Merge pull request #280 from mapbender/documentation/fom

Update of FOM/User rights sections

Author: kartoffelfee

de/functions/backend/FOM/acl.rst

@@ -4,47 +4,15 @@
 Access Control Lists (ACL)
 ==========================
 
-Die Absicherung von Domain-Objekten (generell Datenbank Entities) wird über
-Access Control Lists (ACL) implementiert. ACLs ermöglichen eine flexible
-Genehmigung für individuelle Objekte.
+Die Absicherung von Domain-Objekten wird in Mapbender über Access Control Lists (ACLs) implementiert. ACLs ermöglichen in Mapbender eine flexible Rechtezuweisung auf Applikationen, Dienste und die Benutzer- und Gruppenverwaltung selbst.
 
-Für jede Domain-Objektklasse können bis zu 30 verschiedene Rechte
-gewährleistet werden. Generell reichen die folgenden 7 aus:
+Mapbender bietet zur Absicherung dieser Bereiche die folgenden Rechte- und Rollenzuweisungen an:
 
-- View       : Objekt lesen
+- View       : Ein existierendes Objekt lesen
 - Create     : Ein neues Objekt erstellen
 - Edit       : Ein existierendes Objekt bearbeiten
 - Delete     : Ein existierendes Objekt löschen
-- Operator   : Die Rechte zu Lesen, Erstellen, Editieren und zu Löschen
-- Master     : Die Operator Rechte, kann alle Rechte bis zum Operator Level verwalten
-- Owner      : Master Rechte. Kann Master Rechte selbst verwalten
+- Operator   : Rollenbezeichnung für die Rolle "Operator", dieser hat die Rechte View, Edit und Delete.
+- Master     : Rollenbezeichnung für die Rolle "Master", dieser hat Operator-Rechte und kann zusätzlich alle oberen Rechte anderen zuweisen.
+- Owner      : Rollenbezeichnung für die Rolle "Owner", dieser kann sowohl Operator als auch Master-Rechte zuweisen.
 
-Jedes ACL baut sich aus einer Objekt Identity und bestimmten Access Control Entries (ACE) auf.
-
-
-Objekt Identität
-----------------
-
-ACLs werden nicht direkt den Objekten zugeordnet sondern den sogenannten
-Objekt Identities. Diese repräsentieren individuelle Objekte oder Klassen
-(das Create Recht ist zum Beispiel ein Recht auf eine Klasse).
-
-
-Access Control Entries
-----------------------
-
-Jedes ACE enthält die Rechte für einen Benutzer oder eine Rolle. Die Rechte
-werden als Interger Bit abgelegt, daher können 32 Rechte verwaltet
-werden. Da einige PHP Implementationen 30 bit große Integers verwalten, hat
-sich die Zahl 30 als plattformübergreifender Höchstwert etabliert. Wie schon
-erwähnt reichen 7 Rechte aus, um einen umfangreichen CRUD Workflow zu
-modellieren und die restlichen 23 für Eigenentwicklungen vorzuhalten.
-
-
-Security Identität
-------------------
-
-ACEs können entweder mit Benutzern oder Rollen assoziiert werden, um damit
-beide mit einer Security Identität zu kapseln.
-
-.. image:: ../../../../en/functions/backend/FOM/acl.png

de/functions/backend/FOM/edit_user_activated.png

@@ -10,7 +10,7 @@ Der Befehl ``app/console fom:user:resetroot`` setzt den User mit der ID 1 zurüc
 
 .. code-block:: bash
           $ app/console fom:user:resetroot
-                Welcome to the Mapbender3 root account management command  
+                Welcome to the Mapbender root account management command  
                 Enter the username to use for the root account.
                 Username [root]: root
                 Enter the e-mail adress to use for the root account.
@@ -21,7 +21,7 @@ Der Befehl ``app/console fom:user:resetroot`` setzt den User mit der ID 1 zurüc
                 The root is now usable. Have fun!
 
 
-Neuen Benutzer anlegen
+Neue Benutzer anlegen
 ----------------------
 
 Der root Benutzer (ID 1) kann neue Benutzer anlegen. Dies ist auch für andere Benutzer möglich, wenn sie im ACL "Users" als Owner eingetragen sind. Diese Ausnahmeberechtigung wurde gewählt, damit nicht jeder Nutzer seinen Benutzernamen ändern kann.
@@ -30,20 +30,24 @@ Der root Benutzer (ID 1) kann neue Benutzer anlegen. Dies ist auch für andere B
 Neue Anwendungen anlegen
 ------------------------
 
-Ein Benutzer, der neue Anwendungen erzeugen soll, muss im ACL "Applications" das Create Recht besitzen. Sobald er dieses Recht hat, kann er auch Anwendungen exportieren und importieren.
+Ein Benutzer, der neue Anwendungen erzeugen soll, muss im ACL "Anwendungen" das *Create* Recht besitzen. Sobald er dieses Recht hat, kann er auch Anwendungen exportieren und importieren.
 
-Um Layerset Instanzen einzubauen, muss er im ACL "Service Source" das Edit Recht besitzen.
+
+Datenquellen konfigurieren
+--------------------------
+
+Um den Aufruf auf den Tab ``Datenquellen`` zu erhalten und anschließend Dienste einbinden, konfigurieren oder aktualisieren zu können, muss ein Benutzer/eine Gruppe im ACL "Datenquellen" mindestens das *Edit* Recht zugewiesen bekommen.
 
 
 Anwendungen kopieren
 --------------------
 
-Ein Benutzer kann Anwendungen kopieren, wenn er im ACL "Applications" oder in der Anwendung mindestens das Edit Recht hat. Dabei überschreibt das Recht der Anwendung das globale ACL Recht.
+Ein Benutzer kann Anwendungen kopieren, wenn er im ACL ``Applications`` oder in der Anwendung selbst mindestens das *Edit* Recht hat. Dabei überschreibt das individuelle Recht der Anwendung das globale ACL Recht.
 
-Dabei wird der Benutzer automatisch Owner seiner kopierten Anwendung.
+Wenn ein Benutzer eine Anwendung kopiert, dann wird er automatisch ihr Owner.
 
 
 Anwendungen löschen
 -------------------
 
-Ein Benutzer kann Anwendungen löschen, wenn er im ACL "Applications" oder er in der Anwendung mindestens das Delete Recht hat. Dabei überschreibt das Recht der Anwendung das globale ACL Recht.
+Ein Benutzer kann Anwendungen löschen, wenn er im ACL ``Anwendungen`` oder er in der Anwendung selbst mindestens das *Delete* Recht hat. Dabei überschreibt das individuelle Recht der Anwendung das globale ACL Recht.

de/functions/backend/FOM/element_security_key_popup.png

@@ -1,14 +1,13 @@
 .. _fom_de:
 
-FOMUserBundle - Benutzer und Absicherung
-========================================
+FOM UserBundle - Benutzer und Absicherung
+=========================================
 
 .. toctree::
    :maxdepth: 1
 
+   security
    acl
    users
    roles_groups
-   security
    examples
-

de/functions/backend/FOM/examples.rst

@@ -3,29 +3,11 @@
 Rollen und Gruppen
 ==================
 
-Rollen sind definiert über Instanzen von
-FOM\\ManagerBundle\\Component\\Bundle und nutzen die getRoles Methode.
+Rollen werden in Mapbender für globale Zugriffe auf Domänen-Objekte verwendet, wenn kein anderes Domänen-Objekt involviert ist.
 
-Die Benennung der Rollen folgt dem Standard Symfony Role Naming Schema, in
-dem Rollen mit dem Präfix "ROLE\_" benannt werden.
+Die folgenden Rollen sind für eine übergreifende Rechtevergabe auf bestimmte Domänen-Objekte verfügbar:
 
-Rollen können für globale Rechteüberprüfungen benutzt werden, wenn kein
-Domänen-Objekt involviert ist und können als Sicherheits-Identitäten von ACE
-in ACL genutzt werden.
+* Alle angemeldeten Benutzer: Rechtevergabe betrifft alle Benutzer mit einem Account und keinen individuellen Rechtezuschreibungen. 
+* Anonyme Nutzer: Rechtevergabe betrifft alle unangemeldeten Besucher von Mapbender-URLs.
 
-Gruppen sind Datenbank-Entitäten, die zu Benutzern auf einer individuellen
-Basis zugewiesen werden können. Sie können auch mehreren Rollen zugewiesen
-werden. Daher liegt ihr Nutzen in der Sammlung von Rollen, die jedem Nutzer
-einer Gruppe zugeordnet werden sollen.
-
-.. image:: users.png
-
-
-
-Zukunft
--------
-
-Später ist es möglich, individuelle Rollen direkt einem Nutzer zuzuordnen.
-
-Symfony bietet zusätzlich eine API für hierarchische Rollen an, die bisher
-noch nicht Teil des FOMUserBundles ist.
+Gruppen sind im Gegensatz dazu selbst erstellte Datenbank-Entitäten. Benutzer können ihnen individuell zugewiesen werden. Gemeinsame Gruppenmitglieder besitzen die gleichen Rechte, sofern diese auf Domänen-Objekten zentral für die Gruppe konfiguriert wurden.

de/functions/backend/FOM/index.rst

@@ -3,9 +3,70 @@
 Sicherheitskonzepte
 ===================
 
-Sicherheit wird im FOMUserBundle bereitgestellt und basiert auf diesen
-Konzepten:
+Sicherheit wird im FOM User Bundle bereitgestellt und basiert auf diesen Konzepten:
 
 - :doc:`Benutzer <users>`
 - :doc:`Rollen und Gruppen <roles_groups>`
 - :doc:`Access Control Lists (ACL) <acl>`
+
+
+Rechte
+========
+
+Mapbender bietet verschiedene Rechte an, die Sie vergeben können. Sie basieren auf :doc:`Access Control Lists (ACL) <acl>`.
+
+* view - anzeigen
+* edit - editieren
+* delete - löschen
+* operator - kann anzeigen, editieren und löschen
+* master - kann anzeigen, editieren, löschen und diese Rechte außerdem weitergeben
+* owner - Besitzer, darf alles (inkl. Vergabe von master und owner Recht)
+
+Weisen Sie einem Benutzer über ``Benutzer --> Benutzer bearbeiten --> Sicherheit`` die gewünschten Rechte zu.
+
+  .. image:: /figures/mapbender_roles.png
+     :scale: 80
+
+
+Zuweisen einer Anwendung zu einem Benutzer/einer Gruppe
+=======================================================
+
+#. Bearbeiten Sie Ihre Anwendung über ``Anwendungen --> Bearbeiten``.
+
+#. Wählen Sie ``Sicherheit``.
+
+#. Veröffentlichen oder verbergen Sie Ihre Anwendung für alle über die Auswahl **Öffentlicher Zugriff** unter ``Sicherheit`` (oder alternativ über den **Anwendung publizieren/verbergen**-Button in der Anwendungsübersicht).
+
+#. Fügen Sie für individuelle Einstellungen alternativ Benutzer oder Gruppen über den Plus-Button hinzu. Setzen Sie anschließend individuelle Berechtigungen über die Rechtetabelle. So weisen Sie eine Anwendung einem oder mehreren Benutzer(n)/Gruppe(n) zu.
+
+#. Melden Sie sich erneut unter der ausgewählten Benutzerbezeichnung an, um die Rechtevergabe zu testen.
+
+#. Alternativ können Sie auch unter ``Sicherheit --> Globale Zugriffssteuerungsliste (ACL) --> Anwendungen`` schnell Berechtigungen von Benutzern/Gruppen für alle Anwendungen festlegen.
+
+
+Zuweisen einzelner Elemente zu Benutzern/Gruppen
+================================================
+
+Standardmäßig stehen alle Elemente den Benutzern/Gruppen zur Verfügung, die Zugriff auf eine Anwendung haben. Für einzelne Elemente kann der Zugriff noch genauer definiert werden, so dass diese nur bestimmten Benutzern/Gruppen zur Verfügung stehen.
+
+#. Bearbeiten Sie Ihre Anwendung über ``Anwendungen --> Bearbeiten``.
+
+#. Wählen Sie ``Layouts``.
+
+#. Jedes Element verfügt über einen eigenen ``AcL-Element``-Button (Schlüssel). Wählen Sie den Button zu dem Element, das nur ausgewählten Benutzern/Gruppen zur Verfügung stehen soll.
+
+#. Fügen Sie Benutzer oder Gruppen über den Plus-Button hinzu. Setzen Sie anschließend individuelle Berechtigungen über die Rechtetabelle. Das Element wird so innerhalb der Anwendung abgesichert und nur bestimmten Benutzer(n)/Gruppe(n) zugänglich.
+
+#. Testen Sie die Konfiguration, indem Sie die Anwendung mit Benutzern aufrufen, die (keine) Berechtigungen zum Element erhalten haben.
+
+
+Zuweisen von Benutzern zu einem Benutzer/einer Gruppe
+=====================================================
+
+#. Bearbeiten Sie Ihre Benutzer über ``Sicherheit --> Benutzer``.
+
+#. Wählen Sie ``Sicherheit``.
+
+#. Weisen Sie Benutzern/Gruppen individuelle Berechtigungen auf den individuellen Benutzer zu. Fügen Sie Benutzer oder Gruppen über den Plus-Button hinzu. Setzen Sie anschließend individuelle Berechtigungen über die Rechtetabelle. So weisen Sie Benutzer(n)/Gruppe(n) einen Benutzer zu.
+
+#. Melden Sie sich unter dem Benutzer bzw. der Gruppe mit neuen Rechten an, um die Rechtevergabe zu testen. Je nach Konfiguration ist es so z.B. möglich, dass alle Teilnehmer einer Gruppe Berechtigungen über einen bestimmten Benutzer haben und dessen Account bearbeiten oder löschen können.