v30: Aktion nicht mehr speicherbar wenn superuser im Filter verwendet wird

[Frank Niethardt]

Hallo,

heute mal wieder ein schöner Bug. Ich habe ein paar Aktion definiert in der ein superuser Dynamische Felder in einem Ticket ändern kann. Teils mit Statuswechsel, aber das scheint egal zu sein.

Wenn ich jetzt - auch als superuser - diese Aktion bearbeiten will, dann kommt beim Speichern "no permission to execute this operation". Zusätzlich werden im UI auch die Post Actions nicht mehr angezeigt. Beim Export der ObjectAction sind sie aber noch vorhanden.

Viele Grüße
Frank

[Torsten Thau]

Hallo Frank,

nein das ist kein Bug - "works as designed and described". 

Zugegebenermaßen ist das Handbuch sehr umfänglich. Der Hinweis, dass "Superuser" niemals als Rolle für eine Aktion zugeordnet werden soll ist jedoch enthalten und geht in der Fülle der Hinweise leider etwas unter:

• "Für die gewählten Rollen wird explizit ein "READ" für Templates & Aktionen gesetzt. Vergeben Sie daher diese Berechtigung niemals auf Rollen, die mehr als Leserechte auf Aktionen & Templates haben! Anderenfalls findet eine Einschränkung der Berechtigungen statt (z. B. Superuser, Admin)."
• Quelle: https://docs.kixdesk.com/display/K18AdminDECommunity/Aktionen+anlegen+und+konfigurieren

Technischer Hintergrund: es wird einer Erweiterung der REST-API benötigt um dieses Szenario so abzubilden das Superuser explizit an der Aktion gesetzt werden kann. Da aber Superusers ja genau das ausmacht: "darf alles", kann man genauso gut die Berechtigungsrollenzuordnung weglassen. Der Effekt in der Anwendung ist der gleiche: nur ein Superuser sieht diese Aktion an einem Ticket. Wir fanden daher, dass wir den Aufwand für die strukturelle Erweiterung (erst einmal) sparen können und andere Dinge ergänzen sollten - aka "Technische Schuld".

Korrekturmaßnahme: bitte exportiere und importiere die ObjectAction-Konfiguration. Dann sollte keine Rollenzuordnung mehr vorhanden sein.

CU, Torsten
 

[Frank Niethardt]

Moin,

zugegeben, das Handbuch ist dick, aber es lässt einige Stellen auch gekonnt aus, ExtendedFollowUp beispielsweise. Aber das ist ein anderes Thema.

Leider kann man ja bei den Filtern keine Negativbedingungen angeben, so dass man die "normalen" Nutzer ausschließen kann. Dann würde nach deiner Erläuterung die Aktion ja automatisch auch bei den Superusern auftauchen.

Aber gut, dann bau ich eben eine extra-Rolle "Ticket Admins", die dann diese Aufgabe übernimmt...

EDIT: Reines Exportieren und Importieren reicht übrigens nicht. Dann steht weiterhin superuser in den Rollen, auch wenn der im JSON nicht auftaucht. Aber exportieren, aus der DB löschen und dann importieren bringt sie wieder in einen Zustand mit dem man weiterarbeiten kann.

Danke für die schnelle Antwort,

Viele Grüße
Frank