Wie erstelle ich eine eigene Rolle?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Reichen die vier Grundrollen nicht aus, legst du unter Verwaltung → Rollen eine eigene Rolle an: Name vergeben, Berechtigungen aus dem Katalog auswählen und den Geltungsbereich (dieser Mandant oder global) festlegen. Anschließend weist du die Rolle Benutzern zu. Ihre Rechte addieren sich zur Grundrolle.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“In allen Tarifen verfügbar.
Anleitung
Abschnitt betitelt „Anleitung“-
Rollen öffnen. Verwaltung → Rollen → „Rolle erstellen”.
-
Rolle definieren. Vergib Name und optional eine Beschreibung, wähle den Geltungsbereich (Mandant oder Global) und hake die gewünschten Berechtigungen an. Die Berechtigungen sind nach Bereichen gruppiert (Assets, Netzwerk, … , Administration).
Screenshot ausstehendadmin-benutzer-07Formular 'Rolle erstellen' mit Name, Geltungsbereich und Berechtigungsauswahl nach GruppenEine eigene Rolle bündelt beliebige Berechtigungen aus dem Katalog. -
Speichern und zuweisen. Nach dem Speichern taucht die Rolle in der Liste auf. Weise sie über die Benutzer-Detailseite („Rollen zuweisen”) den passenden Konten zu.
Eine eigene Rolle entsteht per POST /api/v1/roles. permissions muss Codes aus dem
Berechtigungskatalog enthalten;
scope ist tenant (Standard) oder global.
curl -X POST https://demo.notory.io/api/v1/roles \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "name": "Lizenz-Beauftragte", "description": "Darf Software und Lizenzen pflegen und Berichte lesen.", "permissions": ["software.read", "software.write", "reports.read"], "scope": "tenant" }'Antwort: 201 Created mit der Rollen-id. Diese ID nutzt du beim Zuweisen
(PUT /api/v1/roles/assignments/{user_id}).
Mögliche Fehler: 403 (kein Administrator, oder scope: "global" ohne Super-Admin),
422 (unbekannter Berechtigungscode: die Meldung nennt den ungültigen Code).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Katalog-Prüfung. Jeder angegebene Berechtigungscode wird gegen den festen Katalog
geprüft; unbekannte Codes werden mit
422abgelehnt. Doppelte Einträge entfernt Notory, die Reihenfolge bleibt stabil. - Geltungsbereich bestimmt die Sichtbarkeit.
scope: "tenant"bindet die Rolle an deinen Mandanten (tenant_idgesetzt).scope: "global"(tenant_id = NULL) macht sie für alle Mandanten verfügbar. Daher der Super-Admin-Vorbehalt. - Additiv, nie subtraktiv. Eine zugewiesene Rolle erweitert die Rechte eines Benutzers. Um Rechte zu entziehen, entfernst du die Rolle wieder oder senkst die Grundrolle.
- Eigene Rollen sind löschbar. Anders als eingebaute Systemrollen (
is_system) lassen sich selbst erstellte Rollen jederzeit bearbeiten und löschen. Beim Löschen verlieren zugewiesene Benutzer nur die zusätzlichen Rechte dieser Rolle.