Ungelöst Vor- und Nachnamen vor Bearbeitung schützen
-
Gibt es eine Möglichkeit, dass Name und Vorname nur von Admins geändert werden können? Einerseits möchte ich, dass sie als Sicherheits Level 1 für alle sichtbar sind, möchte aber vermeiden, dass irgendjemand auf die Idee kommt sich fiktive Namen zu geben.
Wäre schön, wenn der Bearbeitungslevel 2 nicht die Bearbeitung von Level 1 einschließen würde. Dann könnte ich nur die Berechtigung für Level zwei vergeben (z.B. Adresse) und Level 1 (Name, Vorname) wären dann unveränderlich. -
-
@bwl21 Das löst das Problem in dem Fall leider nicht, weil @MaKa Schreibberechtigung für die Adresse (Level 2), aber nur Leseberechtigung auf den Namen (Level 1) geben will.
Die Berechtigungen auf die Sicherheitslevel sind aber kumulativ, d.h. Schreibrechte auf Level 2 beinhaltet Schreibrechte auf Level 1. -
@BeMiGro Dann musst du in den Stammdaten dem Vor-Nachnamen einen höheren Sicherheitslevel geben ...
-
@bwl21 Richtig. Das hat dann aber Auswirkung auf die Leseberechtigungen.
Wenn die Anforderung ist, daß Name und Adresse allgemein sichtbar sein sollen, aber der Benutzer nur die Adresse ändern können soll, dann
- bekommt die Adresse Level 1 und der Name Level 2,
- der Benutzer selbst darf Level 2 sehen, aber nur Level 1 ändern
- alle (anderen) Benutzer dürfen Level 2 sehen (und damit Name & Adresse), aber nichts ändern.
Soll dagegen nur der Name allgemein sichtbar sein, aber die Adresse nicht, dann funktioniert das m.E. mit einem höheren Sicherheitslevel für den Namen nicht.
-
@BeMiGro ja bei der letzten Anforderung ist eine Verwerfung drin, dass die schutzhierarchie zwischen lesen und schreiben unterschiedlich ist.
Aber sicherheitskategorien, also nicht verschachtelte Levels, werden sehr aufwändig beim pflegen …
-
@bwl21 Das kommt immer auf die Art der Pflege an - und darauf, wie man prüfen kann, wo Berechtigungen herkommen.
Aber generell stimme ich zu: je flexibler die Berechtigungsvergabe wird, desto komplexer wird sie und desto größer wird die Gefahr, daß sich Fehler einschleichen.
Und wenn man einen hauptamtlichen Berechtigungsexperten für die eigene ChurchTools-Instanz braucht, ist auch nichts gewonnen. -
@MaKa Eine Alternative könnte sein, zusätzliche Felder (z.B. "Vorname (intern)" / "Name (intern)") mit Sicherheitslevel 3 oder höher anzulegen und in diesen den tatsächlichen (Vor-)Namen abzulegen.
Dann könnte man zumindest über die ChurchTools-API automatisiert prüfen (z.B. einmal täglich über ein Python-Skript), ob jemand die Namensfelder geändert hat und dann einen Administrator benachrichtigen.Ich tue das tatsächlich in ähnlicher Form, weil unser Verband bestimmte Felder doppelt benötigt und ich zu faul bin, regelmäßig Abweichungen manuell zu prüfen.
Mein Python-Skript kann ich gerne als Beispiel per privater Nachricht zur Verfügung stellen (der Code hat nicht die Qualität, daß ich ihn öffentlich hier posten möchte). -
@BeMiGro Wow, vielen Dank für den Vorschlag und das Angebot. Ich bin gerade mal seit zwei Wochen dabei und da ist das API-Thema vielleicht noch etwas früh für mich. Ich halte es aber im Hinterkopf und versuche erst mal ohne klar zu kommen.
