Das BSCW-Rollenkonzept

BSCW verwaltet Zugriffsrechte über die Rolle oder die Rollen, die ein Benutzer innehat. Eine Rolle wird durch einen Namen und eine Menge von Aktionen definiert, die für den Rollen­inhaber erlaubt sind. Zugriffskontrolle über Rollen ist sehr einfach: Ein Benutzer darf immer dann eine Aktion auf ein bestimmtes Objekt anwenden, wenn diese Aktion in einer seiner Rollen hinsichtlich dieses Objekts enthalten ist. Es werden jeweils nur erlaubte Aktionen in den Menüs angeboten.

Wenn Benutzer mehrere Rollen innehaben, dürfen sie eine Aktion ausüben, wenn die Aktion in einer der Rollen erlaubt ist; Benutzern ist also die Vereinigungsmenge der Aktionen erlaubt, die sich aus ihren Rollen ergeben.

Vererbung von Rollen: Der Geltungsbereich einer Rolle

Damit nicht bei jedem neu angelegtem Objekt eine ausdrückliche Zuordnung von Rollen not­wen­dig wird, vererben sich Definitionen und Zuweisungen von Rollen entlang der Ordner-Hierarchie. Wenn ein Benutzer z.B. einen Unterordner in einem Ordner anlegt, erbt dieser Unter­ordner die Benutzergruppe des übergeordneten Ordners einschließlich aller Rollen­zuweisungen.

Der Geltungsbereich einer Rolle ist das Objekt, für das der Benutzer eine Rolle innehat, und alles ‚unterhalb‘ dieses Objekts, und zwar so weit, bis dem Benutzer in der Objekthierarchie eine andere Rolle zugewiesen wird.

Hinweis: Wenngleich dieses Prinzip auch für spezielle Ordner wie die persönlichen Bereiche persönlicher Arbeitsbereich (‚home folder‘), Zwischenablage, Papierkorb gilt, so wird doch die Standardrolle, die der Benutzer in seinen persönlichen Bereichen innehat, nicht auf ge­mein­same Arbeitsbereiche, die sich in diesen persönlichen Bereichen befinden, vererbt.

Ein Beispiel

Sie sind standardmäßig Manager Ihres persönlichen Arbeitsbereichs und dadurch auch aller Ordner, die sich darin befinden. Die Rolle Manager wird auf den Geltungsbereich Ihres per­sönlichen Arbeitsbereichs vererbt.

Nehmen wir an, dass Sie nun eingeladen werden, in einem gemeinsamen Arbeitsbereich ‚Pro­jekt­dokumentation‘ mitzuarbeiten. Der Manager dieses Ordners lädt Sie in der Rolle Ein­ge­schränktes Mitglied ein, um Ihnen nur eingeschränkte Rechte, z.B. nur Leserechte, zu ge­wäh­ren. Damit haben Sie die Rechte eines Eingeschränkten Mitglieds im Ordner ‚Projekt­doku­men­tation‘ und in allen Unterordnern.

Andererseits befindet sich der Ordner ‚Projektdokumentation‘ in Ihrem persönlichen Arbeits­bereich, wo Sie Manager sind. Welche Rollen gelten nun für Sie in ‚Projektdokumentation‘? Wenn Sie die Manager-Rechte auch in ‚Projektdokumentation‘ erben würden, wären Sie dort gleich­zeitig Eingeschränktes Mitglied und Manager. Das ginge zwar technisch, wäre aber sicher nicht im Sinne Ihres Gastgebers. Aus diesem Grund vererben die speziellen persön­li­chen Bereiche ihre Rollen­zuweisungen nur auf private Ordner, nicht aber auf gemeinsame Arbeitsbereiche. Gemein­same Arbeitsbereiche können Rollendefinitionen und -zuweisungen nur von anderen gemeinsamen Arbeitsbereichen erben.

Erweiterte Zugriffsrechte für den BSCW-Administrator

BSCW-Administratoren dürfen unabhängig von ihrer aktuellen Mitgliedschaft in allen Ord­nern Rollen zuweisen und ändern (Aktionen Aktion  Zugang    Rolle zuweisen  und Aktion  Zugang    Rolle ändern ). Außerdem können BSCW-Administratoren alle Ordner öffnen und bei allen Ob­jekten die Aktion Aktion  Information    Allgemein  ausführen.

Wegen der umfangreichen Rechte ist Administrator aus Sicherheitsgründen keine Rolle im ei­gent­lichen Sinn des BSCW-Rollenkonzepts. Auf diese Weise wird vermieden, dass die beson­deren Rechte des BSCW-Administrators über die Benutzerschnittstelle manipuliert werden können.