Berechtigungen in Confluence

Eines der wesentlichen Merkmale eines Enterprise-Wikis ist sein Berechtigungskonzept bzw. dessen Umsetzung in einer Rechteverwaltung. Können Inhalte granular mit Berechtigungen versehen werden? Welche Arten von Berechtigungen stellt das System bereit? Können die Benutzer effektiv verwaltet und gruppiert werden? Der folgende Artikel gibt einen Einblick, welche Konzepte und Möglichkeiten die Rechteverwaltung von Confluence bereitstellt.

Grundkonzept

Prinzipiell werden in Confluence folgende drei Arten von Berechtigungen unterschieden:

  • Globale Berechtigungen,
  • bereichsbezogene Berechtigungen,
  • Seitenberechtigungen.

Diese Berechtigungen können an einzelne Nutzer oder an ganze Nutzergruppen vergeben werden.

Ein wichtiges Merkmal der Rechteverwaltung ist deren additive Vergabe von Berechtigungen: den Nutzern von Confluence können Berechtigungen erteilt, aber nicht explizit entzogen werden. Besitzt z.B. eine bestimmte Nutzergruppe die Berechtigung, einen Bereich zu sehen und ein einzelner Nutzer soll davon ausgeschlossen werden, kann man diesen Nutzer nicht per Einzelberechtigung aus dem Bereich ausschließen – durch seine Gruppenzugehörigkeit wird er auch weiterhin das Recht besitzen, den Bereich zu sehen. Der Benutzer muss in diesem Fall also aus der Gruppe entfernt und ihm damit die entsprechenden Rechte entzogen werden.

Globale Berechtigungen

Globale Berechtigungen können von Confluence- und Systemadministratoren im globalen Administrationsmenü vorgenommen werden (zu errichen unter: Confluence AdminBenutzer und SicherheitGlobale Berechtigungen).  Dabei stehen folgende Berechtigungen zur Auswahl:

  • In Confluence einloggen („darf folgendes verwenden“ / „can use„)
  • Dateien an Benutzerprofil anfügen
  • Benutzerstatus aktualisieren
  • Persönlicher Bereich
  • Bereich(e) erstellen
  • Confluence-Administrator
  • Systemadministrator

Ein wichtiger Punkt ist die globale Berechtigung „darf folgendes verwenden“ bzw. „can use„. Diese Checkbox legt fest, ob sich ein Nutzer bzw. eine Nutzergruppe in Confluence einloggen – also Confluence verwenden – darf. Auch für die Confluence-Lizenz spielt diese Berechtigung eine wichtige Rolle: Bestandteil der Lizenz sind alle diejnigen Benutzer, die die Berechtigung haben, sich in Confluence einzuloggen. Ist man also am Nutzerlimit angelangt und möchte Nutzer aus der Lizenz entfernen, muss man diesen die Berechtigung zum Einloggen entziehen. Dadurch werden wieder Lizenzplätze frei und andere Nutzer können die Berechtigung zum Verwenden von Confluence erhalten.

Bereichsberechtigungen

Bereichsberechtigungen werden jeweils innerhalb eines konkreten Bereiches definiert und legen fest, welche Nutzer und Nutzergruppen den Bereich und seine Inhalte sehen dürfen und welche Funktionen sie in diesem Bereich ausführen dürfen. Die Sichtbarkeit einzelner Wikiseiten wird an dieser Stelle jedoch noch nicht beschränkt: alle Nutzer, die den Bereich sehen dürfen, dürfen automatisch auch die Wikiseiten innerhalb dieses Bereiches sehen. Die Sichtbarkeit einzelner Seiten kann bei Bedarf individuell beschränkt werden (siehe „Seitenberechtigungen“).

Bereichsberechtigungen können sowohl von globalen Administratoren als auch von Bereichsadministratoren festgelegt werden und sind unter DurchsuchenVerwaltung des BereichsBerechtigungen zu erreichen. Dort stehen folgende Berechtigungen zur Auswahl:

  • Bereich anzeigen (also prinzipiell den Bereich sehen und öffnen)
  • Seiten
    • Hinzufügen
    • Exportieren
    • Beschränken (Seitenberechtigungen erteilen)
    • Entfernen
  • News / Kommentare / Anhänge
    • Hinzufügen
    • Entfernen
  • E-Mail
    • Entfernen
  • Bereich
    • Exportieren
    • Administrator (Zugriff auf Bereichsadministration inkl. Bereichsberechtigungen)

Ein Bereich ist nur für diejenigen Nutzer sichtbar, die durch Einzel- oder Gruppenberechtigung die Berechtigung „Bereich anzeigen“ besitzen. Ohne dieses Recht ist der Bereich und seine Inhalte für einen Nutzer komplett unsichtbar – der Bereich wird ihm weder auf dem Dashboard angezeigt werden noch wird er Inhalte dieses Bereiches über die Suche finden. Schützenswerte Inhalte können in Confluence also sehr gut in separaten, geschützten Bereichen verwaltet werden.

Durch den Einsatz von Bereichsadministratoren kann die Verantwortlichkeit für einen Bereich auf bestimmte Kernnutzer delegiert werden. Nutzer mit dieser Berechtigung erhalten Zugriff auf die Bereichsadministration, wo sie u.a. die Berechtigungen für diesen Bereich festlegen sowie alle eingeschränkten Seiten einsehen und entsperren können.

Seitenberechtigungen

Wie bereits erwähnt, wird auf Bereichsebene zunächst festgelegt, welche Nutzer und Nutzergruppen den Bereich und seine Inhalte sehen dürfen. Die Wikiseiten eines Bereiches sind also prinzipiell erstmal nicht beschränkt: alle Nutzer, die einen Bereich sehen können, können auch dessen Inhalte sehen. Natürlich kann es notwendig werden, dass einzelne Seiten nur von bestimmten Nutzern gesehen oder bearbeitet werden dürfen. Dafür kann sowohl beim Bearbeiten einer Seite (links unten „nicht eingeschränkt“ / „eingeschränkt„) als auch in der Leseansicht (ExtrasBeschränkungen) die Berechtigung zum Lesen und Bearbeiten der Seite auf Nutzer und Nutzergruppen eingeschränkt werden.

Diese Einstellung kann nur von Nutzern vorgenommen werden, die die Bereichsberechtigung „Beschränken“ besitzen – auch hier kann also granular festgelegt werden, welche Nutzer die Inhalte des Bereiches einschränken dürfen.

Einige wichtige Hinweise, die sich in der Praxis von Seitenbeschränkungen gezeigt haben:

  • Die Lesebeschränkung einer Seite wird hierarchisch an deren Unterseiten vererbt. Das ist insbesondere wichtig, da einzelne Unterseiten nicht explizit „sichtbar“ gemacht werden können, sofern die Elternseite in der Sichtbarkeit eingeschränkt ist.
  • Unterseiten mit bereits vererbten Lesebeschränkungen können mit zusätzlichen Lesebeschränkungen versehen werden (die ihrerseits ebenfalls vererbt werden). Ein Nutzer muss immer alle – sowohl vererbte als auch für die Seite gesetzte – Berechtigungen erfüllen um die Seite sehen zu können.
  • Die Beschränkung für das Bearbeiten einer Seite wird nicht an deren Unterseiten vererbt sondern word für jede Seite individuell festgelegt.
  • Nutzer, die keine Berechtigung zum Bearbeiten einer Seite besitzen, können auch deren Seitenbeschränkungen nicht ändern (da sie sich sonst selbst die Berechtigung zum Bearbeiten wieder erteilen könnten).
  • Die Existenz von Seiten kann nicht komplett verborgen werden:
    • Manuell gesetzte Links werden nicht verborgen, auch wenn die Seite in der Sichtbarkeit eingeschränkt wird – sollte sich also auf einer Seite ein Link zu einer anderen Seite mit Lesebeschränkung befinden, kann jeder diesen Link sehen. Nutzern, die keine Leseberechtigung für die verlinkte Seite besitzen, wird ihm beim Anklicken des Links eine entsprechende Hinweismeldung angezeigt.
    • Seiten mit Lesebeschränkung können über ihre URL von allen Nutzern aufgerufen werden – diese sehen dann, dass es die Seite gibt, aber nicht deren Inhalt.
  • Bereichsadministratoren und Confluence-Administratoren können Seiten mit Lesebeschränkung zwar nicht direkt sehen, können aber in der Bereichsadministration eine Liste aller Seiten mit Lese- und/oder Bearbeiten-Beschränkung in diesem Bereich einsehen und sämtliche Beschränkungen wieder aufheben. Wikiseiten können vor Administratoren also nicht vollständig verborgen werden.
  • News können nicht mit Lese- oder Bearbeiten-Beschränkungen versehen werden und werden dies voraussichtlich auch in Zukunft nicht können (siehe CONF-3305 bzw. im Interview von Seibert Media mit Sven Peters).

Fazit

Das Berechtigungskonzept von Confluence ist durchdacht und für viele Anwendungsfälle – insbesondere in kleinen und mitteltgr0ßen Unternehmen – sehr gut geeignet. Erst bei großen Systemen mit komplexen Berechtigungsstrukturen wird die Administration der Berechtigungen etwas unhandlich. Dennoch gilt in jedem Fall: soll Confluence professionell verwendet werden, muss – zumindest ein minimales – Berechtigungskonzept erstellt und die Anwendung entsprechend konfiguriert werden.

27. Juni 2012 von Sebastian Höhne
Kategorien: Confluence | Schlagwörter: , , | 9 Kommentare

Kommentare (9)

  1. Pingback: Liferay, Sharepoint, Confluence - Ein Vergleich • Sebastian Höhne • IT-Beratung und Training

  2. Pingback: Liferay, Sharepoint, Confluence – Ein Vergleich | Knowledge Management Blog

  3. Hi Sebastian.
    Sofern Confluence in einem geschlossenen Netzwerk als lokale Installation genutzt wird – und User nur über das ActiveDirectory „gezogen“ werden – ist es möglich, bei solchen Gegebenheiten, einzelne Bereiche zu „öffnen“ und extern verfügbar zu machen?

    Danke vielmals im Voraus :)

    • Hi Ivan,

      das kommt darauf an, was mit „extern“ gemeint ist. Du kannst Confluence in den globalen Berechtigungen für anonyme Nutzer öffnen und dann zusätzlich in den Bereichsberechtigungen einzelne Bereiche ebenfalls für anonyme Nutzer freigeben (ggf. sogar Schreibrechte erteilen). Das „anonym“ steht dabei für Leute, die nicht in Confluence angemeldet sind, wie z.B. unter https://sebastianhoehne.atlassian.net/wiki/dashboard.action die Bereiche „Demonstration Space“ und „Sandbox“ – beide sind für anonyme Nutzer freigegeben, man kann also einfach darauf zugreifen ohne sich vorher anmelden zu müssen.

      Für euch würde das bedeuten: wenn ihr Confluence global für anonyme Nutzer öffnet und einzelne Bereiche für anonyme Nutzer freigebt, können alle innerhalb eures Netzwerkes diese Bereiche sehen, ohne sich anmelden zu müssen. Wenn ihr Leute von außen darauf zugreifen lassen wollt, müsst ihr dann zusätzlich die URL von Confluence auch von außerhalb eures Netzwerkes zugreifbar machen. Da solltet ihr dann aber genau festlegen, welche Bereiche für externe Leute sichtbar sind und welche nur für interne, damit nichts versehentlich veröffentlicht wird.

      Hoffe, das hilft euch weiter!

      Grüße,
      Sebastian

      • Hallo Sebastian,
        Danke für die schnelle Antwort. Wir wollen es vorerst nur bestimmten Externen Personen verfügbar machen – mit Login. Bei komplett geöffneten Bereichen ist die Gefahr von Spam gross (siehe auch bei deinem: https://sebastianhoehne.atlassian.net/wiki/display/SAN/Mein+How+To)
        Problematisch ist der Punkt, den du angesprochen hast: „URL von Confluence auch von außerhalb eures Netzwerkes zugreifbar machen“

        Danke & Grüsse,
        Ivan

  4. Hallo Sebastian,

    vielen Dank für deinen interessanten Artikel. Ich habe noch eine Frage dazu. Du schreibst „News können nicht mit Lese- oder Bearbeiten-Beschränkungen versehen werden und werden dies voraussichtlich auch in Zukunft nicht können“. Bedeutet dies, dass alle Nutzer immer die News sehen. Ich möchte confluence als QM-Wiki nutzen und die Nutzer sollen nicht sehen, wenn ich etwas verändere, sonst ist die Informationsflut (News) für die Benutzer zu groß.

    Viele Grüße

    David

    • Hallo David,

      mit dem News sind die Blogartikel gemeint: jeder Bereich in Confluence hat einen eigenen Blog, und wer einen Bereich sehen darf, darf auch alle Blogartikel aus diesem Bereich sehen. Geht es dir eher um die Benachrichtigungen, wenn Wikiseiten bearbeitet werden? Da bekommt man als normaler Nutzer nur eine Mail zugesendet, wenn man die Seite explizit „beobachtet“.

      Grüße,
      Sebastian

  5. Hallo Sebastian,

    ist es eigentlich auch möglich, einzelne Plugins vom Zugriff auszunehmen?
    Wir haben den „Team-Calendar“ installiert, dieser ist (scheinbar) aber immer und für alle User sichtbar. Ich habe den Zugriff einzelner User bereits auf spezifische Bereiche einschränken können – der Kalender ist aber immer sichtbar.

    Gruß,
    Felix

    • Hallo Felix,

      für den Zugriff auf Plugin-Funktionen kann man an sich keine Berechtigungen einstellen (ausser man verwendet das Plugin „Macro Security for Confluence“, damit kann man Beschränkungen für einzelne Macros vergeben).

      Wenn es bei euch aber speziell um den Kalender geht: die Hauptansicht des Kalenders kann prinzipiell jeder sehen. Du kannst aber in den eigentlichen Kalendern (z.B. Urlaubskalender, Projektkalender, Personenkalender) rechts ein Menü öffnen (der Button mit den 3 Punkten) und dort unter „Beschränkungen“ festlegen, wer diesen Kalender sehen / bearbeiten darf. Damit kann man recht leicht steuern, welche Nutzer oder Gruppen welche Kalender sehen dürfen.

      Grüße,
      Sebastian

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert


feedback