Domino 9 und frühere Versionen > Entwicklung
Ansichten verstecken, wenn man mehrere Rollen/Rechte gleichzeitig hat
Jérôme:
Ich weiß nicht, ob das knifflig ist, aber ich hoffe, nicht allzu sehr ;)
Also, ich muss Ansichten in meiner Datenbank schützen, falls jemand zu viele Rechte und Rollen besitzt. Z.B. darf der DBAdmin der Datenbank nicht gleichzeitig die Rechte der Personalabteilung haben (über Rollen gesteuert) und ein DBAdmin darf nicht gleichzeitig Manager der DB sein (sonst könnte er sich ja die Rollen so verteilen, wie er das gerne möchte).
Ich habe in das QueryOpen der Datenbank eine Formel geschrieben, mit der ich das Öffnen in einem der oben genannten Fälle unterbinden kann. Auch die Gliederungseinträge schütze ich so (damit sie auch nicht angezeigt werden können). Dennoch kann ja jemand auf die Ansichten der Datenbank zugreifen, wenn sie/er einen Rechtsklick auf die DB-Kachel im Arbeitsbereit macht und dann "Gehe zu..." wählt.
In den Ansichtseigenschaften kann man einstellen, wer alles die Ansicht verwenden darf, aber es gibt keine Steuerung von Kombinationen aus Rollen.
Ich kann natürlich was ins QueryOpen jeder Ansicht schreiben, aber dann kann man die Ansichtsnamen ja noch sehen, und das möchte ich gerne verhindern.
Wisst Ihr da Rat?
- Jérôme
Till_21:
--- Zitat von: Jerome am 19.03.03 - 09:38:12 ---In den Ansichtseigenschaften kann man einstellen, wer alles die Ansicht verwenden darf, aber es gibt keine Steuerung von Kombinationen aus Rollen.
Wisst Ihr da Rat?
--- Ende Zitat ---
Wieso nicht ?
Kannst doch den Rollen, die die Ansicht verwenden duerfen, Rechte dafuer geben, oder seh ich da was falsch...
mit kombinieren meinst du doch eine log. und-verknuepfung oder ?
fuer die outline gilt gleiches
gruss
ata:
... die Einschränkung der Verwendbarkeit von Ansichten ist kein Sicherheitsfeature - daß heißt, wenn er einigermaßen gut drauf ist, dann kann er sich private Ansichten bauen und entsprechende Einblicke erhalten - die Möglichkeit muß man auf jeden Fall in der ACL deaktivieren...
... in deinem Fall mußt du die Variationen der Zugriffsmöglichkeiten in Rollen verpacken, die dazugehörigen User in ihren Kombinationen in Gruppen berechnet zuweisen und dann nur den Gruppen die entsprechenden Rollen geben....
ata
Jérôme:
Das verstehe ich irgendwie nicht. Es ist doch möglich, dass ein Benutzer grundsätzlich beide Rollen zugewiesen bekommen hat (aus Versehen oder aus Absicht).
In den Ansichten kann ich definieren, wer die jeweilige Ansicht verwenden darf. Wenn ich da mehrere Namen/Rollen anklicke, dann bedeutet das doch, dass man entweder die eine oder die andere Rolle benötigt, um die Ansicht verwenden zu dürfen.
Aber man soll die Ansicht eben nicht sehen dürfen, wenn man eine Kombination aus beiden Rollen besitzt. Das heißt konkret:
Wer die Rolle "[PV]" besitzt, darf die Ansicht A benutzen. Wer die Rolle "[PV]" und die Rolle "[DBAdmin]" bestitzt, soll die Ansicht nicht verwenden dürfen.
Ich kann zwar über die Dokumentberechtigungen einstellen, dass ein nicht befugter Benutzer in der Ansicht keine Dokumente sieht, aber ich will, dass der Benutzer nicht mal die Ansichten sieht, wenn er über "Gehe zu..." die Ansichten anzeigen lassen kann.
Axel:
Hi,
eine Idee, die mir dazu einfällt wäre die folgende.
Verstecke die Ansichten, in dem du die Namen der Ansichten in Klammern setzt, z.B. (Ansicht A). Damit sieht man die Ansichten, auch unter Gehe zu, nicht mehr.
Erstelle dann eine Gliederung mußt du dann für jede Ansicht einen Eintrag erstellen. In der Auswahlliste, auf welches Element du zugreifen willst, erscheinen auch die versteckten Ansichten. In der Hide-When-Formel für den Gliederungseintrag kannst du dann mit einer Formel festlegen wer den Eintrag sehen darf.
Axel
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln