Berechtigungskonzept

In diesem Kapitel lernst du, wie das Berechtigungssystem im CRM-Modul funktioniert und wie du Zugriffsrechte für Benutzer und Teams konfigurierst.

Überblick

Das CRM-Modul verwendet das ELIZA-Berechtigungssystem in Kombination mit Systemgruppen, Spaces und Organisationseinheiten (Orgunits).

Berechtigungsebenen

┌─────────────────────────────────────────────────────┐
│  1. System-Berechtigungen (Basis-Level)             │
│     ↓                                               │
│  2. Systemgruppen (ELIZA-Rollen)                    │
│     ↓                                               │
│  3. Spaces (Team-basierte Berechtigung)             │
│     ↓                                               │
│  4. Orgunits (Abteilungs-basierte Berechtigung)     │
└─────────────────────────────────────────────────────┘

System-Berechtigungen (Basis-Berechtigungen)

Standard CRM-Permissions

Jedes Model im CRM hat vier Basis-Permissions:

PermissionCodeBeschreibung
Ansehencrm.view_contactKontakte anzeigen und lesen
Hinzufügencrm.add_contactNeue Kontakte erstellen
Änderncrm.change_contactBestehende Kontakte bearbeiten
Löschencrm.delete_contactKontakte löschen

Permissions nach Model

Kontakte (Contact)

  • crm.view_contact - Kontakte ansehen
  • crm.add_contact - Neue Kontakte erstellen
  • crm.change_contact - Kontakte bearbeiten
  • crm.delete_contact - Kontakte löschen

Organisationen (Organisation)

  • crm.view_organisation - Organisationen ansehen
  • crm.add_organisation - Neue Organisationen erstellen
  • crm.change_organisation - Organisationen bearbeiten
  • crm.delete_organisation - Organisationen löschen

Labels

  • crm.view_label - Labels ansehen
  • crm.add_label - Neue Labels erstellen
  • crm.change_label - Labels bearbeiten
  • crm.delete_label - Labels löschen

Rollen (Role)

  • crm.view_role - Rollen ansehen
  • crm.add_role - Neue Rollen erstellen
  • crm.change_role - Rollen bearbeiten
  • crm.delete_role - Rollen löschen

Beteiligungen (Participation)

  • crm.view_participation - Beteiligungen ansehen
  • crm.add_participation - Neue Beteiligungen erstellen
  • crm.change_participation - Beteiligungen bearbeiten
  • crm.delete_participation - Beteiligungen löschen

Systemgruppen

ELIZA verwendet vordefinierte Systemgruppen, die Permissions bündeln.

CRM-Systemgruppen

1. CRM Admin (crm_admin)

Vollzugriff auf das CRM-Modul

Permissions:

  • Alle view_* Permissions
  • Alle add_* Permissions
  • Alle change_* Permissions
  • Alle delete_* Permissions

Anwendungsfälle:

  • CRM-Verantwortliche
  • Marketing-Leiter
  • Vertriebsleiter

Was du damit tun kannst:

  • ✅ Alle Kontakte und Organisationen sehen
  • ✅ Kontakte und Organisationen erstellen, bearbeiten, löschen
  • ✅ Labels und Rollen verwalten
  • ✅ Beteiligungen erstellen und verwalten
  • ✅ System-Konfiguration vornehmen

2. CRM User (crm_user)

Standard-Benutzerzugriff

Permissions:

  • crm.view_contact
  • crm.view_organisation
  • crm.add_contact
  • crm.add_organisation
  • crm.change_contact
  • crm.change_organisation
  • crm.view_label
  • crm.add_label
  • crm.view_role
  • crm.add_participation
  • crm.change_participation

Anwendungsfälle:

  • Vertriebsmitarbeiter
  • Marketing-Mitarbeiter
  • Projektmanager

Was du damit tun kannst:

  • ✅ Kontakte und Organisationen sehen
  • ✅ Neue Kontakte und Organisationen erstellen
  • ✅ Bestehende Einträge bearbeiten
  • ✅ Labels zur Kategorisierung nutzen
  • ✅ Beteiligungen erstellen
  • ❌ Keine Lösch-Rechte
  • ❌ Keine Rollen-Verwaltung

3. CRM Viewer (crm_viewer)

Nur Lese-Zugriff

Permissions:

  • crm.view_contact
  • crm.view_organisation
  • crm.view_label
  • crm.view_role
  • crm.view_participation

Anwendungsfälle:

  • Controlling
  • Geschäftsführung
  • Reporting-Zugriff

Was du damit tun kannst:

  • ✅ Alle Kontakte und Organisationen sehen
  • ✅ Beteiligungen anzeigen
  • ❌ Keine Bearbeitungs-Rechte
  • ❌ Keine Erstellungs-Rechte
  • ❌ Keine Lösch-Rechte

Systemgruppen zuweisen

Schritt-für-Schritt:

  1. Navigiere zu CoreBenutzerverwaltung
  2. Wähle den Benutzer aus
  3. Scrolle zu Gruppen
  4. Wähle die gewünschte CRM-Systemgruppe:
    • crm_admin für Administratoren
    • crm_user für Standard-Benutzer
    • crm_viewer für Lesezugriff
  5. Klicke auf Speichern

💡 Tipp: Ein Benutzer kann mehrere Systemgruppen haben. Die Permissions werden kombiniert (additive Permissions).

Spaces (Team-basierte Berechtigungen)

Spaces ermöglichen team-basierte Zugriffskontrolle auf Objekte.

Was sind Spaces?

Ein Space ist ein virtueller Bereich, dem:

  • Benutzer zugewiesen werden können
  • Objekte (Kontakte, Organisationen) zugeordnet werden können

Prinzip: Nur Benutzer im gleichen Space können die zugeordneten Objekte sehen.

Space-Konzept im CRM

Space "Vertrieb Deutschland"
├── Benutzer:
│   ├── Hans Müller (Vertriebsleiter)
│   ├── Maria Schmidt (Vertrieb)
│   └── Peter Wagner (Vertrieb)
└── Objekte:
    ├── Kontakte: Deutsche Kunden
    └── Organisationen: Deutsche Unternehmen

Space "Vertrieb Schweiz"
├── Benutzer:
│   ├── Thomas Meier (Vertriebsleiter)
│   └── Anna Schneider (Vertrieb)
└── Objekte:
    ├── Kontakte: Schweizer Kunden
    └── Organisationen: Schweizer Unternehmen

Ergebnis:

  • Hans Müller sieht nur deutsche Kontakte
  • Thomas Meier sieht nur schweizer Kontakte
  • Keine Überschneidungen

Spaces verwenden

⚠️ Wichtig: Space-Verwaltung erfordert Administrator-Rechte.

Objekte einem Space zuordnen:

  1. Öffne den Kontakt oder die Organisation
  2. Scrolle zu Space-Zuordnung
  3. Wähle den gewünschten Space
  4. Speichere

Benutzer einem Space zuweisen:

  1. Navigiere zu CoreBenutzerverwaltung
  2. Wähle den Benutzer
  3. Weise den Space zu
  4. Speichere

Best Practices für Spaces

Empfehlungen:

  1. Regionale Trennung: Nutze Spaces für geografische Bereiche (DE, CH, AT)
  2. Abteilungs-Trennung: Separate Spaces für Marketing, Vertrieb, Support
  3. Projekt-basiert: Eigene Spaces für große Projekte oder Kunden
  4. Klare Benennung: Verwende eindeutige Space-Namen (Vertrieb_DE, Marketing_CH)

Vermeide:

  1. Zu viele Spaces: Nicht mehr als 5-10 Spaces pro Organisation
  2. Überlappende Spaces: Klare Zuständigkeiten definieren
  3. Inkonsistente Nutzung: Entweder konsequent nutzen oder gar nicht

Orgunits (Organisationseinheiten)

Organisationseinheiten ermöglichen hierarchische Zugriffskontrolle basierend auf Abteilungsstrukturen.

Was sind Orgunits?

Orgunits bilden die Organisationsstruktur ab:

Unternehmen
├── Geschäftsführung
├── Vertrieb
│   ├── Vertrieb Deutschland
│   └── Vertrieb Schweiz
├── Marketing
└── IT

Orgunit-basierte Berechtigungen im CRM

Prinzip: Benutzer sehen nur Kontakte/Organisationen, die ihrer Orgunit oder untergeordneten Orgunits zugeordnet sind.

Beispiel:

Benutzer: Hans Müller (Orgunit: Vertrieb Deutschland)
Sieht Kontakte von:
- Vertrieb Deutschland ✅
- Untergeordnete Orgunits von Vertrieb Deutschland ✅
- Andere Orgunits (z.B. Vertrieb Schweiz) ❌

Orgunits im CRM verwenden

Kontakte/Organisationen einer Orgunit zuordnen:

  1. Öffne den Kontakt oder die Organisation
  2. Wähle das Feld Organisationseinheit
  3. Wähle die passende Orgunit aus
  4. Speichere

Best Practices:

  • ✅ Ordne neue Kontakte sofort einer Orgunit zu
  • ✅ Verwende die Orgunit-Hierarchie konsequent
  • ✅ Prüfe regelmäßig die Zuordnung

Eigentümer-Rechte

Im CRM gibt es kein explizites Eigentümer-Konzept wie im DMS. Alle berechtigten Benutzer können Kontakte und Organisationen sehen und bearbeiten.

Verantwortlichkeiten über Beteiligungen

Statt Eigentümer-Rechten werden Beteiligungen mit Rollen verwendet:

Beispiel:

Kontakt: Max Mustermann
Beteiligungen:
- Hans Müller, Rolle: "Verantwortlicher Vertrieb"
- Maria Schmidt, Rolle: "Account Manager"

Vorteile:

  • Transparenz über Verantwortlichkeiten
  • Mehrere Personen können verantwortlich sein
  • Flexible Rollen-Definition

Berechtigungs-Kombinationen

Häufige Szenarien

Szenario 1: Vertriebsmitarbeiter mit regionalem Zugriff

Anforderung: Vertriebsmitarbeiter soll nur deutsche Kunden sehen

Lösung:

  1. Systemgruppe: crm_user
  2. Space: Vertrieb_Deutschland
  3. Orgunit: Vertrieb / Deutschland

Ergebnis:

  • ✅ Kann deutsche Kontakte sehen und bearbeiten
  • ❌ Sieht keine schweizer Kontakte
  • ✅ Kann neue deutsche Kontakte erstellen

Szenario 2: Marketing-Manager mit Vollzugriff

Anforderung: Marketing-Leiter soll alle Kontakte sehen und verwalten können

Lösung:

  1. Systemgruppe: crm_admin
  2. Space: Alle Spaces oder kein Space-Filter
  3. Orgunit: Hauptorgunit (oberste Ebene)

Ergebnis:

  • ✅ Sieht alle Kontakte und Organisationen
  • ✅ Kann alles erstellen, bearbeiten, löschen
  • ✅ Kann Labels und Rollen verwalten

Szenario 3: Controlling mit Lesezugriff

Anforderung: Controlling soll alle Kontakte sehen, aber nichts ändern

Lösung:

  1. Systemgruppe: crm_viewer
  2. Space: Alle Spaces
  3. Orgunit: Hauptorgunit

Ergebnis:

  • ✅ Sieht alle Kontakte und Organisationen
  • ✅ Kann Berichte erstellen
  • ❌ Kann nichts bearbeiten oder löschen

Berechtigungen prüfen

Als Benutzer

Deine eigenen Berechtigungen prüfen:

  1. Klicke auf Dein Profil (oben rechts)
  2. Wähle Mein Profil
  3. Scrolle zu Gruppen und Berechtigungen
  4. Prüfe:
    • Welche Systemgruppen du hast
    • Welche Spaces du zugeordnet bist
    • Welche Orgunit du hast

Als Administrator

Berechtigungen anderer Benutzer prüfen:

  1. Navigiere zu CoreBenutzerverwaltung
  2. Wähle den Benutzer
  3. Prüfe:
    • Gruppen: Welche Systemgruppen hat der Benutzer?
    • Spaces: Welche Spaces sind zugeordnet?
    • Orgunit: Welcher Orgunit gehört der Benutzer an?

Berechtigungen testen

Test-Vorgehen:

  1. Als Testbenutzer einloggen
  2. CRM-Modul öffnen
  3. Prüfen:
    • Welche Kontakte sind sichtbar?
    • Welche Buttons sind verfügbar? (Erstellen, Bearbeiten, Löschen)
    • Welche Menüpunkte sind sichtbar?

Häufige Probleme und Lösungen

Problem: Benutzer sieht keine Kontakte

Mögliche Ursachen:

  1. Keine View-Permission

    • Lösung: Systemgruppe crm_user oder crm_viewer zuweisen

  2. Falscher Space

    • Lösung: Benutzer dem richtigen Space zuweisen oder Kontakte dem Space des Benutzers zuordnen

  3. Falsche Orgunit

    • Lösung: Benutzer oder Kontakte der passenden Orgunit zuordnen

Problem: Benutzer kann Kontakte nicht bearbeiten

Mögliche Ursachen:

  1. Nur View-Permission

    • Lösung: Systemgruppe auf crm_user upgraden

  2. Viewer-Rolle

    • Lösung: Von crm_viewer auf crm_user wechseln

Problem: Benutzer sieht zu viele Kontakte

Mögliche Ursachen:

  1. Kein Space-Filter aktiv

    • Lösung: Benutzer einem Space zuweisen und sicherstellen, dass nur relevante Kontakte diesem Space zugeordnet sind

  2. Zu hohe Orgunit

    • Lösung: Benutzer einer spezifischeren Orgunit zuweisen

Problem: Admin sieht nicht alle Kontakte

Ursache: Auch Admins unterliegen Space- und Orgunit-Filtern

Lösung:

  1. Admin allen relevanten Spaces zuweisen
  2. Admin der obersten Orgunit zuweisen
  3. Oder: Admin-Benutzer von Filtern ausnehmen (benötigt Superuser-Rechte)

Best Practices

✅ Empfehlungen

  1. Minimale Berechtigungen: Gib nur die Berechtigungen, die wirklich benötigt werden
  2. Systemgruppen nutzen: Verwende Systemgruppen statt individueller Permissions
  3. Spaces konsistent verwenden: Entscheide dich für eine Space-Strategie und bleibe dabei
  4. Regelmäßige Reviews: Prüfe vierteljährlich alle Berechtigungen
  5. Dokumentation: Halte fest, welche Rolle welche Berechtigungen haben soll
  6. Testen: Teste neue Berechtigungen mit Testbenutzern

❌ Häufige Fehler

  1. Zu viele Admins: Nicht jeden zum crm_admin machen
  2. Keine Spaces verwenden: Spaces bieten wichtige Abgrenzungen
  3. Inkonsistente Zuordnung: Kontakte ohne Space/Orgunit-Zuordnung
  4. Vergessene Benutzer: Alte Mitarbeiter-Accounts nicht deaktiviert
  5. Keine Dokumentation: Berechtigungskonzept nicht schriftlich festgehalten

Zusammenfassung

Drei Berechtigungsebenen

  1. System-Berechtigungen: Basis-Rechte (View, Add, Change, Delete)
  2. Systemgruppen: Vordefinierte Rollen (crm_admin, crm_user, crm_viewer)
  3. Spaces & Orgunits: Fein-granulare Zugriffskontrolle

Wichtige Punkte

  • 🔐 Sicherheit: Verwende minimale Berechtigungen
  • 👥 Systemgruppen: Nutze vordefinierte Gruppen statt einzelner Permissions
  • 🏢 Spaces: Ermöglichen team-basierte Trennung
  • 🌳 Orgunits: Ermöglichen hierarchische Berechtigungen
  • 📋 Beteiligungen: Zeigen Verantwortlichkeiten (kein Eigentümer-Konzept)

Nächste Schritte

  • Lies Integration mit anderen Modulen für modul-übergreifende Berechtigungen
  • Konsultiere deinen ELIZA-Administrator für spezifische Berechtigungsfragen
  • Teste deine Berechtigungen regelmäßig

Häufige Fragen (FAQ)

Wer kann CRM-Berechtigungen verwalten?

Nur Benutzer mit Superuser-Rechten oder der Permission auth.change_user können Berechtigungen vergeben.

Kann ich eigene Systemgruppen erstellen?

Ja, aber es wird empfohlen, die vordefinierten Systemgruppen zu verwenden. Eigene Gruppen sollten über die Admin-Oberfläche erstellt werden.

Was passiert wenn ein Benutzer mehrere Systemgruppen hat?

Die Permissions werden kombiniert (additive Permissions). Ein Benutzer mit crm_viewer UND crm_user hat alle Rechte von crm_user.

Wie funktionieren Berechtigungen bei Beteiligungen?

Beteiligungen haben keine eigenen Berechtigungen. Die Berechtigung zum Erstellen/Ändern von Beteiligungen wird über die Systemgruppe gesteuert.

Können Kontakte geschützt werden?

Nein, im CRM gibt es keine geschützten Kontakte. Verwende Spaces oder Orgunits für Zugriffsbeschränkungen.

Wie erhalte ich mehr Rechte im CRM?

Kontaktiere deinen ELIZA-Administrator und begründe, warum du erweiterte Rechte benötigst.

Bei Fragen zum Berechtigungskonzept wende dich an deinen ELIZA-Administrator!

permissions security admin crm
Integration mit anderen … chevron_right
home Zum Anfang arrow_back Zurück zum Modul
format_list_bulleted Inhaltsverzeichnis