Berechtigungskonzept in Confluence 2.10

Andreas Reif (1 Kommentar ») am 11.02.2010

Confluence, permission

Das Berechtigungskonzept von Confluence ist in der Confluence Doku verteilt auf mehrere Seiten. Da wir in letzter Zeit immer wieder Antworten auf Berechtigungsfragen liefern mussten, habe ich eine Zusammenfassung geschrieben, die die wichtigsten Eckpunkte aufnimmt und Confluence Eigenheiten aufdeckt.

Los gehts

Confluence Berechtigungskonzept besteht aus drei verschiedenen Stufe. Diese sind Globale Berechtigung, Bereichsberechtigungen und Seitenberechtigungen.

Referenz Link
http://confluence.atlassian.com/display/CONF210/Security+Overview

Berechtigungsebenen

Globale Berechtigungen

Globale Berechtigung beziehen sich auf alle Seiten der Webanwendung und können nur von einem Administrator zugewiesen werden. Dabei unterscheidet Confluence nochmals zwischen zwei Ebenen – dem System Administrator und dem Confluence Administrator.

Liste der globalen Berechtigungen:

globales Recht	Bedeutung
Can Use	Recht, die Anwendung zu benutzen (Abhängigkeit mit Lizenz, sofern Nutzerbegrenzung)
Attach File to User Profile	Recht, Dateien in das Profil hochzuladen (überflüssig, seit Einführung der persönlichen Bereiche
Personal Space	Recht, einen persönlichen Bereich anzulegen
Create Space	Recht, einen Bereich innerhalb von Confluence anzulegen (Beim Erstellen des Bereichs wird der Ersteller automatisch zum Bereichsadministrator.)
Confluence Administrator	siehe Confluence Administrator
System Administrator	siehe System Administrator

Referenz Link
http://confluence.atlassian.com/display/CONF210/Global+Permissions+Overview

System Administrator

Die Rolle des System Administrators ist die mächtigste, durch sie hat der Nutzer uneingeschränkte Befugnisse bei der Verwaltung von Confluence. (u.a. Zugriff auf die Administrationskonsole)

Confluence Administrator

Nutzer, die diese Rolle besitzen, haben die meisten Befugnisse, die auch der System Administrator hat, inne. Die wenigen, die er nicht hat werden in der folgenden Liste zusammengetragen.

Administrationsmenü	Ausnahmen im Vergleich zum System-Admin
Allgemeine Konfiguration	Einstellen der Server Basis URL Einstellen des Remote API Plugins Einstellen des Externen Benutzermanagements Einstellen der öffentichen Registrierung
Administration der täglichen Sicherung	Komplett deaktiviert
Plugins	Komplett deaktiviert
Plugin Repository	Komplett deaktiviert
Mailserver	Komplett deaktiviert
Benutzermakros	Komplett deaktiviert
Dateianhang-Speicherung	Komplett deaktiviert
Layouts	Komplett deaktiviert
Kundenspezifische HTML	Komplett deaktiviert
Sichern und Wiederherstellen	Komplett deaktiviert
SnipSnap Import	Komplett deaktiviert
Protokoll- und Profilerstellung	Komplett deaktiviert
Cluster Konfiguration (Confluence 3.0+)	Komplett deaktiviert

Das Setzen des Confluence-Administrator oder des System-Administrator Rechts für einen Nutzer gibt den Nutzern nicht automatisch Zugriff auf alle Seiten und Bereiche, sondern erlaubt Zugriff auf die Administrator Konsole.

Bereichsberechtigung

Bereichsberechtigungen können nur durch einen Bereichsadministrator vergeben werden. Ein Nutzer ist ein Bereichsadministrator, wenn er für den Bereich das Recht “Admin” innehat.

Wichtig!
Ein Bereichsadministrator hat alle Berechtigungen für den Bereich unabhängig, welche Einstellungen noch getroffen wurden.

Jeder Bereich besitzt seinen eigenen unabhängigen Rechtesatz. Dieser besteht aus den folgenden Rechten:

Recht	Bedeutung für Nutzer eines Bereiches
Anzeigen	Anzeigen von Bereichsinhalten (Bereichsdetails, -seiten, News)
Seiten – Erstellen	Erstellen und Bearbeiten von Seiten
Seiten – Exportieren	Exportieren von Seiten
Seiten – Beschränken	Beschränken von Seiten
Seiten – Entfernen	Entfernen von Seiten
News – Ersellen	Erstellen von News
News – Entfernen	Entfernen von News
Kommentare – Erstellen	Erstellen von Kommentaren
Kommentare – Entfernen	Enfernen von Kommentaren
Anhänge – Erstellen	Hinzufügen von Anhängen
Anhänge – Entfernen	Entfernen von Anhängen
Mail – Entfernen	Entfernen individueller Mails
Bereich – Exportieren	Exportieren vom gesamten Bereich
Bereich – Admin	Administrieren des Bereiches (Bereichsadministrator)

Achtung!
Wenn durch eine merkwürdige Konstellation kein einziger Nutzer das “Admin” Recht für einen bestimmten Bereich mehr besitzt, dann kann dieser Umstand nur durch einen Nutzer aus der confluence-administrators Gruppe behoben werden.

Referenz Link
http://confluence.atlassian.com/display/CONF210/Space+Permissions+Overview

Seitenberechtigung

Um Seiten beschränken zu können, muss dem Nutzer das Recht “Seiten beschränken” über die Bereichsadministration zugeordnet sein.

Referenz Link
http://confluence.atlassian.com/display/CONF210/Page+Restrictions

Nutzer und Gruppen

Confluence besitzt von grundauf 2 Gruppen:
confluence-administrators
confluence-users

Zusätzlich unterscheidet Confluence noch nicht-eingeloggte Nutzer als Anonymous, im Rechtemanagement ist es möglich für diese spezielle Gruppe von Nutzern Rechte zu definieren.

confluence-administrators

User dieser Gruppe haben Zugriff auf die Administrator Console und können systemweit administrieren.
Mitglieder dieser Gruppe können auch alle Seiten und Bereiche der betroffenen Confluence Instanz einsehen. Allerdings keine Seiten, die durch Seitenzugriffsbeschränken die Ansicht für diese Gruppe verbieten. Mitglieder der confluence-administrators-Gruppe können allerdings über den Space-Adminbereich die Einschränkungen wieder entfernen.

Wichtig!
Das Entfernen des Confluence-Administrator Rechts bei den Globalen Berechtigungen hat keine Auswirkungen auf die Rechte der confluence-administrators-Gruppe Sie hat weiterhin diese Rechte. Die Gruppe kann aber sehr wohl um das System-Administrator Recht erweitert werden.

Wichtig!
Die Confluence Gruppe confluence-administrators ist rechte-technisch nicht dasselbe, wie einem Nutzer oder einer Gruppe, dass Confluence-Administrator Recht zu geben! Mitglieder der confluence-administrators Gruppe können sofort alle Seiten und Bereiche einsehen von denen sie nicht explizit ausgeschlossen wurden und können deren systemweit administrieren. Nutzer und Gruppen die lediglich über das Recht confluence-administrator verfügen, haben nur eine Teilmenge der Rechte der confluence-administrators Gruppe, also nur Zugriff auf Funktionen in der Administrator Konsole und keine weiteren Administrationsrechte z.B. in Spaces.

Referenz Link
http://confluence.atlassian.com/display/CONF210/Global+Permissions+Overview#GlobalPermissionsOverview-ComparingtheAdministratorPermissionswiththeconfluenceadministratorsGroup

Berechtigungen im Einsatz

Überlappende Berechtigungen auf einer Ebene

Gehört ein Nutzer zu mehreren Gruppen oder/und hat zusätzlich Nutzerspezifische Rechte so addieren sich diese.
Sie sind quasi OR (additiv) verknüpft.

Ist ein Nutzer also Mitglied von 2 Gruppen (gruppe1 und gruppe2):

Gruppe/Nutzer	Rechte
gruppe1	anzeigen Bereich exportieren
gruppe2	anzeigen Seite erstellen
Nutzer	anzeigen Seite exportieren
Nutzer in der gruppe1 und gruppe2	anzeigen Seite erstellen Seite exportieren Bereich exportieren

So besitzt der Nutzer alle 3 Rechte.

Bereichs- vs. Seitenberechtigungen

Mittels der Seitenberechtigung kann man die eingestellten Bereichsberechtigungen nochmals auf Seitenebene eingrenzen.

Beispiel: (zur Vereinfachung nur mit Gruppe. Gilt allerdings ebenso mit Nutzern)

Bereichsberechtigung für Bereich X:

Gruppe	Recht
gruppe1	Anzeigen Seite erstellen Seite beschränken
gruppe2	Anzeigen

Seitenberechtigung für Seite Y im Bereich X:

Gruppe	Recht
gruppe2	Anzeigen

Jeder Nutzer der gruppe2 kann auf die Seite Y im Bereich X zugreifen. Die gruppe1 hat keine Möglichkeit den Inhalt der Seite angezeigt zu bekommen.

Achtung!
Die Seitenberechtigung kann nur eingrenzender wirken. Durch sie ist es nicht möglich einem Nutzer/einer Gruppe mehr Rechte zu geben, als er/sie bereits durch die Bereichsberechtigungskonfiguration hat.

Rechtevererbung von Seiten

Achtung!
Die Berechtigungen für Seiten vererben sich auf deren Unterseiten, d.h. dass die Rechte auf den Unterseiten nur weiter eingeschränkt werden können.

Kommentar Feed Trackback URL

Eine Antwort zu:
“Berechtigungskonzept in Confluence 2.10”

confluencefan sagt:

#Communardo: Berechtigungskonzept in Confluence 2.10 http://bit.ly/bCQjTy #confluence
This comment was originally posted on Twitter

11.02.2010, 15:34

Hinterlassen Sie einen Kommentar

Name (erforderlich)

Mail (wird nicht mit angezeigt) (erforderlich)

Website

CAPTCHA Code

Kommentar hinterlassen

Unsere Themen

Confluence (52)
CoreMedia (3)
Microsoft Sharepoint (124)
Microsoft-Project-Server (6)
Project-Management (4)
Softwareentwicklung (100)
- .NET (33)
- Datenbanken (17)
- JEE (52)
- Softwaretest (3)
Systemadministration (16)
Unsortiert (2)

Kommentare

Niels Jaeckel: Hallo Ralf, wir haben heute das Benno auf die Version 1.1.3 aktualisiert. Dort funktioniert die...
Patrick: Super und Vielen Dank für diesen Artikel!! War genau das, was ich gesucht habe und hat mir sehr geholfen
hanjo: whileprintingrecords; {Gruppierfeld}=Previous({Grupp ierfeld}) Gruppierfeld natürlich. Bug im Editor, hat die...
hanjo: Bedingte Unterdrückung Detailbereich wie beschrieben. Bedingte Unterdrückung Gruppenkopf 1b:...
Niels Jaeckel: Hallo Ralf, wir haben es noch nicht mit dieser Benno-Version getestet. Allerdings steht das Update auf...