Logo comundus GmbH
Zur Suche springen Zum Inhalt springen Zur Sitemap springen

Liferay Rechteverwaltung

Wir passen Rollen & Rechte perfekt auf Ihr Unternehmen an

Rechteverwaltung

Liferay bietet ein fein granulares und flexibles Rechtemanagement, mit welchem sich auch sehr komplexe Anforderungen gut abdecken lassen. Das Grundprinzip der Rechteverwaltung beruht auf einer flexiblen Kombination von Sites und Organisationen, bzw. den ihnen zugeordneten Nutzern mit ihren jeweiligen Rollen.

So lassen sich sehr gut klassische Organisationsformen mit Abteilungen und Unterabteilungen und auch moderne Projektstrukturen abbilden. Selbst Unterorganisationen wie Tochterunternehmen, Business-Units, anderssprachige Auslandsniederlassungen, mandantenfähige Filial- und Partnersysteme mit unterschiedlichem Corporate Design sind kein Problem.

Sites

Sites bilden eine geschlossene Einheit aus folgenden Grundbausteinen:

  • Unterseiten – in Abgrenzung zu Sites werden sie als Pages bezeichnet
  • Digitale Inhalte, z.B. Webartikel, Wikis oder Blogs sowie Seitenfragmente
  • Workflows für Erstellung, Veröffentlichung und Bearbeitung digitaler Inhalte
  • Nutzer in unterschiedlichen Rollen
  • Zielgruppen bzw. Segmente zur Personalisierung von Inhalten
  • Erscheinungsbild bzw. Theme/Design
  • Standardsprache und weitere Sprachen

 

Die bekannteste aller Sites ist die Website, der öffentliche Unternehmensauftritt mit seinen unterschiedlichen Pages (wie „Kontakt“, „Impresssum“ usw.). Mit Liferay können unterschiedlichste Sites erstellt werden – egal ob öffentlich oder für bestimmte Nutzergruppen eingeschränkt.

Sites können in einer Baumstruktur aufgebaut werden. Dies vereinfacht die Verwaltung von Nutzern, Inhalten und Rechten. Ähnlich wie in einem Organigramm lassen sich dadurch bei Online- oder Mitarbeiterportalen auch komplizierte Firmenstrukturen mit Tochterunternehmen, Abteilungen und einzelnen Niederlassungen abbilden.

In Kundenportalen können Sites zur Strukturierung von Produktgruppen oder Dienstleistungen genutzt werden. In Digital Workplaces können Teamräume für übergreifende Zusammenarbeit erstellt werden.

Teilweise ist es sinnvoll, Inhalte zentral und portalübergreifend anzulegen, so dass sämtliche Sites darauf zugreifen können. Etwa bei einer zentralen Bilddatenbank oder Newsmeldungen, die sowohl auf der Website als auch im passwortgeschützten Bereich verwendet werden sollen. Wahlweise kann eingestellt werden, dass Inhalte einer übergeordneten Site auch in untergeordneten Sites gezeigt werden.

Für noch mehr Flexibilität können drei verschiedene Arten von Sites definiert werden:

  • Offen: Die Site und ihre Inhalte sind für jeden Interessierten zugänglich
  • Zugangsbeschränkt: Der Site-Verwalter entscheidet, wer Mitglied der Site ist. Die Zuordnung kann auch automatisch erfolgen, bei einem Mitarbeiterportal etwa auf Basis der im LDAP angelegten Gruppen
  • Privat: Private Sites entsprechen zugangsbeschränkten Sites, sind im Gegensatz zu diesen jedoch nicht im Portal sichtbar, z.B. in Site-Übersichten. 

 

Auf den ersten Blick sieht das kompliziert aus, zwei Beispiele werden jedoch rasch den praktischen Nutzen verdeutlichen.

Rollen

Liferay bietet ein fein granulares Rollenkonzept. Grundsätzlich lassen sich drei Arten von Rollen unterscheiden:

  • Globale Rollen: Sie gelten übergreifend für das gesamte Portal, z.B. der Hauptadministrator
  • Site-Rollen: Sie gelten nur für die jeweiligen Sites, etwa Mitglieder einer bestimmten Projektgruppe oder Redakteure für einen bestimmten Bereich
  • Organisations-Rollen: Sie gelten für eine Organisation, etwa das Haupt- oder Tochterunternehmen

 

Site- und Organisationsrollen sind das wesentliche Instrument zur Vergabe von Berechtigungen im Portal. Die Rechtevergabe bei Rollen funktioniert fein granular für jedes im Portal verwendete Widget (Element mit Funktionalität) und jedes Inhaltselement.

Typische Standardrollen für Sites bzw. Organisationen sind: 

  • Site-Besitzer: Fachliche und technische Verantwortlichkeit, er hat bei Sites darf alles inkl. Mitglieder verwalten – falls dies nicht automatisch gewünscht ist. Möglich ist ebenfalls eine Kombination, etwa eine automatische Mitgliederverwaltung in den Hauptbereichen und eine manuelle Mitgliederverwaltung bei Projekträumen
  • Site-Administrator: Technische Verantwortlichkeit, darf alles
  • Site-Mitglied: Darf lesen und evtl. kleinere Aktionen durchführen, z.B. Inhalte bewerten, kommentieren und abonnieren, Forumseinträge anlegen und beantworten. In Projekträumen haben Projektmitglieder häufig mehr Rechte, z.B. Dokumente hochladen und ändern, neue Inhalte verfassen und ändern. Sollen Projekträume eingesetzt werden, ist es sinnvoll, hierfür eine eigene Rolle zu definieren, z.B. Projekt-Mitglied
  • Site-Redakteur: Darf Inhalte erstellen, verändern und löschen
  • Site Content Reviewer (Chefredakteur): Darf bei eingestelltem Veröffentlichungs-Workflow Inhalte publizieren

 

Nach Bedarf können beliebige weitere Rollen definiert werden. Da je Rolle mehrere Hundert Einzelrechte vergeben werden, empfehlen wir für eine einfache Administration einen additiven Aufbau. So muss bei späteren Anpassungen von Rechten nur eine oder wenige Rollen angepasst werden.

Beispielsweise ist ein Site Content Reviewer (Chefredakteur) gleichzeitig Site-Mitglied mit Basisrechten und zusätzlich Site-Redakteur mit Schreibrechten. Für die Rolle des Site Content Reviewers müssen nur die expliziten Freigaberechte konfiguriert werden.

Durch die flexible Kombination von Sites bzw. Organisation und zugehörigen Rollen lassen sich die allermeisten Anforderungen an Berechtigungen abdecken. Es lohnt sich, bereits in der Konzeptphase ein Grobkonzept des Rollensystems zu erstellen.

Für eine übersichtliche Administration des Portals, sollten nicht zu viele Rollen erstellt werden. Sind zu viele Rollen definiert, fällt es manchmal schwer, nachzuvollziehen, welche Nutzer welche Inhalte sehen und bearbeiten können.

Unsere Standard-Installation von Liferay Portal für z. B. Kundenportale enthält bereits eine Grobkonfiguration folgender Rollen:

  • Kunde (Leser; Site- und Organisationsrolle)
  • Redakteur (Site- und Organisationsrolle)
  • Chefredakteur (Content Reviewer, gibt Inhalte im Falle eines 4-Augen-Workflows frei; Site- und Organisationsrolle)
  • Community-Mitglied (Siterolle speziell für Community-Räume)
  • Portalübergreifender Chefredakteur (Content Reviewer; globale Rolle)
  • Administrator (Site- und Organisationsrolle)
  • Administrator (globale Rolle)

Auch für unsere anderen Portallösungen wie den Digital Workplace oder das Mitarbeiterportal bieten wir vorgefertigte Grobkonfigurationen, die sich nach Ihren Wünschen anpassen lassen.

Benutzergruppen

Neben Rollen und Sites stellen Benutzergruppen ein Hilfselement dar, um Rechte einer großen Anzahl von Nutzern zu verwalten. Insbesondere kann dies nützlich sein, wenn das Portal an ein zentrales LDAP/ADS angebunden ist, in welchem Nutzer bereits stark in Gruppen strukturiert sind. Im ersten Schritt wird eine Benutzergruppe angelegt, der mehrere Nutzer zugeordnet werden können. Bei der Verwaltung von Nutzern einer Site kann der Administrator nun statt vieler Einzelnutzer mit wenigen Klicks diese Benutzergruppe zuordnen und ihr die gewünschte Site-Rolle geben.

Trotz zahlreicher Vorteile vermindert die Verwendung von Benutzergruppen für den Administrator die Transparenz. Insbesondere bei komplexeren Strukturen erschwert es dem Administrator teilweise, nachzuvollziehen, welche Berechtigungen ein bestimmter Nutzer hat.

Daher ist es empfehlenswert, bereits beim Konzept abzuwägen, ob und welche Benutzergruppen später verwendet werden sollen. Wir unterstützen Sie auch hierbei während der gesamten Konzeptionsphase.

Pages, Widgets und Inhalte

Rechte auf Sichtbarkeit und Bearbeitung können gestaffelt auf sämtliche Elemente innerhalb des Portals vergeben werden. Die folgende Schema-Abbildung verdeutlicht die verwendeten Elemente.

 

  • Organisationen und Sites bilden die Basis zur Strukturierung des Portals. Sites bestehen aus Pages, Inhalten und zugeordneten Nutzern in verschiedenen Rollen
  • Einzelne Pages sind gekennzeichnet durch eine eindeutige URL, z.B. www.mypage.de/start. Für jede Page kann ein Layout gewählt werden, welches die Anordnung der darauf platzierten Elemente bestimmt, z.B. zweispaltiges oder dreispaltiges Layout
  • Inhalts-Widgets werden benötigt, um Inhalte auf einer Page darzustellen. Z. B. listet die Inhalts-Liste (der sogenannte Asset-Publisher) verschiedene Inhalte wie News nach einstellbaren Kriterien auf, die Web Content Anzeige zeigt einen Webartikel an, das Wiki enthält diverse Wiki-Einträge oder die Mediengalerie Sammlungen von Bildern und Videos. Widgets werden entsprechend dem Layout auf einer Page platziert
  • Funktions-Widgets dienen dazu, Aufgaben auszuführen, z.B. eine Sitemap anzuzeigen, etwas zu berechnen oder Formulare abzubilden, ohne dass sie auf die Inhalte des Portals zugreifen
  • Fragmente sind Gestaltungselemente, die mit Bildern und Texten versehen werden können. Im Gegensatz zu Assets werden sie im Portal direkt mit einer bestimmten Page verbunden (auch wenn sie mehrfach auf verschiedenen Pages verwendet werden können). Sie werden von der portalübergreifenden Suche indexiert und die Ergebnisse der Volltextsuche verweisen auf die jeweiligen Pages, mit denen sie verbunden sind  
  • Inhalte oder Assets sind die kleinsten Elemente innerhalb des Portals. Dies können z.B. einzelne Web Artikel, Wiki-Einträge, Blog-Beiträge, Termine, Bilder oder andere Medien sein

 

Das Rechtesystem ermöglicht es, sämtliche dieser Elemente mit Rechten zu versehen. So können etwa Sichtbarkeitsrechte auf einzelne Pages innerhalb einer Site, auf Inhalts- oder Funktions-Widgets einer Page oder auf einzelne Assets vergeben werden.

Administrativ wird dabei dem jeweiligen Element eine Site- oder Portal-Rolle zugeordnet oder ein Team. Nur Nutzer der jeweiligen Rolle können das Element dann sehen und ggf. bearbeiten.

Hier wird die enorme Vielseitigkeit und Flexibilität des Portals bei der Rechtevergabe deutlich. Zugleich schafft dies Komplexität. In der Praxis bewährt hat sich die vorwiegende Vergabe von Rechten auf Site- oder Organisationsebene. Nur in Ausnahmefällen sollten Rechte auf Pages, Widgets oder Assets vergeben werden, um weitgehende Transparenz für Administratoren und Redakteure zu erhalten.

Mandantenfähigkeit und Instanzen

Durch das flexible Rechtesystem mit Sites und Organisationen ist es für Unternehmen einfach, ihren Tochterunternehmen oder Händlern mit dem gleichen System ähnliche Funktionen mit abgewandeltem Corporate Design zur Verfügung zu stellen. Selbst die Domäne kann hier frei konfiguriert werden. Ist dies gewünscht, können die Mandaten Medien und Dokumente aus der globalen Site auch in „ihrem“ Portal zur Verfügung stellen, z.B. Produktbilder, Dokumentationen und Spezifikationen.

Sollen Nutzer und Inhalte zwischen Hauptsystem und den Mandantensystemen komplett getrennt werden, bietet Liferay die Möglichkeit, eine eigene Instanz zu erzeugen. Der Mandant kann so sämtliche vorhandenen Funktionalitäten nutzen, muss jedoch sämtliche Inhalte selbst erstellen und diese Instanz neu konfigurieren inkl. Rollen und Rechten.