Hauptmenü

Abonnieren von Queues ohne Berechtigungen möglich

Begonnen von kerstin, 21.03.2023 15:44:49

⏪ vorheriges - nächstes ⏩

kerstin

Hallo,

Ich habe mal eine Frage zum Berechtigungskonzept.
Ich habe das so verstanden, dass Agenten mit der Rolle "Ticket Agent (w/o teams)" zwar grundlegender Ticket-Zugang möglich ist, aber ohne weitere Berechtigung der Zugang zu konkreten Tickets verwehrt bleibt. Allerdings habe ich jetzt festgestellt, dass Agenten mit dieser Rolle dennoch alle beliebigen queues abonnieren dürfen und somit die Benachrichtigungen zu den Tickets dieser queues erhalten, in denen Details und teilweise  sogar der Inhalt dieser Tickets steht.
Selbst wenn ich Ihnen das Recht entziehe eine bestimmte queue zu sehen (mittels /system/ticket/queues/8 ----), können sie diese in den Preferences dennoch abonnieren.
Ist das so gedacht oder kann ich das irgendwie verhindern? Ein deny für diese queue würde mich an dieser Stelle leider nicht weiterbringen, da andere Agenten mit derselben Basisrolle die Queue sehen und abonnieren können sollten.

Vielen Dank und schönen Gruß,
Kerstin

Torsten Thau

Hallo,

in v28 wird das Berechtigungskonzept überarbeitet (besser: ergänzt mit einer "einfacheren" Version). Darauf aufbauend wird voraussichtlich in v29 dann auch die Auswahl der "Meine Teams" angepasst werden.

CU, Torsten

kerstin

Moin Torsten,

Danke für die schnelle Antwort. Heißt das im Subtext, dass man es im Moment nicht ändern kann, ich aber auf Version v29 hoffen kann? Oder gibt es im Moment vielleicht dennoch einen komplizierten Weg auf dem man erreichen könnte, dass diese queues für eine bestimmte Rolle nicht abonnierbar sind (ohne Deny zu verwenden)?

Danke und Gruß,
Kerstin

Benedikt Geißler

Hallo Kerstin,

ich habe heute mal testweise ein frisches KIX18 noch mit v27 aufgesetzt und einen Test-Agenten mit den Rollen "Ticket-Agent w/o teams" sowie "Ticket Agent (Service Desk)" angelegt. Dieser sieht nun in seinen persönlichen Einstellungen wie erwartet nur die Teams Service Desk und Monitoring, aber nicht Junk. Auch nach dem Update auf v28 und ebenfalls nach der Umstellung auf die neuen Basisberechtigungen bleibt das Verhalten gleich.

Hast du evtl. Modifikationen an der Rolle "Ticket Agent w/o teams" vorgenommen, die zu dem geänderten Verhalten bei dir führen? Hier ist zum Abgleich mal die korrekt funktionierende Standard-Konfiguration:
Bildschirmfoto vom 2023-04-24 18-31-53.png
Bildschirmfoto vom 2023-04-24 18-32-09.png 
Bildschirmfoto vom 2023-04-24 18-32-17.png
Bildschirmfoto vom 2023-04-24 18-35-52.png

Viele Grüße
Benedikt

kerstin

Hallo Benedikt,

Vielen Dank für Deine Antwort und Mühe. Ich hatte in der Zwischenzeit auch einige Tests auf einer frischen Maschine gemacht und daraufhin auch die Rollen auf unserer Produktionsmaschine überprüft - wir haben daran nichts geändert und plötzlich funktionierte es dann auch, und dann plötzlich wieder nicht.

Bei mir ist der Eindruck entstanden, dass es an der Kombination der Rollen liegt (wir haben noch einige weitere Rollen, die wir zuordnen) aber leider nicht an der absoluten Kombination, sondern daran in welcher Reihenfolge einem Nutzer bestimmte Rollen zugeordnet werden. Vielleicht war es teilweise auch eine Trägheit des Systems, die mich voreilige Schlüsse ziehen ließ, aber ich muss zugeben, dass es mir nicht richtig gelungen ist eine reproduzierbare Logik auszumachen. Irgendwann war ich ziemlich verwirrt und habe beschlossen einfach auf die neue Version mit überarbeitetem Rechtesystem zu warten :-)

Die ist ja nun aber da und ich werde zeitnah versuchen unsere Wünsche darin abzubilden und dann evtl. mit neuen Fragen kommen.

Schöne Grüße,
Kerstin

kerstin

Hallo Benedikt,

Ich habe inzwischen ein bisschen mit den Basisberechtigungen in v28 herumgespielt und mir scheint, dass sich damit unsere Vorstellungen recht gut und deutlich einfacher abbilden lassen. Finde ich super :-)
Ich habe allerdings noch ein paar Fragen

1) Verstehe ich das richtig, dass wenn ich den grundsätzlichen Zugriff über die Rolle "Ticket Agent Base Permission" regele und dann noch bestimmten Agenten zusätzlich über eine weitere Rolle Zugriff auf weitere Teams geben möchte, diese Rolle erstmal keinerlei Permission besitzen muss? Oder wäre es besser immer eine Kopie des "Ticket Agent Base Permission" als Grundlage zu verwenden?

2) Verstehe ich das richtig, dass alle weiteren Rechte - z.B. um Berichte oder Textmodule zu erstellen und zu managen weiterhin über die alten Rollen vergeben werden?

3) Wir haben eine Rolle, die das Erzeugen von Textmodulen erlaubt (CRUD auf /system/textmodules, RU auf /system/config/FQDN und C auf /system/communication/systemaddresses, ich glaube, die kommt sogar von Dir ;-)). Das "Problem" mit dieser Rolle ist, dass die Agenten dadurch den Admin Bereich einsehen können. Auch wenn sie da nichts ändern können, finden wir das nicht ideal und da wir das Erzeugen eines neuen Textmodules über einen Extra Button außerhalb des Adminbereichs ermöglichen ist es auch nicht notwendig. Gibt es eine Möglichkeit das zu vermeiden?

Vielen Dank und schöne Grüße,
Kerstin