Das Berechtigungskonzept von Confluence ist in der Confluence Doku verteilt auf mehrere Seiten. Da wir in letzter Zeit immer wieder Antworten auf Berechtigungsfragen liefern mussten, habe ich eine Zusammenfassung geschrieben, die die wichtigsten Eckpunkte aufnimmt und Confluence Eigenheiten aufdeckt.
Los gehts
Confluence Berechtigungskonzept besteht aus drei verschiedenen Stufe. Diese sind Globale Berechtigung, Bereichsberechtigungen und Seitenberechtigungen.
Berechtigungsebenen
Globale Berechtigungen
Globale Berechtigung beziehen sich auf alle Seiten der Webanwendung und können nur von einem Administrator zugewiesen werden. Dabei unterscheidet Confluence nochmals zwischen zwei Ebenen - dem System Administrator und dem Confluence Administrator.
Liste der globalen Berechtigungen:
| globales Recht | Bedeutung |
|---|---|
| Can Use | Recht, die Anwendung zu benutzen (Abhängigkeit mit Lizenz, sofern Nutzerbegrenzung) |
| Attach File to User Profile | Recht, Dateien in das Profil hochzuladen (überflüssig, seit Einführung der persönlichen Bereiche |
| Personal Space | Recht, einen persönlichen Bereich anzulegen |
| Create Space | Recht, einen Bereich innerhalb von Confluence anzulegen (Beim Erstellen des Bereichs wird der Ersteller automatisch zum Bereichsadministrator.) |
| Confluence Administrator | siehe Confluence Administrator |
| System Administrator | siehe System Administrator |
System Administrator
Die Rolle des System Administrators ist die mächtigste, durch sie hat der Nutzer uneingeschränkte Befugnisse bei der Verwaltung von Confluence. (u.a. Zugriff auf die Administrationskonsole)
Confluence Administrator
Nutzer, die diese Rolle besitzen, haben die meisten Befugnisse, die auch der System Administrator hat, inne. Die wenigen, die er nicht hat werden in der folgenden Liste zusammengetragen.
| Administrationsmenü | Ausnahmen im Vergleich zum System-Admin |
|---|---|
| Allgemeine Konfiguration |
|
| Administration der täglichen Sicherung | Komplett deaktiviert |
| Plugins | Komplett deaktiviert |
| Plugin Repository | Komplett deaktiviert |
| Mailserver | Komplett deaktiviert |
| Benutzermakros | Komplett deaktiviert |
| Dateianhang-Speicherung | Komplett deaktiviert |
| Layouts | Komplett deaktiviert |
| Kundenspezifische HTML | Komplett deaktiviert |
| Sichern und Wiederherstellen | Komplett deaktiviert |
| SnipSnap Import | Komplett deaktiviert |
| Protokoll- und Profilerstellung | Komplett deaktiviert |
| Cluster Konfiguration (Confluence 3.0+) | Komplett deaktiviert |
Das Setzen des Confluence-Administrator oder des System-Administrator Rechts für einen Nutzer gibt den Nutzern nicht automatisch Zugriff auf alle Seiten und Bereiche, sondern erlaubt Zugriff auf die Administrator Konsole.
Bereichsberechtigung
Bereichsberechtigungen können nur durch einen Bereichsadministrator vergeben werden. Ein Nutzer ist ein Bereichsadministrator, wenn er für den Bereich das Recht "Admin" innehat.
Ein Bereichsadministrator hat alle Berechtigungen für den Bereich unabhängig, welche Einstellungen noch getroffen wurden.
Jeder Bereich besitzt seinen eigenen unabhängigen Rechtesatz. Dieser besteht aus den folgenden Rechten:
| Recht | Bedeutung für Nutzer eines Bereiches |
|---|---|
| Anzeigen | Anzeigen von Bereichsinhalten (Bereichsdetails, -seiten, News) |
| Seiten - Erstellen | Erstellen und Bearbeiten von Seiten |
| Seiten - Exportieren | Exportieren von Seiten |
| Seiten - Beschränken | Beschränken von Seiten |
| Seiten - Entfernen | Entfernen von Seiten |
| News - Ersellen | Erstellen von News |
| News - Entfernen | Entfernen von News |
| Kommentare - Erstellen | Erstellen von Kommentaren |
| Kommentare - Entfernen | Enfernen von Kommentaren |
| Anhänge - Erstellen | Hinzufügen von Anhängen |
| Anhänge - Entfernen | Entfernen von Anhängen |
| Mail - Entfernen | Entfernen individueller Mails |
| Bereich - Exportieren | Exportieren vom gesamten Bereich |
| Bereich - Admin | Administrieren des Bereiches (Bereichsadministrator) |
Wenn durch eine merkwürdige Konstellation kein einziger Nutzer das "Admin" Recht für einen bestimmten Bereich mehr besitzt, dann kann dieser Umstand nur durch einen Nutzer aus der confluence-administrators Gruppe behoben werden.
Seitenberechtigung
Um Seiten beschränken zu können, muss dem Nutzer das Recht "Seiten beschränken" über die Bereichsadministration zugeordnet sein.
Nutzer und Gruppen
Confluence besitzt von grundauf 2 Gruppen:
confluence-administrators
confluence-users
Zusätzlich unterscheidet Confluence noch nicht-eingeloggte Nutzer als Anonymous, im Rechtemanagement ist es möglich für diese spezielle Gruppe von Nutzern Rechte zu definieren.
confluence-administrators
User dieser Gruppe haben Zugriff auf die Administrator Console und können systemweit administrieren.
Mitglieder dieser Gruppe können auch alle Seiten und Bereiche der betroffenen Confluence Instanz einsehen. Allerdings keine Seiten, die durch Seitenzugriffsbeschränken die Ansicht für diese Gruppe verbieten. Mitglieder der confluence-administrators-Gruppe können allerdings über den Space-Adminbereich die Einschränkungen wieder entfernen.
Das Entfernen des Confluence-Administrator Rechts bei den Globalen Berechtigungen hat keine Auswirkungen auf die Rechte der confluence-administrators-Gruppe Sie hat weiterhin diese Rechte. Die Gruppe kann aber sehr wohl um das System-Administrator Recht erweitert werden.
Die Confluence Gruppe confluence-administrators ist rechte-technisch nicht dasselbe, wie einem Nutzer oder einer Gruppe, dass Confluence-Administrator Recht zu geben! Mitglieder der confluence-administrators Gruppe können sofort alle Seiten und Bereiche einsehen von denen sie nicht explizit ausgeschlossen wurden und können deren systemweit administrieren. Nutzer und Gruppen die lediglich über das Recht confluence-administrator verfügen, haben nur eine Teilmenge der Rechte der confluence-administrators Gruppe, also nur Zugriff auf Funktionen in der Administrator Konsole und keine weiteren Administrationsrechte z.B. in Spaces.
Berechtigungen im Einsatz
Überlappende Berechtigungen auf einer Ebene
Gehört ein Nutzer zu mehreren Gruppen oder/und hat zusätzlich Nutzerspezifische Rechte so addieren sich diese.
Sie sind quasi OR (additiv) verknüpft.
Ist ein Nutzer also Mitglied von 2 Gruppen (gruppe1 und gruppe2):
| Gruppe/Nutzer | Rechte |
|---|---|
| gruppe1 |
|
| gruppe2 |
|
| Nutzer |
|
| Nutzer in der gruppe1 und gruppe2 |
|
So besitzt der Nutzer alle 3 Rechte.
Bereichs- vs. Seitenberechtigungen
Mittels der Seitenberechtigung kann man die eingestellten Bereichsberechtigungen nochmals auf Seitenebene eingrenzen.
Beispiel: (zur Vereinfachung nur mit Gruppe. Gilt allerdings ebenso mit Nutzern)
Bereichsberechtigung für Bereich X:
| Gruppe | Recht |
|---|---|
| gruppe1 |
|
| gruppe2 |
|
Seitenberechtigung für Seite Y im Bereich X:
| Gruppe | Recht |
|---|---|
| gruppe2 |
|
Jeder Nutzer der gruppe2 kann auf die Seite Y im Bereich X zugreifen. Die gruppe1 hat keine Möglichkeit den Inhalt der Seite angezeigt zu bekommen.
Die Seitenberechtigung kann nur eingrenzender wirken. Durch sie ist es nicht möglich einem Nutzer/einer Gruppe mehr Rechte zu geben, als er/sie bereits durch die Bereichsberechtigungskonfiguration hat.
Rechtevererbung von Seiten
Die Berechtigungen für Seiten vererben sich auf deren Unterseiten, d.h. dass die Rechte auf den Unterseiten nur weiter eingeschränkt werden können.
#Communardo: Berechtigungskonzept in Confluence 2.10 http://bit.ly/bCQjTy #confluence
This comment was originally posted on Twitter