Berechtigungen in Confluence

Eines der wesentlichen Merkmale eines Enterprise-Wikis ist sein Berechtigungskonzept bzw. dessen Umsetzung in einer Rechteverwaltung. Können Inhalte granular mit Berechtigungen versehen werden? Welche Arten von Berechtigungen stellt das System bereit? Können die Benutzer effektiv verwaltet und gruppiert werden? Der folgende Artikel gibt einen Einblick, welche Konzepte und Möglichkeiten die Rechteverwaltung von Confluence bereitstellt.

Grundkonzept

Prinzipiell werden in Confluence folgende drei Arten von Berechtigungen unterschieden:

  • Globale Berechtigungen,
  • bereichsbezogene Berechtigungen,
  • Seitenbeschränkungen.

Diese Berechtigungen können an einzelne Nutzer oder an ganze Nutzergruppen vergeben werden.

Ein wichtiges Merkmal der Rechteverwaltung ist deren additive Vergabe von Berechtigungen: den Nutzern von Confluence können Berechtigungen erteilt, aber nicht explizit entzogen werden. Besitzt z.B. eine bestimmte Nutzergruppe die Berechtigung, einen Bereich zu sehen und ein einzelner Nutzer soll davon ausgeschlossen werden, kann man diesen Nutzer nicht per Einzelberechtigung aus dem Bereich ausschließen – durch seine Gruppenzugehörigkeit wird er auch weiterhin das Recht besitzen, den Bereich zu sehen. Der Benutzer muss in diesem Fall also aus der Gruppe entfernt und ihm damit die entsprechenden Rechte entzogen werden.

Globale Berechtigungen

Cloud-Variante

In der Cloud-Variante von Confluence muss zunächst in der übergeordneten Site-Administration unter „Produkt verwalten“ festgelegt werden, welche Gruppen aus dem globalen Nutzerverzeichnis die Produktrolle „Benutzer“ bzw. „Produkt-Administrator“ erhalten sollen. Die Rolle „Benutzer“ bestimmt, welche Nutzer sich in Confluence einloggen dürfen. Über die Rolle „Produkt-Administrator“ werden die Confluence-Admins bestimmt, welche innerhalb von Confluence z.B. Apps konfigurieren und globale Berechtigungen zum Anlegen von Bereichen vergeben können.

Tipp: häufig wird die Einstellung der Standardgruppen nicht beachtet oder falsch verstanden. Alle Nutzer, denen per Einladung oder in den Nutzereinstellungen die Produktrolle „Benutzer“ zugeordnet wird, werden automatisch in alle ausgewählten Standardgruppen hinzugefügt. Das kann sehr nützlich sein, damit Nutzer automatisch in einer zugangsberechtigten Gruppe für Confluence landen. Gleichzeitig muss man aber vorsichtig sein, falls z.B. auch Externe in Confluence eingeladen werden, diese aber nicht sofort alle Bereiche sehen sollen. Da es immer mindestens eine Standardgruppe geben muss, sollte man also die Berechtigungen dieser Gruppe innerhalb von Confluence gut prüfen (siehe „Bereichsberechtigungen“).

Produktverwaltung: Zuweisen von Gruppen zu Produktrollen und Festlegen von Standardgruppen

Data Center – Variante

In der Data Center – Variante von Confluence können globale Berechtigungen von Confluence- und Systemadministratoren im globalen Administrationsmenü vorgenommen werden.  Dabei stehen folgende Berechtigungen zur Auswahl:

  • In Confluence einloggen
  • Dateien an Benutzerprofil anfügen
  • Benutzerstatus aktualisieren
  • Persönlicher Bereich
  • Bereich(e) erstellen
  • Confluence-Administrator
  • Systemadministrator

Ein wichtiger Punkt ist die globale Berechtigung „darf folgendes verwenden“ bzw. „can use„. Diese Checkbox legt fest, ob sich ein Nutzer bzw. eine Nutzergruppe in Confluence einloggen – also Confluence verwenden – darf. Auch für die Confluence-Lizenz spielt diese Berechtigung eine wichtige Rolle: Bestandteil der Lizenz sind diejenigen Nutzer, die die Berechtigung haben, sich in Confluence einzuloggen. Ist man also am Nutzerlimit angelangt und möchte Nutzer aus der Lizenz entfernen, muss man diesen die Berechtigung zum Einloggen entziehen. Dadurch werden wieder Lizenzplätze frei und andere Nutzer können die Berechtigung zum Verwenden von Confluence erhalten.

Bereichsberechtigungen

Bereichsberechtigungen werden jeweils innerhalb eines konkreten Bereiches definiert und legen fest, welche Nutzer und Nutzergruppen den Bereich und seine Inhalte sehen dürfen und welche Funktionen sie in diesem Bereich ausführen dürfen. Die Sichtbarkeit einzelner Wikiseiten wird an dieser Stelle jedoch noch nicht beschränkt: alle Nutzer, die den Bereich sehen dürfen, dürfen automatisch auch die Wikiseiten innerhalb dieses Bereiches sehen. Die Sichtbarkeit einzelner Seiten kann bei Bedarf individuell beschränkt werden (siehe „Seitenbeschränkungen“).

Bereichsberechtigungen können sowohl von globalen Administratoren als auch von Bereichsadministratoren festgelegt werden. Folgende Berechtigungen stehen zur Auswahl:

  • Anzeigen (also prinzipiell den Bereich sehen und öffnen)
  • Eigene löschen (eigene Seiten, Blogartikel und Anhänge löschen)
  • Inhalte
    • Hinzufügen
    • Archivieren
    • Löschen (d.h. alle Inhalte, nicht nur die selbst erstellten)
    • Hinzufügen
    • Entfernen
  • Blogs / Kommentare / Anhänge
    • Jeweils Hinzufügen und (alle) Löschen
  • Beschränkungen
    • Hinzufügen / Löschen (siehe „Seitenbeschränkungen“)
  • Bereich
    • Exportieren
    • Admin (Zugriff auf Bereichsadministration inkl. Bereichsberechtigungen)

Ein Bereich ist nur für diejenigen Nutzer sichtbar, die durch Einzel- oder Gruppenberechtigung die Berechtigung „Anzeigen“ besitzen. Ohne dieses Recht ist der Bereich und seine Inhalte für einen Nutzer komplett unsichtbar – der Bereich wird ihm weder auf dem Dashboard angezeigt werden noch wird er Inhalte dieses Bereiches über die Suche finden. Schützenswerte Inhalte können in Confluence also sehr gut in separaten, geschützten Bereichen verwaltet werden.

Confluence: Bereichsberechtigungen

Durch den Einsatz von Bereichsadministratoren kann die Verantwortlichkeit für einen Bereich auf bestimmte Kernnutzer delegiert werden. Nutzer mit dieser Berechtigung erhalten Zugriff auf die Bereichsadministration, wo sie u.a. die Berechtigungen für diesen Bereich festlegen sowie alle eingeschränkten Seiten einsehen und entsperren können.

Seitenbeschränkungen

Wie bereits erwähnt, wird auf Bereichsebene zunächst festgelegt, welche Nutzer und Nutzergruppen den Bereich und seine Inhalte sehen dürfen. Die Wikiseiten eines Bereiches sind also prinzipiell erstmal nicht beschränkt: alle Nutzer, die einen Bereich sehen können, können auch dessen Inhalte sehen. Natürlich kann es notwendig werden, dass einzelne Seiten nur von bestimmten Nutzern gesehen oder bearbeitet werden dürfen. Dafür kann sowohl beim Bearbeiten einer Seite als auch in der Leseansicht die Berechtigung zum Lesen und Bearbeiten der Seite auf Nutzer und Nutzergruppen eingeschränkt werden.

Confluence: Seitenbeschränkungen

Diese Einstellung kann nur von Nutzern vorgenommen werden, die die Bereichsberechtigung „Beschränkungen“ besitzen – auch hier kann also granular festgelegt werden, welche Nutzer die Inhalte des Bereiches einschränken dürfen.

Einige wichtige Hinweise, die sich in der Praxis von Seitenbeschränkungen gezeigt haben:

  • Die Lesebeschränkung einer Seite wird hierarchisch an deren Unterseiten vererbt. Das ist insbesondere wichtig, da einzelne Unterseiten nicht explizit „sichtbar“ gemacht werden können, sofern die Elternseite in der Sichtbarkeit eingeschränkt ist.
  • Unterseiten mit bereits vererbten Lesebeschränkungen können mit zusätzlichen Lesebeschränkungen versehen werden (die ihrerseits ebenfalls vererbt werden). Ein Nutzer muss immer alle – sowohl vererbte als auch für die Seite gesetzte – Berechtigungen erfüllen um die Seite sehen zu können.
  • Die Beschränkung für das Bearbeiten einer Seite wird nicht an deren Unterseiten vererbt sondern word für jede Seite individuell festgelegt.
  • Nutzer, die keine Berechtigung zum Bearbeiten einer Seite besitzen, können auch deren Seitenbeschränkungen nicht ändern (da sie sich sonst selbst die Berechtigung zum Bearbeiten wieder erteilen könnten).
  • Die Existenz von Seiten kann nicht komplett verborgen werden:
    • Manuell gesetzte Links werden nicht verborgen, auch wenn die Seite in der Sichtbarkeit eingeschränkt wird – sollte sich also auf einer Seite ein Link zu einer anderen Seite mit Lesebeschränkung befinden, kann jeder diesen Link sehen. Nutzern, die keine Leseberechtigung für die verlinkte Seite besitzen, wird ihm beim Anklicken des Links eine entsprechende Hinweismeldung angezeigt.
    • Seiten mit Lesebeschränkung können über ihre URL von allen Nutzern aufgerufen werden – diese sehen dann, dass es die Seite gibt, aber nicht deren Inhalt.
  • Bereichsadministratoren und Confluence-Administratoren können Seiten mit Lesebeschränkung zwar nicht direkt sehen, können aber in der Bereichsadministration eine Liste aller Seiten mit Lese- und/oder Bearbeiten-Beschränkung in diesem Bereich einsehen und sämtliche Beschränkungen wieder aufheben. Wikiseiten können vor Administratoren also nicht vollständig verborgen werden.

Fazit

Das Berechtigungskonzept von Confluence für viele Anwendungsfälle in kleinen und mittelgroßen Unternehmen sehr gut geeignet. Erst bei großen Systemen mit komplexen Berechtigungsstrukturen wird die Administration der Berechtigungen etwas unhandlich. Dennoch gilt in jedem Fall: soll Confluence in einem Unternehmen verwendet werden, sollte ein Berechtigungskonzept erstellt und die Anwendung entsprechend konfiguriert werden.

Sollten Sie Unterstützung bei der Konfiguration von Berechtigungen in Confluence benötigen, nehmen Sie gerne Kontakt mit mir auf.

9 Kommentare

  1. Hi Sebastian.
    Sofern Confluence in einem geschlossenen Netzwerk als lokale Installation genutzt wird – und User nur über das ActiveDirectory „gezogen“ werden – ist es möglich, bei solchen Gegebenheiten, einzelne Bereiche zu „öffnen“ und extern verfügbar zu machen?

    Danke vielmals im Voraus 🙂

    • Hi Ivan,

      das kommt darauf an, was mit „extern“ gemeint ist. Du kannst Confluence in den globalen Berechtigungen für anonyme Nutzer öffnen und dann zusätzlich in den Bereichsberechtigungen einzelne Bereiche ebenfalls für anonyme Nutzer freigeben (ggf. sogar Schreibrechte erteilen). Das „anonym“ steht dabei für Leute, die nicht in Confluence angemeldet sind, wie z.B. unter https://sebastianhoehne.atlassian.net/wiki/dashboard.action die Bereiche „Demonstration Space“ und „Sandbox“ – beide sind für anonyme Nutzer freigegeben, man kann also einfach darauf zugreifen ohne sich vorher anmelden zu müssen.

      Für euch würde das bedeuten: wenn ihr Confluence global für anonyme Nutzer öffnet und einzelne Bereiche für anonyme Nutzer freigebt, können alle innerhalb eures Netzwerkes diese Bereiche sehen, ohne sich anmelden zu müssen. Wenn ihr Leute von außen darauf zugreifen lassen wollt, müsst ihr dann zusätzlich die URL von Confluence auch von außerhalb eures Netzwerkes zugreifbar machen. Da solltet ihr dann aber genau festlegen, welche Bereiche für externe Leute sichtbar sind und welche nur für interne, damit nichts versehentlich veröffentlicht wird.

      Hoffe, das hilft euch weiter!

      Grüße,
      Sebastian

      • Hallo Sebastian,
        Danke für die schnelle Antwort. Wir wollen es vorerst nur bestimmten Externen Personen verfügbar machen – mit Login. Bei komplett geöffneten Bereichen ist die Gefahr von Spam gross (siehe auch bei deinem: https://sebastianhoehne.atlassian.net/wiki/display/SAN/Mein+How+To)
        Problematisch ist der Punkt, den du angesprochen hast: „URL von Confluence auch von außerhalb eures Netzwerkes zugreifbar machen“

        Danke & Grüsse,
        Ivan

  2. Hallo Sebastian,

    vielen Dank für deinen interessanten Artikel. Ich habe noch eine Frage dazu. Du schreibst „News können nicht mit Lese- oder Bearbeiten-Beschränkungen versehen werden und werden dies voraussichtlich auch in Zukunft nicht können“. Bedeutet dies, dass alle Nutzer immer die News sehen. Ich möchte confluence als QM-Wiki nutzen und die Nutzer sollen nicht sehen, wenn ich etwas verändere, sonst ist die Informationsflut (News) für die Benutzer zu groß.

    Viele Grüße

    David

    • Hallo David,

      mit dem News sind die Blogartikel gemeint: jeder Bereich in Confluence hat einen eigenen Blog, und wer einen Bereich sehen darf, darf auch alle Blogartikel aus diesem Bereich sehen. Geht es dir eher um die Benachrichtigungen, wenn Wikiseiten bearbeitet werden? Da bekommt man als normaler Nutzer nur eine Mail zugesendet, wenn man die Seite explizit „beobachtet“.

      Grüße,
      Sebastian

  3. Hallo Sebastian,

    ist es eigentlich auch möglich, einzelne Plugins vom Zugriff auszunehmen?
    Wir haben den „Team-Calendar“ installiert, dieser ist (scheinbar) aber immer und für alle User sichtbar. Ich habe den Zugriff einzelner User bereits auf spezifische Bereiche einschränken können – der Kalender ist aber immer sichtbar.

    Gruß,
    Felix

    • Hallo Felix,

      für den Zugriff auf Plugin-Funktionen kann man an sich keine Berechtigungen einstellen (ausser man verwendet das Plugin „Macro Security for Confluence“, damit kann man Beschränkungen für einzelne Macros vergeben).

      Wenn es bei euch aber speziell um den Kalender geht: die Hauptansicht des Kalenders kann prinzipiell jeder sehen. Du kannst aber in den eigentlichen Kalendern (z.B. Urlaubskalender, Projektkalender, Personenkalender) rechts ein Menü öffnen (der Button mit den 3 Punkten) und dort unter „Beschränkungen“ festlegen, wer diesen Kalender sehen / bearbeiten darf. Damit kann man recht leicht steuern, welche Nutzer oder Gruppen welche Kalender sehen dürfen.

      Grüße,
      Sebastian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.