MIO-Admin kann "fremde" Kontakte löschen

hitobito / hitobito_cevi

A hitobito wagon defining the organization hierarchy and additional features for Cevi

Other

6 stars 3 forks source link

MIO-Admin kann "fremde" Kontakte löschen #59

Closed nchiapol closed 1 year ago

nchiapol commented 3 years ago

Beim Integrieren einer neuen MIO haben wir festgestellt, dass ein MIO-Admin selbst dann Kontakte löschen kann, wenn diese noch in einer anderen MIO verknüpft sind. Das sollte nicht möglich sein. Lösungsoptionen:

Das Löschen-Recht auf Admin des Dachverbands beschränken.
Löschen nur für Kontakte Zulassen, bei denen der User für alle Rollen-Schreibrechte hat.

Bitte im Rahmen unseres Sprints fixen (mit der günstigeren Variante.) (2. wäre wohl sauberer, 1. wohl einfacher)

chrusu commented 2 years ago

Lösungsvorschlag Variante 2: Rolle "MIO-Admin" hat neu folgende Permissions:

Admin_Layer_and_below
layer_and_below_full Neue Permission: Admin_Layer_and_below
kann keine globalen Einstellungen vornehmen
kann in seinem Layer Personen löschen (wenn auf alle Rollen schreibrecht)
2FA zurücksetzen erlaubt (layer_and_below)
Details von Personen "ohne Rollen" anzeigen (layer_and_below) und diese Personen löschen
Duplikate anzeigen (layer_and_below)

chrusu commented 2 years ago

Lösungsvorschlag Variante 1: MIO-Admin Permission "admin" entfernen.