{},[19,579,580],{},"Standardeinstellungen für Außendienstmitarbeiter:",[353,582,585],{"className":583,"code":584,"language":358},[356],"Roles: [\"Field Workers\"]\nAdmin Rights: {\n  reportsCreate: true,\n  assignmentsRead: true\n}\n",[79,586,584],{"__ignoreMap":361},[15,588,589],{},[19,590,591],{},"Standardeinstellungen für Bürokoordinatoren:",[353,593,596],{"className":594,"code":595,"language":358},[356],"Roles: []\nAdmin Rights: {\n  assignmentsCreate: true,\n  ordersCreate: true,\n  stockItemsView: true\n}\n",[79,597,595],{"__ignoreMap":361},[15,599,600],{},[19,601,602],{},"Keine automatische Vergabe (manuelle Überprüfung):",[353,604,607],{"className":605,"code":606,"language":358},[356],"Roles: []\nAdmin Rights: {} (none)\n",[79,608,606],{"__ignoreMap":361},[15,610,611],{},"Administratoren weisen die Berechtigungen nach Überprüfung des Kontos manuell zu.",[28,613,615],{"id":614},"aktive-berechtigungen-anzeigen","Aktive Berechtigungen anzeigen",[15,617,618],{},[19,619,620],{},"Für einen bestimmten Benutzer:",[36,622,623,626,629,632],{},[39,624,625],{},"Zum Benutzerprofil navigieren",[39,627,628],{},"Abschnitt „Admin-Rechte“ – Was der Benutzer tun DARF",[39,630,631],{},"Abschnitt „Rollen“ – Was der Benutzer NICHT sehen DARF (durch Einschränkungen)",[39,633,634],{},"Die kombinierte Ansicht zeigt die aktiven Berechtigungen an",[15,636,637],{},[19,638,639],{},"Berechtigungen testen:",[36,641,642,645,648,651],{},[39,643,644],{},"Als Benutzer anmelden (oder mit Admin-Rechten als dieser auftreten)",[39,646,647],{},"Navigieren Sie wie gewohnt",[39,649,650],{},"Eingeschränkte Daten werden einfach nicht angezeigt",[39,652,653],{},"Aktionen ohne Administratorrechte sind deaktiviert/ausgeblendet",[28,655,657],{"id":656},"bewährte-verfahren","Bewährte Verfahren",[15,659,660],{},[19,661,662],{},"Zunächst restriktiv vorgehen, bei Bedarf Rechte gewähren:",[74,664,665,668,671],{},[39,666,667],{},"Neue Benutzer erhalten minimale Berechtigungen",[39,669,670],{},"Fügen Sie Administratorrechte hinzu, je nach Anforderungen der Rolle",[39,672,673],{},"Es ist einfacher, Rechte zu gewähren als zu entziehen (vermeidet „Permission Creep“)",[15,675,676],{},[19,677,678],{},"Rollen für Datenzugriff nutzen:",[74,680,681,684,687],{},[39,682,683],{},"Auftragnehmer trennen (Verhinderung von Wettbewerbsausspähung)",[39,685,686],{},"Arbeitsphasen trennen (Qualitätskontrolle von Außendienstmitarbeitern)",[39,688,689],{},"Anlagentypen trennen (Infrastruktur von aktiven Anlagen)",[15,691,692],{},[19,693,694],{},"Admin-Rechte für Funktionen nutzen:",[74,696,697,700,703],{},[39,698,699],{},"Wer kann Aufträge erstellen?",[39,701,702],{},"Wer kann den Bestand ändern?",[39,704,705],{},"Wer kann Berechtigungen erteilen?",[15,707,708],{},[19,709,710],{},"Zweck der Rolle dokumentieren:",[74,712,713,716,719],{},[39,714,715],{},"Eindeutiger Rollenname („Auftragnehmer A“ ist besser als „Rolle 1“)",[39,717,718],{},"Beschreibung erläutert Einschränkungen",[39,720,721],{},"Hilft zukünftigen Administratoren, die Absicht zu verstehen",[15,723,724],{},[19,725,726],{},"Regelmäßige Berechtigungsprüfungen:",[74,728,729,732,735],{},[39,730,731],{},"Vierteljährliche Überprüfung der Administratorrechte von Benutzern",[39,733,734],{},"Entfernen nicht genutzter Rechte (Benutzer hat die Rolle gewechselt)",[39,736,737],{},"Überprüfen der Rollenmitgliedschaften (Benutzer hat die Organisation verlassen)",[15,739,740],{},[19,741,742],{},"Zugriffsversuche überwachen:",[74,744,745,748,751],{},[39,746,747],{},"Protokollierung fehlgeschlagener Autorisierungsversuche",[39,749,750],{},"Muster von Ablehnungen = Benutzer versucht unbefugten Zugriff",[39,752,753],{},"Untersuchung und Anpassung der Berechtigungen oder Unterweisung des Benutzers",[15,755,756],{},[19,757,758],{},"Prinzip der geringsten Privilegien:",[74,760,761,764,767],{},[39,762,763],{},"Erteilung der für die Aufgabenstellung erforderlichen Mindestberechtigungen",[39,765,766],{},"Vorübergehend erweiterte Zugriffsrechte für Projekte (anschließend entfernen)",[39,768,769,770,772],{},"Superrechte (",[79,771,161],{},") nur für vertrauenswürdige Administratoren",{"title":361,"searchDepth":774,"depth":774,"links":775},2,[776,777,778,784,785,786,787,788,789],{"id":30,"depth":774,"text":31},{"id":63,"depth":774,"text":64},{"id":187,"depth":774,"text":188,"children":779},[780,782,783],{"id":234,"depth":781,"text":235},3,{"id":282,"depth":781,"text":283},{"id":344,"depth":781,"text":345},{"id":397,"depth":774,"text":398},{"id":439,"depth":774,"text":440},{"id":481,"depth":774,"text":482},{"id":548,"depth":774,"text":549},{"id":614,"depth":774,"text":615},{"id":656,"depth":774,"text":657},"Legen Sie fest, was Benutzer tun und sehen dürfen. Aptli kombiniert weitreichende Administratorrechte (wer darf Daten anlegen, aktualisieren und löschen) mit restriktiven Rollenbeschränkungen (serverseitige Filter auf Feldebene, die Daten vollständig ausblenden).","md",{},true,"/de/user/authorization",{"title":5,"description":790},"de/user/authorization/index","uAMrvhOhxB1N3e7pquc7_Q0p5HJSBudO94ahxiYm4P4",1780539277853]