Calendar-pluginin bookers ja setters vaativat liian kattavia oikeuksia lisättäviin käyttäjäryhmiin

[saviit]

Tapahtuman luominen kalenteriin vaatii käyttäjältä liian kattavia oikeuksia käyttäjäryhmiin:

Case 1: Bookers-attribuutti vaatii manage-oikeudet asetettuun bookers-ryhmään:

• Käyttäjä määrittänyt kalenterin tapahtumapohjan bookers-ryhmäksi xxxx
• Käyttäjä yrittää luoda uuden tapahtuman kys. tapahtumapohjalla
• Käyttäjä saa virheilmoituksen puuttuvista oikeuksista eikä tapahtumaa luoda, mikäli käyttäjällä ei ole vähintään manage-oikeuksia käyttäjäryhmään xxxx

Case 2: Setters-attribuutti vaatii edit-oikeudet asetettuun setters-ryhmään:

• Käyttäjä määrittänyt kalenterin tapahtumapohjan setters-ryhmäksi yyyy
• Käyttäjä yrittää luoda uuden tapahtuman kys. tapahtumapohjalla
• Käyttäjä saa virheilmoituksen puuttuvista oikeuksista eikä tapahtumaa luoda, mikäli käyttäjällä ei ole vähintään edit-oikeuksia käyttäjäryhmään yyyy

Case 3: Bookers- ja setters- attribuutit vaativat oikeudet kaikkiin listattuihin ryhmiin:

• Käyttäjä lisännyt itsensä kalle sekä toisen käyttäjän toni kalenteripohjan bookers-ryhmiksi
• kallella ei ole manage-oikeutta käyttäjäryhmään toni, eikä käyttäjällä toni ole manage-oikeutta käyttäjäryhmään kalle
• Puuttuvien oikeuksien vuoksi kumpikaan ei voi luoda tapahtumia käyttäen kys. tapahtumapohjaa

[saviit]

Linkitys #2646 jatkokehityskorttiin.

[dezhidki]

Nykyiset vaatimukset tapahtumien luomiselle ovat listattu kalenteripluginin ohjeissa: https://tim.jyu.fi/view/tim/ohjeita/kalenteri#kalenterin-oikeuksien-asettaminen (erityisesti kohdat 3 ja 4).

Eli nykiset caset vastaavat kyllä ohjeiden toimintaa. Varsinainen ongelma taisi olla seuraava (liittyen case 1een):

Jotta tuollaisen tapahtuman voi lisätä. pitää tällä hetkellä olla oikeus ryhmään xxx ja vieläpä Manage. [...] [O]piskelijoilla ole tuohon mitään oikeutta, enkä uskaltaisi edes view-oikeutta antaa tuohon.

Tulkintani siis on, että ongelma on pikemmin siinä, että nykyisellä järjestelyllä oikeus luoda tapahtumia ryhmälle tarkoittaa, että pääset samalla hallinnoimaan kyseistä ryhmää ja näkemään jäsenet. Alkuun riittäisi varmaan pudottaa bookers sekä setters -vaatimus view-tasolle, mutta se sitten ei auta siihen, että silloin pääsee näkemään muut ryhmän jäsenet. En lähtisi tekemään täysin uutta oikeustasoa (ellei keksi sellaista yleiskäyttöä sille myös perusdokumenteille), vaan määrittelisin vaan ryhmille säädettävän minimitason, jolla ryhmän jäsenet voi katsoa. Silloin ryhmän omistaja voi valita esim. että pitää olla vähintään edit-oikeus, että näkee ryhmän jäsenet, mutta view antaa oikeuden jo luoda tapahtumat.

TL;DR: tähän korttiin varmaan riittäisi, että pudottaa vaatimuksen manage -> view ja edit -> view (case 1 ja case 2) ja sitten tehdään eri kortti, jossa mietitään tuota jäsenten näkyvyyttä ja mahdollisia ryhmän oikeuksien säätöä. Case 3ea ei ole tarkoitus korjata, koska sellaisen salliminen avaa tien aika helpolle väärinkäytölle. Sitä casea varten ainoastaan olisi hyvää laittaa muutama esimerkki käyttöohjeeseen siitä, mitä saa ja mitä ei saa tehdä tapahtumaryhmien kanssa.