search

hitobito / hitobito_cevi

A hitobito wagon defining the organization hierarchy and additional features for Cevi
Other
6 stars 3 forks source link

Feststellungen Sicherheitstab "Rollen, die auf mich Zugriff haben" #116

Closed patrickuhlmann closed 1 year ago

patrickuhlmann commented 1 year ago

Ich habe das mal bei meiner Person ausprobiert: https://db.cevi.ch/groups/2748/people/21623/security_tools

Dabei sind mir folgende Punkte aufgefallen:

Es werden gelöschte Gruppen aufgelistet

Beispielsweise Admin 2017

Ist das effektiv korrekt? Sollten bei gelöschten Gruppen nicht deren Mitglieder entsprechende Zugriffsrechte verlieren? Faktisch ist ja die Idee einer Löschung das die Gruppe nicht mehr existiert.

Auch ist es in der Liste nicht auf den ersten Blick ersichtlich das die Gruppe gelöscht ist. Wäre nützlich das entsprechend zu markieren.

Es werden relativ viele Gruppen aufgelistet mit denen ich nichts zu tun habe/die ich nicht erwarten würde

Beispiele

Ist das korrekt und ist das richtig konfiguriert? Es erschliesst sich mir nicht weshalb Mitglieder beliebiger Ausschüsse und Delegiertengruppen entsprechende Zugriffsrechte haben sollten. Wird da möglicherweise zu häufig layer and below vergeben?

carlobeltrame commented 1 year ago

Zu den gelöschten Gruppen wurde hier auch schon diskutiert: hitobito/hitobito_pbs#257

Die Gremien könnten vielleicht daran liegen dass du eine Rolle mit :contact_data hast..? https://hitobito.readthedocs.io/de/latest/access_concept.html#spezialfall-contact-data Oder ihr habt glaube ich auch noch Customizations beim Cevi dass Leute auf Organisator-Ebene von Kursen alle Kurs-TN sehen dürfen oder so, kann das sein?

nchiapol commented 1 year ago

Sorry für die lange Reaktionszeit.

Die von dir aufgelisteten Gruppen sind alles Gremien des Cevi Schweiz. Leitung und Mitglieder dieser Gruppen haben "layer_read". (Alles Lesen auf dieser Ebene.) Da du selbst ebenfalls Mitglied in mehreren Gremien des Cevi Schweiz bist (z.B. Cevi-Tools), können die dich also auch sehen.

Wir können gerne diskutieren, ob wir die Rechte enger vergeben sollten - das ist aber sicher eine interne Diskussion (d.h. gehört in https://github.com/cevi/hitobito_cevi/issues. Ich schliesse dieses Issue deshalb.

patrickuhlmann commented 1 year ago

Ja ist gut. Sorry. Wollte das Issue eigentlich effektiv zuerst in cevi:hitobito_cevi eröffnen.