Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden

Berechtigungskonzept in Confluence 2.10

Das Berechtigungskonzept von Confluence ist in der Confluence Doku ver­teilt auf meh­rere Seiten. Da wir in letz­ter Zeit immer wie­der Antworten auf Berechtigungsfragen lie­fern muss­ten, habe ich eine Zusammenfassung geschrie­ben, die die wich­tigs­ten Eckpunkte auf­nimmt und Confluence Eigenheiten aufdeckt. 

Los gehts

Confluence Berechtigungskonzept besteht aus drei ver­schie­de­nen Stufe. Diese sind Globale Berechtigung, Bereichsberechtigungen und Seitenberechtigungen

Berechtigungsebenen

Globale Berechtigungen


Globale Berechtigung bezie­hen sich auf alle Seiten der Webanwendung und kön­nen nur von einem Administrator zuge­wie­sen wer­den. Dabei unter­schei­det Confluence noch­mals zwi­schen zwei Ebenen – dem System Administrator und dem Confluence Administrator

Liste der glo­ba­len Berechtigungen:

glo­ba­les Recht Bedeutung
Can Use Recht, die Anwendung zu benut­zen (Abhängigkeit mit Lizenz, sofern Nutzerbegrenzung)
Attach File to User Profile Recht, Dateien in das Profil hoch­zu­la­den (über­flüs­sig, seit Einführung der per­sön­li­chen Bereiche
Personal Space Recht, einen per­sön­li­chen Bereich anzulegen
Create Space Recht, einen Bereich inner­halb von Confluence anzu­le­gen (Beim Erstellen des Bereichs wird der Ersteller auto­ma­tisch zum Bereichsadministrator.)
Confluence Administrator siehe Confluence Administrator
System Administrator siehe System  Administrator

System Administrator

Die Rolle des System Administrators ist die mäch­tigste, durch sie hat der Nutzer unein­ge­schränkte Befugnisse bei der Verwaltung von Confluence. (u.a. Zugriff auf die Administrationskonsole) 

Confluence Administrator

Nutzer, die diese Rolle besit­zen, haben die meis­ten Befugnisse, die auch der System  Administrator hat, inne. Die weni­gen, die er nicht hat wer­den in der fol­gen­den Liste zusammengetragen.

Administrationsmenü Ausnahmen im Vergleich zum System-Admin
Allgemeine Konfiguration
  • Einstellen der Server Basis URL
  • Einstellen des Remote API Plugins
  • Einstellen des Externen Benutzermanagements
  • Einstellen der öffen­ti­chen Registrierung
Administration der täg­li­chen Sicherung Komplett deak­ti­viert
Plugins Komplett deak­ti­viert
Plugin Repository Komplett deak­ti­viert
Mailserver Komplett deak­ti­viert
Benutzermakros Komplett deak­ti­viert
Dateianhang-Speicherung Komplett deak­ti­viert
Layouts Komplett deak­ti­viert
Kundenspezifische HTML Komplett deak­ti­viert
Sichern und Wiederherstellen Komplett deak­ti­viert
SnipSnap Import Komplett deak­ti­viert
Protokoll- und Profilerstellung Komplett deak­ti­viert
Cluster Konfiguration (Confluence 3.0+) Komplett deak­ti­viert

Das Setzen des Confluence-Administrator oder des System-Administrator Rechts für einen Nutzer gibt den Nutzern nicht auto­ma­tisch Zugriff auf alle Seiten und Bereiche, son­dern erlaubt Zugriff auf die Administrator Konsole. 

Bereichsberechtigung

Bereichsberechtigungen kön­nen nur durch einen Bereichsadministrator ver­ge­ben wer­den. Ein Nutzer ist ein Bereichsadministrator, wenn er für den Bereich das Recht "Admin" innehat. 

Wichtig!
Ein Bereichsadministrator hat alle Berechtigungen für den Bereich unab­hän­gig, wel­che Einstellungen noch getrof­fen wurden.

Jeder Bereich besitzt sei­nen eige­nen unab­hän­gi­gen Rechtesatz. Dieser besteht aus den fol­gen­den Rechten:

Recht Bedeutung für Nutzer eines Bereiches
Anzeigen Anzeigen von Bereichsinhalten (Bereichsdetails, ‑sei­ten, News)
Seiten – Erstellen Erstellen und Bearbeiten von Seiten
Seiten – Exportieren Exportieren von Seiten
Seiten – Beschränken Beschränken von Seiten
Seiten – Entfernen Entfernen von Seiten
News – Ersellen Erstellen von News
News – Entfernen Entfernen von News
Kommentare – Erstellen Erstellen von Kommentaren
Kommentare – Entfernen Enfernen von Kommentaren
Anhänge – Erstellen Hinzufügen von Anhängen
Anhänge – Entfernen Entfernen von Anhängen
Mail – Entfernen Entfernen indi­vi­du­el­ler Mails
Bereich – Exportieren Exportieren vom gesam­ten Bereich
Bereich – Admin Administrieren des Bereiches (Bereichsadministrator)
Achtung!
Wenn durch eine merk­wür­dige Konstellation kein ein­zi­ger Nutzer das "Admin" Recht für einen bestimm­ten Bereich mehr besitzt, dann kann die­ser Umstand nur durch einen Nutzer aus der confluence-administrators Gruppe beho­ben werden.

Seitenberechtigung

Um Seiten beschrän­ken zu kön­nen, muss dem Nutzer das Recht "Seiten beschrän­ken" über die Bereichsadministration zuge­ord­net sein. 

Nutzer und Gruppen


Confluence besitzt von grund­auf 2 Gruppen:
confluence-administrators
confluence-users

Zusätzlich unter­schei­det Confluence noch nicht-eingeloggte Nutzer als Anonymous, im Rechtemanagement ist es mög­lich für diese spe­zi­elle Gruppe von Nutzern Rechte zu definieren. 

confluence-administrators

User die­ser Gruppe haben Zugriff auf die Administrator Console und kön­nen sys­tem­weit administrieren.
Mitglieder die­ser Gruppe kön­nen auch alle Seiten und Bereiche der betrof­fe­nen Confluence Instanz ein­se­hen. Allerdings  keine Seiten, die durch Seitenzugriffsbeschränken die Ansicht für diese Gruppe ver­bie­ten. Mitglieder der confluence-administrators-Gruppe kön­nen aller­dings über den Space-Adminbereich die Einschränkungen wie­der entfernen. 

Wichtig!
Das Entfernen des Confluence-Administrator Rechts bei den Globalen Berechtigungen hat keine Auswirkungen auf die Rechte der confluence-administrators-Gruppe Sie hat wei­ter­hin diese Rechte. Die Gruppe kann aber sehr wohl um das System-Administrator Recht erwei­tert werden.
Wichtig!
Die Confluence Gruppe confluence-administrators ist rechte-technisch nicht das­selbe, wie einem Nutzer oder einer Gruppe, dass Confluence-Administrator Recht zu geben! Mitglieder der confluence-administrators Gruppe kön­nen sofort alle Seiten und Bereiche ein­se­hen von denen sie nicht expli­zit aus­ge­schlos­sen wur­den und kön­nen deren sys­tem­weit admi­nis­trie­ren. Nutzer und Gruppen die ledig­lich über das Recht confluence-administrator ver­fü­gen, haben nur eine Teilmenge der Rechte der confluence-administrators Gruppe, also nur Zugriff auf Funktionen in der Administrator Konsole und keine wei­te­ren Administrationsrechte z.B. in Spaces.

Berechtigungen im Einsatz


Überlappende Berechtigungen auf einer Ebene

Gehört ein Nutzer zu meh­re­ren Gruppen oder/und hat zusätz­lich Nutzerspezifische Rechte so addie­ren sich diese.
Sie sind quasi OR (addi­tiv) verknüpft.

Ist ein Nutzer also Mitglied von 2 Gruppen (gruppe1 und gruppe2):

Gruppe/Nutzer Rechte
gruppe1
  • anzei­gen
  • Bereich expor­tie­ren
gruppe2
  • anzei­gen
  • Seite erstel­len
Nutzer
  • anzei­gen
  • Seite expor­tie­ren
Nutzer in der gruppe1 und gruppe2
  • anzei­gen
  • Seite erstel­len
  • Seite expor­tie­ren
  • Bereich expor­tie­ren

So besitzt der Nutzer alle 3 Rechte. 

Bereichs- vs. Seitenberechtigungen

Mittels der Seitenberechtigung kann man die ein­ge­stell­ten Bereichsberechtigungen noch­mals auf Seitenebene eingrenzen. 

Beispiel: (zur Vereinfachung nur mit Gruppe. Gilt aller­dings ebenso mit Nutzern) 

Bereichsberechtigung für Bereich X:

Gruppe Recht
gruppe1
  • Anzeigen
  • Seite erstel­len
  • Seite beschrän­ken
gruppe2
  • Anzeigen

Seitenberechtigung für Seite Y im Bereich X:

 

Gruppe Recht
gruppe2
  • Anzeigen

Jeder Nutzer der gruppe2 kann auf die Seite Y im Bereich X zugrei­fen. Die gruppe1 hat keine Möglichkeit den Inhalt der Seite ange­zeigt zu bekommen. 

Achtung!
Die Seitenberechtigung kann nur ein­gren­zen­der wir­ken. Durch sie ist es nicht mög­lich einem Nutzer/einer Gruppe mehr Rechte zu geben, als er/sie bereits durch die Bereichsberechtigungskonfiguration hat. 

Rechtevererbung von Seiten

Achtung!
Die Berechtigungen für Seiten ver­er­ben sich auf deren Unterseiten, d.h. dass die Rechte auf den Unterseiten nur wei­ter ein­ge­schränkt wer­den können. 

Related Posts

1 Kommentar

#Communardo: Berechtigungskonzept in Confluence 2.10 http://bit.ly/bCQjTy #con­flu­ence
This com­ment was ori­gi­nally pos­ted on Twitter

Comments are closed.

Pin It on Pinterest