Rollen & Berechtigungen
Übersicht über alle verfügbaren Rollen und deren Berechtigungen in Conbool. Erfahren Sie, wer was sehen und verwalten darf.
Rollenbasierte Zugriffskontrolle (RBAC)
Conbool verwendet ein hierarchisches Rollenmodell. Jeder Benutzer erhält beim Beitritt zu einem Mandanten (Tenant) eine Rolle, die seine Berechtigungen innerhalb dieses Mandanten bestimmt. Ein Benutzer kann in verschiedenen Mandanten unterschiedliche Rollen haben.
Die fünf Rollen
| Rolle | Hierarchie | Beschreibung |
|---|---|---|
| Owner | 1 (höchste) | Vollzugriff auf alle Funktionen. Kann Rollen, Abrechnung und Einstellungen verwalten. Kann den Mandanten löschen. |
| Operator | 2 | Operativer Vollzugriff auf alle Module. Kann Gruppen, Routing, Quarantäne, Portal, Tracing, Guardian und Einladungen verwalten. Kein Zugriff auf Rollen, Abrechnung, Einstellungen oder Mitgliederverwaltung. |
| Analyst | 3 | Lesezugriff auf alle Module. Kann Dashboards, Tracing und Konfigurationen einsehen, aber nicht ändern. Kein Zugriff auf Audit-Log. |
| Auditor | 4 | Lesezugriff auf alle Module plus Zugriff auf den Audit-Log. Keine Verwaltungsberechtigungen. Ideal für Compliance-Prüfer. |
| Contact | 5 (niedrigste) | Minimaler Zugriff. Kann nur das Nachrichtenportal und die Quarantäne einsehen. Für externe Kontakte oder eingeschränkte Benutzer. |
Berechtigungsmatrix
Die folgende Tabelle zeigt, welche Rolle welche Funktionen verwalten oder einsehen kann.
Verwaltungsberechtigungen
| Funktion | Owner | Operator | Analyst | Auditor | Contact |
|---|---|---|---|---|---|
| Rollen verwalten | ✓ | — | — | — | — |
| Abrechnung verwalten | ✓ | — | — | — | — |
| Einstellungen verwalten | ✓ | — | — | — | — |
| Mitglieder verwalten | ✓ | — | — | — | — |
| Einladungen verwalten | ✓ | ✓ | — | — | — |
| Gruppen verwalten | ✓ | ✓ | — | — | — |
| Routing verwalten | ✓ | ✓ | — | — | — |
| Tracing verwalten | ✓ | ✓ | — | — | — |
| Portal verwalten | ✓ | ✓ | — | — | — |
| Dashboard verwalten | ✓ | — | — | — | — |
| Quarantäne verwalten | ✓ | ✓ | — | — | — |
| MailGuard verwalten | ✓ | ✓ | — | — | — |
| Disclaimer verwalten | ✓ | ✓ | — | — | — |
| S/MIME verwalten | ✓ | ✓ | — | — | — |
| PGP verwalten | ✓ | ✓ | — | — | — |
Leseberechtigungen
| Funktion | Owner | Operator | Analyst | Auditor | Contact |
|---|---|---|---|---|---|
| Dashboard einsehen | ✓ | ✓ | ✓ | ✓ | — |
| Tracing einsehen | ✓ | ✓ | ✓ | ✓ | — |
| Routing einsehen | ✓ | ✓ | ✓ | ✓ | — |
| Gruppen einsehen | ✓ | ✓ | ✓ | ✓ | — |
| Guardian einsehen | ✓ | ✓ | ✓ | ✓ | — |
| Portal einsehen | ✓ | ✓ | ✓ | ✓ | ✓ |
| Disclaimer einsehen | ✓ | ✓ | ✓ | ✓ | — |
| Quarantäne einsehen | ✓ | ✓ | ✓ | ✓ | ✓ |
| Audit-Log einsehen | ✓ | — | — | ✓ | — |
| Mitglieder einsehen | ✓ | ✓ | ✓ | ✓ | — |
| S/MIME einsehen | ✓ | ✓ | ✓ | ✓ | — |
| PGP einsehen | ✓ | ✓ | ✓ | ✓ | — |
Navigationszugriff pro Rolle
Die folgende Tabelle zeigt, welche Navigationspunkte jeder Rolle im Seitenmenü angezeigt werden:
| Navigationspunkt | Owner | Operator | Analyst | Auditor | Contact |
|---|---|---|---|---|---|
| Dashboard | ✓ | ✓ | ✓ | ✓ | — |
| Tracing | ✓ | ✓ | ✓ | ✓ | — |
| Quarantäne | ✓ | ✓ | ✓ | ✓ | ✓ |
| Routing | ✓ | ✓ | ✓ | ✓ | — |
| Gruppen | ✓ | ✓ | ✓ | ✓ | — |
| MailGuard | ✓ | ✓ | ✓ | ✓ | — |
| Disclaimer | ✓ | ✓ | ✓ | ✓ | — |
| Kryptografie (S/MIME, PGP) | ✓ | ✓ | ✓ | ✓ | — |
| Nachrichtenportal | ✓ | ✓ | ✓ | ✓ | ✓ |
| Guardian | ✓ | ✓ | ✓ | ✓ | — |
| Mitglieder | ✓ | ✓ | ✓ | ✓ | — |
| Audit-Log | ✓ | — | — | ✓ | — |
| Einstellungen | ✓ | — | — | — | — |
| Abrechnung | ✓ | — | — | — | — |
Rollenübersicht im Detail
Owner
Der Owner hat uneingeschränkten Vollzugriff auf alle Funktionen des Mandanten:
- Vollzugriff auf alle Lese- und Verwaltungsfunktionen
- Verwaltung von Abrechnung und Abonnements
- Verwaltung von Rollen und Mitgliedern
- Zugriff auf alle Einstellungen
- Zugriff auf den Audit-Log
Operator
Der Operator ist für den operativen Betrieb zuständig:
- Voller Lesezugriff auf alle Module
- Verwaltung von Gruppen, Routing, Quarantäne, Portal, Tracing, Guardian und Einladungen
- Verwaltung von MailGuard, Disclaimer, S/MIME und PGP
- Kein Zugriff auf: Rollenverwaltung, Abrechnung, Einstellungen, Mitgliederverwaltung
Analyst
Der Analyst hat ausschliesslich Lesezugriff:
- Kann alle Module einsehen (Dashboard, Tracing, Routing, Gruppen, etc.)
- Kann keine Änderungen vornehmen (keine Verwaltungsberechtigungen)
- Kein Zugriff auf den Audit-Log
Auditor
Der Auditor ist vergleichbar mit dem Analyst, jedoch mit Audit-Zugriff:
- Lesezugriff auf alle Module
- Zusätzlicher Zugriff auf den Audit-Log
- Keine Verwaltungsberechtigungen
- Ideal für Compliance-Prüfungen und Revisionen
Contact
Der Contact hat minimalen Zugriff:
- Nur Zugriff auf Portal und Quarantäne (lesend)
- Kein Zugriff auf Module, Einstellungen oder Verwaltungsfunktionen
- Für externe Kontakte oder stark eingeschränkte Benutzer (interne Kontakte)
Wie werden Rollen zugewiesen?
Rollen werden bei der Einladung oder nachträglich in der Mitgliederverwaltung zugewiesen:
- Navigieren Sie zu Mitglieder im Seitenmenü.
- Klicken Sie auf das Drei-Punkte-Menü neben dem gewünschten Mitglied.
- Wählen Sie Rolle ändern und weisen Sie die neue Rolle zu.
Nur die Rolle Owner kann Rollen ändern.
Wichtige Hinweise
- Ein Owner pro Mandant: Es muss immer mindestens einen Owner geben.
- Hierarchieprinzip: Benutzer können nur Rollen zuweisen, die in der Hierarchie gleich oder niedriger sind als ihre eigene.
- Mandantenübergreifend: Rollen gelten nur innerhalb eines Mandanten. Ein Benutzer kann in Mandant A Owner und in Mandant B Analyst sein.
- Row Level Security: Alle Berechtigungen werden serverseitig über PostgreSQL Row Level Security (RLS) erzwungen. Ein UI-Element auszublenden reicht nicht -- die Datenbank blockiert unberechtigte Zugriffe direkt.