Lösungsvorschläge für Multi-User

[MIVA]

Ich bin gerade am überlegen, wie man folgendes Szenario am besten umsetzt:

In einem Programm kann ein registrierter User selbstständig mehrere User erstellen. Jeder dieser erstellten User kann, vorausgesetzt er hat die Rechte dafür, selber User anlegen. Es gibt aber mehrere User-Gruppen. Nennen wir diese Gruppen der einfachheit halber A, B und C.

- Beim anlegen eines neuen Benutzers (müsste) ist es, wenn Gruppe A sie erstellt, B und C egal sein.
- Beim aktualisieren, ermitteln und löschen darf nur Gruppe A, B und C aus ihrer Gruppe die jeweilige Aktion auf deren User ausführen.

Um es an einem praktischen Beispiel zu erläutern. Bei Trello (einer Web-Applikation für Kanban-Boards) kann sich ein User registrieren und dann andere Benutzer erstellen. Aber der User Müller kann nur für seinen Bereich Kanbans erstellen, abfragen, ändern. Ein weiterer User Meyer kann sich registrieren und für sich selbst bzw. seinem Team einen völlig unabhängig Bereich erstellen. Hierbei hat natürlich User Meyer keinen Einfluss auf den Arbeitsbereich von User Müller.

Wie könnte man soetwas am besten Umsetzen?

Meine Überlegungen gehen zur Zeit dahin, den Datensätzen eine Spalte zu geben mit einer eindeutigen Salt für die Gruppe. Aber vielleicht gibt es ja noch bessere Ansätze?

 

[KonradN]

Also aus meiner Sicht müsste man hier erst einmal genau definieren, wie die Usecases aussehen und dann auch, wie man hier dann die Daten sauber hält.

Und dann könnte es sein, dass es generell User gibt. Dass sind dann halt Personen, die sich anmelden können.
Dann gibt es sowas wie Arbeitsbereiche. Ein User kann Zugriff auf Arbeitsbereiche haben und - so seine Zugriffsrechte dies erlauben, auf Rechte vergeben, User einladen, u.s.w.
Ggf. kann man dann auch Regeln erfassen. Wo und wie ist dabei erst einmal egal.

Nehmen wir also mal so eine Anwendung, wie Du diese skizziert hast.

Dann will vielleicht eine Firma sich anmelden: Alle Emails der Domain kneitzel.de werden von mir verwaltet. Alle User können sich über mein Identity Server anmelden. Ich möchte also als Admin von kneitzel.de meinen Anmeldeserver hinterlegen können.
Dann soll es einen Bereich geben nur von mir. Wenn ein neuer Mitarbeiter kommt, dann richte ich diesen in meinem System ein. Und dnan kann er sich mit seiner Email-Adresse neuer.user@kneitzel.de dort melden. Durch diese Email-Adresse weiss Dein Server: server oauth2.kneitzel.de ist zur Anmeldung relevant und leitet auf meine Anmeldeseite weiter, der User meldet sich an und du bekommst dann den bestätigten Token.
Da er @kneitzel.de war, ist er in dem Arbeitsbereich von meiner Firma und kann da alle Kanban Boards sehen, die "intern" markiert sind.
Er kann neue Boards erstellen, die dann "intern" sind. Da er Owner des neuen Boards ist, kann er die Zugriffsrechte aber auch verändern:
- Er kann weitere Personen einladen per Email
- Er kann evtl. umsetzen auf "public" oder "private"
- ...

Evtl. wird er aber auch einem anderen Bereich zugeordnet. Er arbeitet jetzt für einen Kunden: kunden.de. Der Kunde hat ihm also eine Einladung zu einem Arbeitsbereich oder einem Kanban Board gesendet und diese hat er angenommen mit seiner @kneitzel.de Anmeldung.... Damit hat er da auch gewisse Rechte und so ...

Daher hat man dann evtl. eine Struktur a.la:
- Es gibt User - das sind einfache Entities, die eine oder mehrere Anmeldemethode hinterlegt haben.
- Es gibt Anmelde-Methoden: Er kann sich ggf. per Passwort anmelden, oder über einen OAuth Server einer Firma, per Google, Microsoft, Github, Facebook, .... Es gibt so viele Anbieter, die eine Anmeldung unterstützen. So kann ein User hier hinterlegt haben: kneitzel.de Anmeldemethode und Token der Anmeldung ist xyz
- Es gibt Arbeitsbereiche.
- Es gibt Kanban Boards, jedes Board bekommt einen Arbeitsbereich.
- Es gibt eine Zuordnung User <-> Arbeitsbereich incl. Rechten. Ein User kann einem Arbeitsbereich zugeordnet sein mit Rechten, einer Rolle oder sowas ... (Ich bin bei dem kneitzel.de Arbeitsbereich der Owner oder Admin. Der neue User wäre nur "User". (Evtl. gibt es auch Gruppen, die zu der Rolle gehören. Wenn mein Identity-Server auch Gruppen liefert, dann ist er evtl. in der Rolle "Trello-Admins" und dann soll er in dem Bereich auch Admin sein. Und wenn ich die Rolle bei mir weg nehme, sollte er die auch direkt verlieren!)
- So eine Zuordnung gibt es auch bei den einzelnen Boards.
....

Das kann man sich also in Ruhe überlegen.
Wichtig ist: Man muss erst einmal überlegen, was man überhaupt unterstützen will oder kann. Soll eine Firma eigene Identity-Systeme einbringen können? Sollen Nutzer mit bestimmten Emails direkt einem Bereich zugeordnet werden? Ich habe da jetzt einfach mal recht viel zusammen gesponnen um nur einmal aufzuzeigen, was denn so alles gehen könnte.