Benutzer- und Rollenverwaltung
Zugriff auf Ihren Tenant kontrollieren
KaliaOps bietet ein vollständiges RBAC-System (Role-Based Access Control) mit 4 Systemrollen, 90+ granularen Berechtigungen und Ownership-Scopes für feinkörnige Zugriffskontrolle. E-Mail-Einladungen vereinfachen das Onboarding, und Deaktivierungs-/Löschfunktionen gewährleisten DSGVO-Konformität.
RBAC-System
KaliaOps verwendet ein RBAC-System (Role-Based Access Control) zur Verwaltung von Zugriffsrechten.
Prinzip
Jedem Benutzer wird eine Rolle zugewiesen, die seine Berechtigungen definiert:
- Rolle: Sammlung von Berechtigungen (z.B. Admin, Manager)
- Berechtigung: Recht zur Durchführung einer Aktion (z.B. assets.view, incidents.create)
- Scope: Anwendungsbereich des Rechts (z.B. alle Entitäten, mein Team)
Systemrollen
| Rolle | Beschreibung | Standard-Scope |
|---|---|---|
| Admin | Vollzugriff auf alle Funktionen | all |
| Manager | Vollständige Verwaltung im eigenen Scope | organization |
| Tech | Operative CMDB/ITSM-Aktionen | team |
| Viewer | Nur-Lese-Zugriff | own |
Diese Rollen sind geschützt und können nicht gelöscht werden.
Benutzerdefinierte Rollen
Sie können benutzerdefinierte Rollen mit spezifischen Berechtigungen erstellen, um Ihre Anforderungen zu erfüllen.
Benutzer einladen
Benutzerverwaltung öffnen
Menü Einstellungen → Benutzer.
Auf «Einladen» klicken
Öffnen Sie das Einladungsformular.
Informationen ausfüllen
Ausfüllen:
- E-Mail: E-Mail-Adresse des neuen Benutzers
- Rolle: Zuzuweisende Rolle
- Mitarbeiter: Mit bestehendem Mitarbeiter verknüpfen (optional)
Einladung senden
Benutzer erhält eine E-Mail mit einem 48 Stunden gültigen Aktivierungslink.
Benutzeraktivierung
Benutzer klickt auf den Link, legt sein Passwort fest und greift auf KaliaOps zu.
Benutzer verwalten
Benutzerliste
Die Liste zeigt alle Tenant-Benutzer mit:
- Name und E-Mail
- Zugewiesene Rolle
- Status (aktiv, eingeladen, deaktiviert)
- Letzte Anmeldung
Verfügbare Aktionen
- Rolle ändern: Benutzerberechtigungen modifizieren
- Passwort zurücksetzen: Reset-Link senden
- Deaktivieren: Zugriff vorübergehend sperren
- Löschen: Benutzer dauerhaft entfernen
Benutzerstatus
| Status | Beschreibung |
|---|---|
| Eingeladen | Einladung gesendet, wartet auf Aktivierung |
| Aktiv | Konto aktiviert und funktional |
| Deaktiviert | Zugriff gesperrt, Daten erhalten |
Rollen und Berechtigungen
Benutzerdefinierte Rolle erstellen
- Menü Einstellungen → Rollen
- Auf «Neue Rolle» klicken
- Rolle benennen (z.B. «L1 Support»)
- Berechtigungen auswählen
- Speichern
Berechtigungskategorien
| Kategorie | Beispiele |
|---|---|
| CMDB | assets.view, assets.create, applications.edit, contracts.delete |
| ITSM | incidents.view, incidents.resolve, changes.approve, sla.manage |
| Organisation | organizations.view, teams.edit, employees.create |
| Administration | users.manage, roles.edit, audit_logs.view, api_tokens.create |
Berechtigungsformat
{ressource}.{aktion}Beispiele:
assets.view: Assets anzeigenincidents.create: Vorfall erstellencontracts.field.cost: Vertragskosten anzeigen
Ownership-Scopes
Scopes definieren den Datenzugriffsperimeter.
Verfügbare Scopes
| Scope | Zugriff | Beispiel |
|---|---|---|
| all | Alle Tenant-Entitäten | Admin sieht alle Vorfälle |
| organization | Entitäten in seiner Organisation | Manager sieht Abteilungsvorfälle |
| team | Entitäten in seinem Team | Tech sieht dem Team zugewiesene Vorfälle |
| own | Nur eigene Entitäten | Viewer sieht nur eigene Vorfälle |
Scope-Anwendung
Scope wird automatisch angewendet auf:
- Nach Perimeter gefilterte Listen
- Aktionen (bearbeiten, löschen)
- Exporte und Berichte
Vererbung
Ein Benutzer mit «organization»-Scope sieht auch Entitäten von Teams innerhalb seiner Organisation.
Benutzer-Mitarbeiter-Verknüpfung
Jeder Benutzer kann mit einem Mitarbeiter in der CMDB verknüpft werden.
Warum verknüpfen?
- Konsistenz: Einheitliche Identität im System
- Zuweisungen: Benutzer erscheint in Auswahllisten (Projektleiter, etc.)
- Automatischer Scope: Erbt Team/Organisation vom Mitarbeiter
Verknüpfung erstellen
Zwei Methoden:
- Bei Einladung: Mitarbeiter im Formular auswählen
- Nach Erstellung: Benutzer bearbeiten und Mitarbeiter verknüpfen
Eindeutigkeitseinschränkung
Ein Mitarbeiter kann nur mit einem Benutzer verknüpft werden. Bei Verknüpfungsversuch mit bereits zugeordnetem Mitarbeiter wird ein Fehler angezeigt.
Benutzer ohne Mitarbeiter
Ein Benutzer ohne Mitarbeiterverknüpfung:
- Kann sich anmelden und KaliaOps nutzen
- Erscheint nicht in «Mitarbeiter»-Auswahllisten
- Scope wird allein durch seine Rolle bestimmt
DSGVO-Konformität
KaliaOps enthält Funktionen für DSGVO-Konformität.
Deaktivierung
Deaktivierung sperrt den Zugriff ohne Datenlöschung:
- Benutzerkarte öffnen
- Auf «Deaktivieren» klicken
- Benutzer kann sich nicht mehr anmelden
- Daten und Historie bleiben erhalten
Deaktivierung ist reversibel.
Löschung
Löschung entfernt den Benutzer dauerhaft:
- Benutzerkarte öffnen
- Auf «Löschen» klicken
- Löschung bestätigen
Geplante Löschung
Für DSGVO-Konformität können Sie verzögerte Löschung planen:
- Benutzer wird sofort deaktiviert
- Tatsächliche Löschung erfolgt am geplanten Datum
- Benutzer kann vor diesem Datum Stornierung beantragen
Erhaltene Daten
Nach Löschung bleiben einige Daten für Audit erhalten:
- Aktionsprotokolle (anonymisiert)
- Historie bearbeiteter Vorfälle
- Referenzen in erstellten Entitäten
- RBAC-System mit 4 vordefinierten Rollen (admin, manager, tech, viewer)
- 90+ granulare Berechtigungen für alle Funktionen
- Ownership-Scopes: all, organization, team, own
- E-Mail-Einladung mit vorausgewählter Rolle und Mitarbeiter
- DSGVO-Konformität: Deaktivierung und geplante Löschung