Berechtigungsbeschränkungen für Kooperationen
Wenn Sie eine Anlage oder ein Portfolio mit einer Partnerorganisation teilen, wird die Stufe, auf der Sie teilen, zu einer Obergrenze: Der Partner kann seinen eigenen Mitgliedern niemals mehr Zugriff gewähren, als Sie ihm eingeräumt haben. Das macht organisationsübergreifendes Teilen sicher und vorhersehbar — Sie behalten die Kontrolle darüber, wie weit Ihre Ressourcen reichen.
Konzept
Eine Kooperation ermöglicht es zwei Organisationen, Parks und Portfolios über die Organisationsgrenze hinweg zu teilen. Jede geteilte Ressource wird mit einer bestimmten Funktion geteilt, und diese Funktion deckelt alles, was die empfangende Seite damit tun kann.
Zwei Regeln machen das möglich:
- Nur Admins haben Zugriff. Nur ein Organisations-Admin auf der empfangenden Seite kann auf über eine Kooperation geteilte Ressourcen zugreifen und sie delegieren. Andere Rollen (Moderator, Asset Manager (Technisch), Asset Manager (Kaufmännisch), Mitglied, Extern) können Ressourcen, die über eine Kooperation eingetroffen sind, weder sehen noch verwalten — sie interagieren ausschließlich mit den Ressourcen ihrer eigenen Organisation.
- Gedeckelte Delegation. Der empfangende Admin kann eine geteilte Ressource an die eigenen Mitglieder nur mit einer Funktion weitergeben, die nicht höher ist als die, mit der sie geteilt wurde, und nur innerhalb eines zulässigen Sets (siehe unten).
Information
Dies ist bewusst strenger als die normale organisationsinterne Berechtigungsverwaltung. Ressourcen, die eine Organisationsgrenze überschreiten, werden über Admins kanalisiert, damit es auf jeder Seite stets einen einzigen verantwortlichen Eigentümer gibt.
Berechtigungshierarchie
Funktionen auf einer Ressource reichen von der höchsten zur niedrigsten Berechtigung. Beim Teilen über eine Kooperation wird immer eine davon als geteilte Stufe ausgewählt:
Hinweis: Der Asset Manager ist das kaufmännische Pendant zur Technischen Betriebsführung und kann ebenfalls als gedeckelte Stufe geteilt werden.
Die Rolle Betreiber ist Ressourcen vorbehalten, die einer Organisation direkt gehören. Sie können eine Ressource niemals auf der Betreiber-Stufe über eine Kooperation teilen oder weitergeben — diese Befugnis überschreitet die Organisationsgrenze nicht.
So funktioniert die gedeckelte Delegation
Wenn Organisation A eine Ressource auf einer bestimmten Stufe mit Organisation B teilt, können die Admins von Organisation B:
- Auf die Ressource zugreifen — automatisch auf der geteilten Stufe (nur Admins).
- An die eigenen Mitglieder delegieren — aber nur innerhalb des für diese geteilte Stufe zulässigen Sets.
Das zulässige Set für eine über eine Kooperation geteilte Ressource ist immer Betrachter plus die geteilte Funktion selbst. Ein empfangender Admin entscheidet zwischen Nur-Lese-Zugriff für ein Mitglied (Betrachter) oder der vollen geteilten Stufe — nichts dazwischen und niemals höher.
| Geteilt mit | Empfangender Admin darf Mitgliedern gewähren | Niemals erlaubt |
|---|---|---|
| Technische Betriebsführung | Betrachter, Technische Betriebsführung | Betreiber, alles Höhere |
| Asset Manager (kaufmännische Befugnis) | Betrachter, Asset Manager | Betreiber, alles Höhere |
| Betrachter (nur Lesen) | Betrachter | jede höhere Rolle |
Beispielszenario
Warnung
Ein Mitglied, das eine über eine Kooperation geteilte Ressource erhält, sieht genau das, was seine zugewiesene Stufe erlaubt — nicht mehr, als die Organisation, der die Anlage gehört, geteilt hat. Wenn die teilende Organisation die geteilte Stufe später herabsetzt oder die Kooperation entfernt, wird der Zugriff der empfangenden Mitglieder entsprechend reduziert oder entzogen.
Kooperationsberechtigungen verwalten
Was Ihre Organisation teilt und was sie weitergibt, verwalten Sie in den Bereichen für Kooperationen und Mitgliederberechtigungen der Plattform:
- Was Sie nach außen teilen — nur die Organisation, der die Ressource gehört, kann die Stufe festlegen, auf der ein Park oder Portfolio über eine Kooperation geteilt wird, und kann ein optionales Ablaufdatum für diese Freigabe setzen.
- Was Sie nach innen delegieren — ein empfangender Admin gewährt seinen eigenen Mitgliedern die geteilte Ressource innerhalb des oben genannten zulässigen Sets, optional mit einem Ablaufdatum.
Diese Funktionen sind auch über die öffentliche REST API verfügbar (siehe die Live-/docs). Dieselben Obergrenzen werden durchgesetzt, unabhängig davon, wie eine Zuweisung erfolgt, sodass die API niemals genutzt werden kann, um die geteilte Stufe zu überschreiten.
Verwandte Funktionen
- Berechtigungssystem — Organisationsrollen, Funktionen und wie sie auf den Ressourcenzugriff abgebildet werden
- Kooperationen — Erstellen, Pausieren und Ablaufenlassen von organisationsübergreifendem Teilen
- Einladungen — Mitglieder und Partnerorganisationen einladen
- Audit-Log — wer wann auf geteilte Anlageninfrastruktur zugegriffen hat