Die Benutzer & Gruppen

Servieren nach Maß: Modulgruppen

Die Seattle Benutzergruppen machen sich dem TYPO3-Prinzip der adaptiven Vererbung zur Nutze, d.h. jede Gruppe umfasst nach Möglichkeit einen für sich abgeschlossenen Berechtigungsbereich (Abb.1).
Erst durch die Addition der verschiedenen Gruppen ergibt sich das endgültige Gesamtbild der Berechtigungen.

Zu allererst definiert Seattle sogenannte Module. Diese beinhalten die Einstellungen zu einem in sich funktionierenden Arbeitsbereich innerhalb von TYPO3. Ein Arbeitsbereich ist beispielsweise die Nutzung der Dateiverwaltung (Module: TYPO3 Filmlist + Helper) oder die Arbeit mit reinen TYPO3 Inhalten und Seiten (Module TYPO3 Pages + Content).

Jede Extension erhält ebenso eine eigene Benutzergruppe mit den für diese Erweiterung notwendigen Einstellungen und Berechtigungen.

Ziel ist es, durch Definition und Auswahl dieser Modulgruppen, dem Redakteur oder der Redakteursgruppe (dazu später mehr) eine maßgeschneiderte Umgebung für das gewünschte Aufgabengebiet zu servieren. Durch die abgrenzenden Module erkennt der TYPO3 Integrator auch direkt die Berechtigungen und Rechte der einzelnen Redakteure und Gruppen.

Zugriff: Eine Frage der Organisation

Was für die Berechtigungen innerhalb der Modulgruppen gilt, setzt sich auch für den Zugriff auf Verzeichnisfreigaben und den Seitenbaum fort. Auch hier differenziert Seattle und arbeitet mit minimal zwei Gruppen (Abb.2):

. Access Website Root
. Mount Website Root

Access Website Root gibt dem Backend-Benutzer Zugriff auf den gesamten Seitenbaum, während Mount Website Root das Verzeichnis fileadmin/Website in der Dateiliste bereitstellt.

Die Ausgliederung der Einstiegspunkte in eigene Gruppen hat den Vorteil, dass diese Gruppen wie auch die Module verschiedenartig kombiniert werden können, ohne negativ aufeinander zu wirken. Im Fall des Seitenbaumes wird dies schnell deutlich anhand des folgenden Beispiels:

In einer TYPO3 Installation gibt es zwei Benutzergruppen mit unterschiedlichen Einstiegen in den Seitenbaum. Bleiben die Benutzer dieser Gruppen getrennt, ist alles in Ordnung. Was passiert aber, wenn ein weiterer Benutzer beide Gruppen zugewiesen bekommt? Er wird zwei Einstiegspunkte im Seitenbaum sehen, die sich ggf. sogar überschneiden.

Sollte eine Differenzierung von mehreren Seitenästen pro Benutzer von Nöten sein, so können verschiedene Access-Gruppen eingerichtet und zugeordnet werden. Beispielsweise:

. Access Styleguide
. Access Dokumentation

Diese Gruppen werden den Redakteuren zugeteilt. Selbst wenn eine Mehrfachzuteilung erfolgt, werden die Redakteure keine mehrfachen Seitenäste sehen.
Ein Chefredakteur kann mit diesem Prinzip Zugriff auf den gesamten Seitenbaum erhalten, ein Bereichsredakteur nur auf einen Seitenast. Selbiges gilt natürlich auch für die Verzeichnisfreigaben.

Und auch hier kann der TYPO3 Integrator schnell die verschiedenen Einstiegspunkte anhand der Gruppenzugehörigkeiten erkennen.

Obacht: Der Seitenbaum & die erste Gruppe

Erstellt ein Redakteur eine neue Seite, so nutzt TYPO3 die erste Gruppe, die diesem Redakteur zugeteilt ist, um die Berechtigungen für die Seite zu setzen. Eine Übersicht bietet das System-Modul Zugriff (Abb.3).

Um immer einen reibungslosen Zugriff auf den Seitenbaum für alle Redakteure zu gewähren, speziell wenn sie über unterschiedliche Access-Gruppen verfügen, ist ein wenig TypoScript erforderlich:

TCEMAIN.permissions.groupid = 10

Die obige Anweisung ist fester Bestandteil von Seattle und setzt die Gruppe . Access Website Root für neue Seiten, unabhängig ob eine andere Gruppe als erstes in einem Backend-Benutzer definiert wurde. TCEMAIN.permissions.groupid sollte also für jeden Seitenast definiert sein, für den auch eine Access-Gruppe eingerichtet wurde. So wird jede Seite im richtigen Kontext erstellt.

Wie alle zusammen finden: Die Funktionsgruppen

Das modulare Konzept ist für die Nutzung von Benutzergruppen – anstelle von individuellen Konfigurationen einzelner Benutzer – ausgelegt. Der Vorteil der Übersichtlichkeit und Wiederverwendbarkeit ist nicht von der Hand zu weisen.

Aus diesem Grund geht Seattle noch einen letzten Zwischenschritt und weist den Benutzern nicht direkt die oben beschriebenen Modulgruppen zu, sondern definiert wiederum Funktionsgruppen, die sich nach den täglichen redaktionellen Aufgaben richten. Im Auslieferungszustand sind diese übersichtlich (Abb.4):

Editors: Base Rights
Editors: Extended Rights

Ebenso möglich wäre aber auch eine Gruppe Editors: News mit eigener Access- und Mount-Gruppe sowie den Modulen TYPO3 Files + Helfer und EXT:News.

Mit diesem Konzept können auch in komplexen Umgebungen ohne Einschränkungen und den Verlust der Übersichtlichkeit Backend-Benutzer ganz individuelle Berechtigungen erhalten (Abb.5).

Zuständigkeit geklärt: Die Benutzerrollen

Mit Seattle werden – neben den System-Benutzern _cli_lowlevel und _cli_scheduler – zwei vorkonfigurierte Benutzer installiert (Abb.5). Vorkonfiguriert? Wer den vorherigen Abschnitt über das Konzept der Benutzergruppen aufmerksam gelesen hat, weiß unsere zwei Benutzer vertreten jeweils eine Benutzergruppe:

supereditor : Redakteur mit erweiterten Rechten
editor : Redakteur mit einfachen Rechten

Wichtiger Hinweis:

Die Benutzer haben das Passwort distribution, daher solltest du nach der Installation von Seattle die Benutzernamen und/oder Passwörter ändern – auch wenn die Redakteure per default deaktiviert sind. Für sichere Passwörter der Backend-Benutzer empfiehlt sich die Extension Make BE user password really secure.

Das Salz in der Suppe: UserTS

TYPO3 wäre nicht TYPO3, wenn es nicht auch für die Benutzer und Gruppen Konfigurationsmöglichkeiten über TypoScript anbieten würde, in diesem Fall das UserTS.

Seattle macht Vorgaben allgemein für alle Benutzer, für die Benutzergruppe mit erweiterten Rechten und für Administratoren. Die Einstellungen (Abb.6) sind in einzelnen Dateien im TSconfig der Extension abgelegt und mit einer Nummerierung versehen: Diese legt die Ladereihenfolge der Dateien fest und trägt dem adaptiven Berechtigungssystem von TYPO3 Rechnung.