Benutzerberechtigungen und Rollen
1. Konto → Gruppe
Ein Konto kann einer Gruppe angehören und dabei die Rolle Mitglied oder Admin haben.
Mitglied (member)
- Kann die Gruppe verlassen
- Hat Zugriff auf alle Ressourcen, denen die Gruppe hinzugefügt wurde (z. B. Projekte).
Admin (admin)
- Alle Rechte eines Mitglieds sowie:
- Gruppeninformationen bearbeiten.
- Mitglieder hinzufügen oder entfernen.
- Rollen von Mitgliedern ändern (admin ↔ member), auch die eigene.
2. Konto → Projekt
Die Rolle eines Kontos im Projekt bestimmt den Zugriff. Mögliche Rollen:
Read Only User (read_only_user)
- Projektinhalte anzeigen.
- Analytics nutzen.
- Laufende Tasks sehen.
Restricted User (restricted_user)
- Alles oben plus:
- Datentabellen taggen und bearbeiten.
- Analytics und Anordnungen bearbeiten.
- Crawling Profiles anderer Projektmitglieder sehen.
Default User (default_user)
- Alles oben plus:
- Tasks erstellen.
- Task-Ergebnisse ins Projekt importieren.
- Crawling Profiles hinzufügen.
Admin User (admin)
- Alles oben plus:
- Projektinformationen ändern (Name, Beschreibung, Icon).
- Mitglieder (Konten und Gruppen) hinzufügen oder entfernen.
- Rollen von Projektmitgliedern ändern.
Gruppe → Projekt
Wenn eine Gruppe Mitglied eines Projekts ist, haben alle Mitglieder — unabhängig von ihrer Gruppenrolle — Zugriff gemäß der Gruppen-Projekt-Rolle. Diese Rollen entsprechen den Konto-Projekt-Rollen.
Beispiel:
Wenn eine Gruppe restricted_user ist, haben alle Gruppenmitglieder restricted_user Zugriff. Dies kann sinnvoll sein, um etwa eine Rechtsabteilung als read-only hinzuzufügen, damit sie überwachen kann, ob alle Vorgänge regelkonform sind.
Wenn ein Mitglied die Gruppe verlässt oder entfernt wird, verliert es den Zugriff auf alle Projekte, auf die die Gruppe Zugriff hatte.
Wenn ein Benutzer sowohl direktes Projektmitglied ist (Konto → Projekt) als auch über eine Gruppe Zugriff hat, gilt folgende Priorisierung:
- Ist der Benutzer ein direktes Projektmitglied?
→ Diese Mitgliedschaft wird genutzt. - Falls nicht: → Sammle alle Gruppen des Benutzers, die Zugriff auf das Projekt haben → Wähle die höchste verfügbare Rolle
Dies erlaubt folgendes Szenario:
Angenommen, Konto A gehört zur Abteilungsgruppe. Die ganze Abteilung soll vollen Zugriff auf Projekt X haben. Konto A gehört aber einem Praktikanten Alan, der nicht alle Daten bearbeiten soll. Man kann Alan zusätzlich als direktes Mitglied mit read-only Rolle hinzufügen. Da die direkte Mitgliedschaft höher priorisiert wird, erhält Alan read-only Zugriff, ohne dass die ganze Gruppe herabgestuft werden muss.
Systemberechtigungen und Systemrollen
Zur Verwaltung der Systemadministratoren werden Django Gruppen verwendet. Ein Benutzer wird beim Erstellen entweder der default Gruppe oder der admin Gruppe zugeordnet. Diese Gruppen werden beim Migrationsprozess angelegt und aktualisiert.
Default
- Kann alles außer den unten gelisteten Admin Aufgaben
Admin
- Neue Runners registrieren und alte entfernen.
- Benutzerdefinierte Netzwerke hinzufügen.
- Interne Netzwerke deaktivieren (nicht löschen).
- Deaktivierte Netzwerke anzeigen.
- Vollzugriff (CRUD) auf:
- Projekte und deren Mitgliedschaften.
- Projektdaten.
- Benutzer.
- Passwortänderung ohne altes Passwort.
- Nur Admins können neue Benutzer erstellen.
- Tasks und Gruppen verwalten.
- Alle Crawling Profiles sehen, bearbeiten und löschen.