Rollen & Berechtigungen
Übersicht über alle verfügbaren Rollen und deren Berechtigungen in Conbool. Erfahren Sie, wer was sehen und verwalten darf.
Rollenbasierte Zugriffskontrolle (RBAC)
Conbool verwendet ein hierarchisches Rollenmodell. Jeder Benutzer erhält beim Beitritt zu einem Mandanten (Tenant) eine Rolle, die seine Berechtigungen innerhalb dieses Mandanten bestimmt. Ein Benutzer kann in verschiedenen Mandanten unterschiedliche Rollen haben.
Welche Rollen gibt es?
Conbool bietet sechs vordefinierte Rollen mit abgestuften Berechtigungen:
| Rolle | Hierarchie | Beschreibung |
|---|---|---|
| Owner | 1 (höchste) | Vollzugriff auf alle Funktionen. Kann Rollen und Abrechnung verwalten. Kann den Mandanten löschen. |
| Operator | 2 | Kann alle Module operativ verwalten (Routing, Gruppen, Disclaimer, MailGuard, S/MIME, PGP). Kein Zugriff auf Abrechnung oder Rollenverwaltung. |
| Member | 2 | Standardrolle für Teammitglieder. Kann Einstellungen und Einladungen verwalten. |
| Analyst | 3 | Lesezugriff auf die meisten Module. Kann Dashboards, Tracing und Konfigurationen einsehen, aber nicht ändern. |
| Auditor | 4 | Wie Analyst, aber zusätzlich mit Zugriff auf den Audit-Log. Ideal für Compliance-Prüfer. |
| Contact | 5 (niedrigste) | Minimaler Zugriff. Kann nur das Nachrichtenportal und die Quarantäne einsehen. Für externe Kontakte oder eingeschränkte Benutzer. |
Berechtigungsmatrix
Jede Berechtigung folgt dem Schema modul.aktion, wobei .read Lesezugriff und .manage vollen Verwaltungszugriff bedeutet.
Verwaltungsberechtigungen (Manage)
| Berechtigung | Owner | Operator | Member | Analyst | Auditor | Contact |
|---|---|---|---|---|---|---|
| roles.manage | ✓ | — | — | — | — | — |
| billing.manage | ✓ | — | — | — | — | — |
| settings.manage | ✓ | — | ✓ | — | — | — |
| members.manage | ✓ | — | — | — | — | — |
| invites.manage | ✓ | ✓ | ✓ | — | — | — |
| groups.manage | ✓ | ✓ | — | — | — | — |
| routing.manage | ✓ | ✓ | — | — | — | — |
| tracing.manage | ✓ | ✓ | — | — | — | — |
| portal.manage | ✓ | ✓ | — | — | — | — |
| dashboard.manage | ✓ | — | — | — | — | — |
| quarantine.manage | ✓ | ✓ | — | — | — | — |
| mailguard.manage | ✓ | ✓ | — | — | — | — |
| disclaimer.manage | ✓ | ✓ | — | — | — | — |
| smime.manage | ✓ | ✓ | — | — | — | — |
| pgp.manage | ✓ | ✓ | — | — | — | — |
Leseberechtigungen (Read)
| Berechtigung | Owner | Operator | Analyst | Auditor | Contact |
|---|---|---|---|---|---|
| dashboard.read | ✓ | ✓ | ✓ | ✓ | — |
| tracing.read | ✓ | ✓ | ✓ | ✓ | — |
| routing.read | ✓ | ✓ | ✓ | ✓ | — |
| groups.read | ✓ | ✓ | ✓ | ✓ | — |
| guardian.read | ✓ | ✓ | ✓ | ✓ | — |
| portal.read | ✓ | ✓ | ✓ | ✓ | ✓ |
| disclaimer.read | ✓ | ✓ | ✓ | ✓ | — |
| quarantine.read | ✓ | ✓ | ✓ | ✓ | ✓ |
| audit.read | ✓ | ✓ | — | ✓ | — |
| members.read | ✓ | ✓ | ✓ | ✓ | — |
| smime.read | ✓ | ✓ | ✓ | ✓ | — |
| pgp.read | ✓ | ✓ | ✓ | ✓ | — |
Wie werden Rollen zugewiesen?
Rollen werden bei der Einladung oder nachträglich in der Mitgliederverwaltung zugewiesen:
- Navigieren Sie zu Mitglieder im Seitenmenü.
- Klicken Sie auf das Drei-Punkte-Menü (⋯) neben dem gewünschten Mitglied.
- Wählen Sie Rolle ändern und weisen Sie die neue Rolle zu.
Nur Benutzer mit der Berechtigung roles.manage (standardmäßig nur der Owner) können Rollen ändern.
Wichtige Hinweise
- Ein Owner pro Mandant: Es muss immer mindestens einen Owner geben.
- Hierarchieprinzip: Benutzer können nur Rollen zuweisen, die in der Hierarchie gleich oder niedriger sind als ihre eigene.
- Mandantenübergreifend: Rollen gelten nur innerhalb eines Mandanten. Ein Benutzer kann in Mandant A Owner und in Mandant B Analyst sein.
- Row Level Security: Alle Berechtigungen werden serverseitig über PostgreSQL Row Level Security (RLS) erzwungen. Ein UI-Element auszublenden reicht nicht — die Datenbank blockiert unberechtigte Zugriffe direkt.