Rechteabgleich mit ELO

Rechteübertragung von InfoAgent nach ELO
Beschreibung:	Beispielumsetzung einer Rechtestruktur
Lizenz:	Bestandteil der InfoAgent-Standardversion

Inhaltsverzeichnis

1 Grundlegendes
2 Einrichtung anhand eines Beispiels
- 2.1 Prüfen der Rechtestruktur in InfoAgent
- 2.2 Die Beispielgruppen und Beispielmitarbeiter in InfoAgent
3 Einrichten der Rechte in ELO
- 3.1 Gruppen und Schlüssel in ELO
- 3.2 Anlegen der Mitarbeiter in ELO
4 Der Assistent zur Rechtekonfiguration

Grundlegendes

Funktion des Moduls

Bei der Rechteübertragung von InfoAgent nach ELO werden die Mitarbeiterrechte von Kunden und Verträgen auf die Kunden- und Vertragsordner in ELO übertragen.

Hinweis: Die Rechteübertragung ist keine Synchronisation wie z. B. die Outlook-Synchronisation, da hier nur einseitig Rechte von InfoAgent auf ELO übertragen werden. Änderungen in ELO werden aus prinzipiellen Gründen nicht nach InfoAgent übertragen.

Aktivieren des Moduls

Führen Sie bitte vor dem Rechteabgleich ein Backup von InfoAgent und ELO aus!
Um sich in die Problematik der Rechteabhängigkeiten einzuarbeiten, empfiehlt es sich die untenstehenden Arbeitsschritte mit einer Testdatenbank in InfoAgent und ELO durchzuspielen!

Zum Aktivieren des Moduls rufen Sie das Formular mittels
Menü Einstellungen -> Konfiguration -> Datenbankweite Konfiguration -> ELO -Konfiguration -> Rechteverwaltung auf.
Das Modul kennt drei Zustände:

deaktiviert: es werden in ELO keine Rechteeintragungen vorgenommen.
aktiviert: es werden in ELO Rechte eingetragen
Einrichtungsphase: um in ELO Rechte eintragen zu können, müssen noch Zuordnungen konfiguriert werden. Das Modul springt automatisch in die Einrichtungsphase zurück, wenn es feststellt, dass die Rechte in ELO nicht mehr mit den InfoAgent-Rechten synchron sind.

Deaktivieren des Moduls

Das Deaktivieren erfolgt über denselben Aufruf wie die Aktivierung.

Wird die Rechteverwaltung deaktiviert, hat dies zur Folge, dass bei nachfolgenden Schreiboperationen in ELO keine Rechteeintragungen mehr durchgeführt werden. (Zur Erinnerung: keinen Mitarbeiter/Schlüssel zu einem Schrank in ELO einzutragen interpretiert ELO als freien Zugang für alle). Zum Entfernen aller bisher durchgeführten Rechteeintragungen empfiehlt sich die Rechterücksetzung des ELO-Kundenordners incl. Vererbung.

Aufrufen des Moduls

Ist das Modul aktiviert und korrekt eingerichtet (Status aktiviert), dann führt es die Rechtesetzung typischerweise im Hintergrund aus:

beim Anlegen eines Kunden
beim Anlegen eines Vertrages
beim Ändern des Vertragsbetreuers
beim Ändern des Kundenbetreuers (Betreuerwechsel)
beim Ändern des Sachbearbeiters bei Kunden bzw. Verträgen

Werden Mitarbeiterrechte in ELO geändert oder befindet man sich in der Ersteinrichtungsphase, ist jedoch ein Massenabgleich notwendig. In diesen Fällen kann das Modul noch an folgenden drei Stellen aufgerufen werden:

Menü Einstellungen -> Ablagestruktur festlegen -> ELO Rechteabgleich oder:
Menü Einstellungen -> ELO Pfade prüfen -> Menü Rechteverwaltung -> ELO Rechteabgleich oder:
Mitarbeiterverwaltung -> Register Sicherheit-> ELO Rechteabgleich

Einrichtung anhand eines Beispiels

Die folgende Beispielumsetzung deckt einen sehr konstruierten Fall ab, der einzig der Demonstration der verschiedenen Aspekte des Mappings dient. Die folgende Anleitung wurde für ELO Office 7.0 geschrieben, gilt aber entsprechend auch für ELO Office 6.0, ELO Professional 5.0 und ELO Professional 6.0 (in wesentlichen Punkten getestet)

Prüfen der Rechtestruktur in InfoAgent

Im Vorfeld ist sicherzustellen, ob die aktuelle Gruppenstruktur stimmig ist, da ein nachträgliches Hinzufügen/Löschen von Gruppen typischerweise ein Neuzuordnen der Rechte vieler Kunden beinhaltet und somit ein neues Prüfen notwendig macht. Die Gruppenstruktur in InfoAgent ist Grundlage für die Rechtestruktur in ELO und sollte daher als erstes auf Stimmigkeit geprüft werden. Besonders ist hierbei auf die Hauptgruppe des Mitarbeiters zu achten, da dieses die Gruppe ist, welche den Kundenordnern zugeordnet wird, für die der Mitarbeiter Betreuer ist. Der Sachbearbeiter des Kunden erhält auch Zugang zum Kundenordner in ELO, jedoch nur, wenn in ELO ein entsprechender Anwender existiert.

Die Beispielgruppen und Beispielmitarbeiter in InfoAgent

Die vier Gruppen

Die 4 Gruppen

Standard-Gruppe
Blau
Rot
Grün

Blau, Rot und Grün sind davon als Untergruppen der Standard-Gruppe konfiguriert.

Die 7 Bespiel-Mitarbeiter

Mitarbeiter 1 heißt Administrator, Rechte = alle, incl. Hauptadministrator, Mitglied der Gruppe Standard-Gruppe (dies ist auch seine Hauptgruppe) und damit auch implizit Mitglied der Gruppen rot, grün und blau.

Mitarbeiter 2 heißt Usr_RotMin, Rechte = minimal bis auf eigene lesen, Mitglied der Gruppe Rot. Dies ist auch seine Hauptgruppe.

Mitarbeiter 3 heißt Usr_GrünMax, Rechte = lesen und schreiben für sich und seine Gruppe, Mitglied der Gruppe Grün. Hauptgruppe ist Grün.

Mitarbeiter 4 heißt Usr_GrünRO, Rechte = lesen für sich und seine Gruppe, Mitglied der Gruppe Grün. Hauptgruppe ist Grün.

Mitarbeiter 5 heißt Usr_BlauRotMax, Rechte = lesen und schreiben für sich und seine Gruppen, Mitglied der Gruppen Rot und Blau. Hauptgruppe ist Blau.

Mitarbeiter 6 heißt Usr_Rot2, Rechte = lesen und schreiben für sich, Mitglied der Gruppe Rot, Login ist deaktiviert. Hauptgruppe ist Rot.

Mitarbeiter 7 heißt Usr_Rot3, Rechte = lesen und schreiben für sich, Mitglied der Gruppe Rot, Login ist deaktiviert. Hauptgruppe ist Rot.

Nicht vergessen: Alle Mitarbeiter, die ein Login in InfoAgent besitzen, müssen auch ein gleichlautendes Login in ELO besitzen!

Die letzten beiden Mitarbeiter stehen stellvertretend für eine große Gruppe von Mitarbeitern ohne InfoAgent (bzw. ELO-) Zugang. Solche Mitarbeitergruppen tauchen in einigen Firmen auf und sollen auch unterstützt werden.

Einrichten der Rechte in ELO

Gruppen und Schlüssel in ELO

Den Gruppen in InfoAgent entsprechen am ehesten die Schlüssel in ELO. Da zusätzlich Gruppen nur in den ELO Professional-Versionen und nicht in ELO Office existieren, wurde auf den Einsatz von Gruppen in ELO verzichtet. Es sind 4 Schlüssel in ELO zu erstellen:

Standard-Gruppe
Blau
Rot
Grün

Anlegen der Mitarbeiter in ELO

Die Namen der Logins in ELO müssen die gleichen wie in InfoAgent sein. Da die Rechte zum Teil erheblich abweichen, könnte nur in wenigen Fällen eine automatische Zuordnung erfolgen. Hier gelangt man mit der „Rechte-wie“- Methode aus ELO effektiver ans Ziel.

Folgende Rechte lassen sich einstellen (hier sind nur die Elo-Office Rechte genannt)

Hauptadministrator: Dieses Recht sollte dem Systemadministrator vorbehalten sein. Mit diesem Recht lassen sich Rechte und Schlüsselzuteilungen aller Anwender verändern, neue Anwender anlegen und bestehende Anwender entfernen.
Stammdaten bearbeiten: Der Anwender darf alle notwendigen Pflegemaßnahmen am Archiv vornehmen (z. B. Schlüsselverwaltung, Ablagemasken erstellen).
Archive bearbeiten: Diese Option erlaubt es dem Anwender die Aktenstruktur (Schränke, Ordner oder Register) zu bearbeiten oder neu anzulegen.
Dokumente bearbeiten: Der Anwender kann Dokumente bearbeiten oder neu anlegen.
Passwort ändern: Der Anwender ist berechtigt, sein eigenes Passwort zu verändern. Hierfür steht ihm im Menü Systemverwaltung der Punkt Passwort zur Verfügung.
Revisionslevel ändern: Der Anwender darf den Revisionslevel von Objekten (Frei, Versionsverwaltet, Revisionssicher) ändern.
Anwenderdaten bearbeiten: Diese Option berechtigt den Anwender dazu, selbst Anwender anzulegen und zu verwalten. Aber nur mit den gleichen (oder weniger) Rechten, die er selbst besitzt.
Dokumente löschen: Der Anwender darf Dokumente löschen.
Aktenstrukturelemente löschen: Der Anwender darf Strukturelemente (Schrank, Ordner, Register) löschen.
Importberechtigung: Sie können einen Exportdatensatz in das Archiv importieren.
Exportberechtigung: Der Anwender ist berechtigt einen Exportdatensatz zu erstellen.
Ablagemasken bearbeiten: Der Anwender darf Ablagemasken verändern und editieren.
Scripte bearbeiten: Sie können Skripte erstellen, editieren und verändern.
Verfallsdatum bearbeiten: Das Verfallsdatum von Dokumenten darf bearbeitet werden.
Stichwortlisten bearbeiten: Der Anwender kann die Stichwortlisten bearbeiten.
Revisionssichere Dokumente löschen: Achtung, mit diesem Recht kann der Anwender revisionssicher abgelegte Dokumente löschen.
Berechtigungseinstellungen verändern: Der Anwender kann die Objektberechtigungen im Archiv ändern.
Alle Einträge sehen, Berechtigungseinstellungen missachten: Dieses Recht beinhaltet, dass alle Dokumente und Strukturelemente angezeigt werden, auch wenn Sie für den jeweiligen Anwender eigentlich verschlossen sind.
Scannereinstellungen und Profile verändern: Die Aktivierung dieser Funktion berechtigt den Anwender, unter Systemverwaltung, Optionen die Einstellungen auf den Registerkarten Scan Parameter und Scan Profile zu verändern.
Maskentyp nachträglich verändern: Der Anwender kann einem bereits verschlagworteten Dokument nachträglich eine andere Ablagemaske zuweisen. Beachten Sie, dass Verschlagwortungsinformationen dabei verloren gehen können.
Projekte für Aktivitäten einrichten: Über Systemverwaltung, Projekte verwalten öffnet der Anwender das Fenster Aktivitäten-Projekte verwalten. Hier kann er ein Projekt für Aktivitäten anlegen.
Ablagepfadeinstellungen verändern: Mit diesem Recht haben Sie die Möglichkeit die Ablagepfadeinstellungen im Bereich Systemverwaltung, Optionen, Registerkarte Pfade zu verändern.
Anmeldesperre aktivieren: Wenn bei einem Anwender das Recht Anmeldesperre aktivieren gesetzt wird, kann sich dieser Anwender nicht mehr im System anmelden, obwohl er als Benutzer im ELO eingetragen ist.
Versionen löschen: Wenn bei einem Anwender das Recht Versionen löschen gesetzt wird, kann dieser Anwender einzelne Versionen aus der Versionsverwaltung eines Dokuments löschen.

Für den Administrator sind alle Rechte aktiv; besonders das Recht 18:„Alle Einträge sehen, Berechtigungseinstellungen missachten“ sollte nur für Administratoren und nicht während der Testphase aktiviert sein, da ja mit aktivierter Option die Wirksamkeit einer Rechtekonfiguration nicht mehr prüfbar ist.

Bei der Anlage eines Mitarbeiters in ELO kann ein Administrator festgelegt werden. Dies sollte der Einfachheit halber der ELO-Anwender namens Administrator sein, damit während der Einrichtungsphase der Lese- und Schreibzugriff auf die Anwender-Einstellungen in ELO gesichert sind. Nach abgeschlossener Konfiguration kann die Administrator-Zuordnung der ELO-Anwender beliebig eingestellt werden.

In allen Gruppen hat der Administrator Lese-Schreibrecht, also erhält er in ELO bei allen Schlüsseln das RWDE-Recht.

Für User Usr_RotMin und Usr_GrünRO reicht es, wenn diese in unserem Beispiel keine der oben genannten Rechte 1 bis 24 erhalten.

Für die Schlüssel ergibt sich folgende Konfiguration: Usr_RotMin hat in keiner Gruppe Rechte (weder lesen noch schreiben), also erhält er bei keinem Schlüssel einen Eintrag. D. h. er erhält keinen Gruppen-Schlüssel, mit dem er auf ein Dokument/Schrank mittels Gruppenrecht zugreifen kann. Usr_GrünRO hat in der Gruppe grün das Leserecht, also erhält er einzig das R-Recht für Schlüssel grün. Alle anderen Rechte sind nicht angehakt. Hinweis: Da sich die Gruppenrechte aus der InfoAgent-Konfiguration ergeben, ist es zwar möglich, diese auch von InfoAgent automatisch schreiben zu lassen (mittels Abgleichen der Kundenordner-Rechte in ELO), zum Verständnis ist jedoch ein manuelles Eintragen empfehlenswerter.

Usr_GrünMax und Usr_BlauRotMax sollten in unserem Beispiel die Rechte 3, 4, 6, 8 und 9 erhalten, da diese keinen reinen Lesezugriff haben. Gegebenenfalls kann die Option 24: „Versionen löschen“ aktiviert werden. Diese Funktionalität wird zwar von InfoAgent nicht verwendet, kann aber gesetzt werden, wenn der Mitarbeiter parallel zu InfoAgent im ELO-Archiv arbeitet und dort dieses Recht benötigt.

Als Gruppenrecht ergibt sich für Usr_BlauRotMax auf die Schlüssel Rot und Blau RWDE-Recht (er hat in diesen beiden Gruppen Lese- und Schreibrecht). Für Usr_GrünMax ergibt sich für Schlüssel Grün das RWDE-Recht (er hat in dieser Gruppe Lese- und Schreibrecht).

Usr_Rot2 und Usr_Rot3 werden nicht in ELO angelegt.

Der Assistent zur Rechtekonfiguration

Die Hinweisseite des Moduls

Nach dem Modulaufruf erscheint als erstes die Hinweisseite:

Nach Akzeptieren der Hinweise kann die Rechteverwaltung aktiviert werden. Es folgt der nächste Schritt:

Abgleichen der Schlüssel

Da wir für alle InfoAgent-Gruppen einen gleichnamigen ELO-Schlüssel angelegt haben, sollten in der Schlüsselspalte nur grüne Häkchen auftreten:

Der in ELO immer vorhandene Systemschlüssel bleibt unsichtbar, da dieser für die nicht mappbaren Rechte vorbehalten (Ablagemasken...) bleibt. Auch ELO-Schlüssel ohne IA-Gruppenzugehörigkeit bleiben unberücksichtigt.

Wird eine Gruppe in InfoAgent angelegt, muss diese in ELO nachgetragen werden:

Dies kann z. B. automatisch mittels Schlüssel in ELO nachgetragen erfolgen.

Abgleichen der Mitarbeiter

Sind für alle Gruppen Schlüssel vorhanden, können die Mitarbeiter in ELO abgeglichen werden.

Hier sind beispielhaft nur Usr_GrünRO und Usr_RotMin korrekt. Folgende Fehler wurden gemacht: Bei dem Benutzer Administrator ist ein fehlerhafter ELO-Login hinterlegt. Entweder ist der ELO-Loginname ungleich dem Namen in InfoAgent oder es gibt keinen Anwender dieses Namens in ELO. Beim Usr_GrünMax ist zwar die eindeutige Zuordnung zu einem ELO-Mitarbeiter korrekt (Elo-Login Daten sind ok), aber die Mitarbeiterrechte unterscheiden sich (d. h. die Schlüsselzuordnung ist nicht synchron). Für alle Benutzer ohne ELO-Konto (d. h. Login) ist eine alternative Rechtesetzungsstrategie erforderlich. Dies ist bei den Benutzern Usr_Rot2 und Usr_Rot3 der Fall. Daher haben diese Benutzer den Falsch-Hinweis in der Spalte Rechtesetzung. Dabei ist es unerheblich, ob sich ein Anwender überhaupt in InfoAgent einwählen darf (z. B. Usr_Rot3). Denn auch diese Mitarbeiter können Kunden-/Vertragsbetreuer sein und für diese Kunden-/Vertragsordner müssen folglich Rechte in ELO vergeben werden.

Im ersten Schritt werden die Logindaten des Benutzers Administrator nachgetragen bzw. Namensgleichheit hergestellt. Dies erfolgt in InfoAgent z. B. im Menü Einstellungen -> Konfiguration -> Benutzerkonfiguration - Administrator -> ELO im Netzwerk -> ELO-Benutzername und ELO-Passwort. Anschließend wird der Schlüssel von Usr_GrünMax manuell korrigiert.

Die Liste sollte nun folgendermaßen aussehen:

Mitarbeiterverwaltung mit korrigierten Schlüsseln/Logins

Die Schlüsselzuordnung kann auch automatisch mittels Autokorrektur synchronisiert werden. Dies erfolgt mittels der Option „auch Mitarbeiterschlüssel synchronisieren (incl. Entfernen von Schlüsseln!)“. Dabei werden die Gruppenrechte aus InfoAgent als Schlüssel in ELO eintragen. Empfehlenswerter ist es jedoch, die Zuordnung in ELO selbst vorzunehmen.

Usr_Rot2 und Usr_Rot3 sind nicht als Mitarbeiter in ELO vorhanden. Für Verträge und Kunden dieser Mitarbeiter kann also z. B. nur ein Schlüssel eingetragen werden. Um die Rechtesetzung für Usr_Rot2 und Usr_Rot3 festzulegen, verwenden wir die Autokorrektur-Option. Als Ersatzrecht wählen wir: Die Hauptgruppe des Mitarbeiters zuweisen.

Nachdem diese Autokorrektur durchgeführt wurde, ergibt sich folgendes Bild:

Mitarbeiterverwaltung mit allen Korrekturen

Gibt es Mitarbeiter ohne ELO-Login mit abweichenden Ersatzrechten, ändert man dies in der Spalte Ersatzrechte beim jeweiligen Eintrag, hier am Beispiel Usr_Rot3:

Die letzten beiden Schritte betreffen den Abgleich der Kunden- und Vertragsordner.

Abgleichen der Kundenordner-Rechte in ELO

Die angezeigte Warnung hat folgenden Hintergrund: Bei der Rechtesetzung wird auf denjenigen Schrank/Ordner das Recht gesetzt, auf den der Verweis in InfoAgent zeigt. Ist dieser Ort falsch, führt dies dazu, dass die Rechte am falschen Ort eingetragen werden. Daher gilt:

Prüfen Sie bitte im Vorfeld, ob die Pfadzuordnungen aller Kunden bzw. Verträge korrekt sind!

Rufen Sie dazu z. B. Einstellungen -> ELO Pfade prüfen -> Kunden mit abweichendem Ablagepfad anzeigen auf. Eine Prüfung im Hintergrund ist aus Performancegründen nicht sinnvoll, da diese Prüfung je nach Größe und Art der ELO-Daten sehr lange (Stunden!) dauern kann. Zusätzlich lässt sich vom Programm aus für manuell angelegte Verweise nicht entscheiden, ob diese in ELO auf den richtigen Ort zeigen.

Mittels Alle Kunden überprüfen erhält man eine Übersicht über die durchzuführenden Rechteänderungen.

Sind in InfoAgent gemeinsame Kundenordner (mehrere Kunden teilen sich einen ELO-Ordner) vorhanden, dann erscheint folgende Fehlermeldung:

Da einem solchen Fall keine klare Rechtezuordnung durchgeführt werden kann, muss jedem Kunden ein eigener ELO-Ordner zugewiesen werden. In diesem Beispiel sollte Kunde DDDDDDDD ein eigener ELO Ordner zugewiesen werden. Mittels Schaltfläche Kunden mit gemeinsamen ELO-Ordner kann der aktuelle Zwischenstand überprüft werden. Diese Überprüfung ist auch im ELO Pfade prüfen - Formular hinterlegt.

Sind alle Fehler bereinigt, liefert Alle Kunden überprüfen die geplanten Aktualisierungen (die Erklärung der Rechtekürzel erfolgt am Ende der Auflistung):

Abgleichen der Kundenordner-Rechte in ELO 2

Die Zahl der Änderungen ergibt sich folgendermaßen: In dieser ersten Phase der Rechteübertragung sollte die Auflistung typischerweise alle Kundenordner enthalten, wenn - wie in diesem Beispiel - bisher noch keine Rechtesetzung vorhanden war. Nur für Kunden, die das Recht für alle sichtbar besitzen sollen, ergibt sich keine Rechteänderung. Somit sollten diese Kunden in dieser Auflistung nicht auftauchen.

Das neu zu setzende Recht ergibt sich folgendermaßen:

Der Kundenordner erhält folgende Rechte wenn Betreuer und Sachbearbeiter in ELO angelegt sind: 2 Stck Anwender (Betreuer und Sachbearbeiter ); 1 Stck Schlüssel (die Hauptgruppe des Betreuers)
Der Kundenordner erhält folgende Rechte wenn weder Betreuer noch Sachbearbeiter in ELO angelegt sind: 1 oder 0 Stck Schlüssel (Ersatzgruppe des Betreuers oder „für alle sichtbar“ -Option)

Die Option „Rechte auch auf alle Unterelemente des Kunden/Vertrages ausweiten (Entfernt alle manuell vergebenen Rechte)“: Diese Option ist standardmäßig deaktiviert. Dadurch wird verhindert, dass explizit geschützte Dokumente unter dem Kunden dessen Recht erhalten und damit sichtbar werden, obwohl dies nicht gewünscht ist. Umgekehrt können dabei jedoch Dokumente für den Anwender ungewollt unsichtbar werden/bleiben. Existieren keine Dokumente im Kundenbaum, die besonders geschützt werden sollen, kann man in ELO den Kundenschrank markieren, die Rechte zurücksetzen und dies auf alle Untereinträge vererben lassen:

Abgleichen der Vertragsordner-Rechte in ELO

Weichen beim Mitarbeiter die Zugriffsrechte für Verträge von den Zugriffsrechten für Kunden ab oder haben einige Verträge einen vom Kundenbetreuer abweichenden Betreuer, ergeben sich abweichende Rechte für den Vertrag. Daher ist auch für Verträge eine Rechtefestlegung vorgesehen. Abweichend von Kundenordnern sind jedoch Konstellationen vorstellbar, bei denen sich verschiedene Verträge einen Ordner teilen. Z. B. KFZ-Verträge bei denen ein Fahrzeugwechsel stattfand und manuell Ordner zusammengelegt wurden. Kommt zusätzlich ein Betreuerwechsel hinzu, ist die Festlegung des Zugangsrechts wieder problematisch. In solchen Fällen wird allen Betreuern der Zugang gewährt.

Mittels Alle Verträge überprüfen werden die Verträge gelistet, für die eine Änderung durchgeführt werden kann:

Abgleichen der Vertragsordner-Rechte in ELO 2

Der Ablauf entspricht dem bei der Rechtesetzung der Kundenordner.

Ist dies abgeschlossen, folgt die Überprüfung, ob die Rechte soweit stimmen. Ein Problemfall ist z. B. wenn ein Vertrag in ELO für einen fremden Betreuer angelegt wird. Dieser sollte diesen dann anschließend in ELO sehen können.