Permission-Modell
Enforcement-Schichten
| Schicht | Was sie schuetzt | Beispiele |
|---|---|---|
| Authentifizierung | wer ueberhaupt angemeldet ist | geschuetzte Docs und APIs |
| Rollenguard | breite Faehigkeit | AdminRoute, SuperAdminRoute, Backend-Admin-Permissions |
| Company-Isolation | welche Unternehmensdaten erreichbar sind | aktive Company, superadmin global gegenueber company |
| Tag-Sichtbarkeit | welches Tenant- oder Flow-Subset sichtbar ist | VisibilityMode.ALL, VisibilityMode.TAGGED |
| Focused Scope | engerer UI-Pfad fuer begrenzte Nutzer | /focused/*-Routen |
| eingeschraenkte Ressourcen | sensible Inhalte innerhalb sichtbarer Objekte | payloads, custom_headers |
Sichtbarkeitsmodus-Matrix
| Sichtbarkeitsmodus | Bedeutung | Typisches Ergebnis |
|---|---|---|
all | Benutzer darf den ganzen erlaubten Company-Scope sehen | breite Tenant-Sicht |
tagged | Benutzer sieht nur markiertes Subset | engere Tenant-, Flow- und Message-Sicht |
Matrix fuer eingeschraenkte Ressourcen
| Ressource | Objekt trotzdem sichtbar? | Sensibler Inhalt versteckt? |
|---|---|---|
payloads | oft ja | Payload-Inhalt und Download koennen blockiert sein |
custom_headers | oft ja | Header-Werte koennen durch *** ersetzt werden |
Company-Isolation
Company-Isolation ist nicht nur ein UI-Konzept. Sie wird verstaerkt durch:
- aktive Company-Auswahl
- scoped Querysets
- getrennte Admin- und Superadmin-Endpunkte
- company-spezifische User-Tag-Policies und Zuordnungen
Unterschied bei Superadmin
Superadmin kann in zwei effektiven Modi arbeiten:
- global mode
- company mode
Diese Unterscheidung ist wichtig, weil eine Superadmin-Identitaet nicht automatisch bedeutet, dass die UI gerade globalen Datenscope nutzt.
Querverweise
- produktseitige Rollen-Zusammenfassung: Produktdoku Admin-Referenz
- Ressourcen-Masking im Betrieb: Message Popups Permissions