PERSON: Berechtigungssystem

[mlue00]

Als administrierende Person der Mitte wünsche ich mir ein angepasstes Berechtigungssystem um die existierenden Rollen besser abzubilden.

Folgende Rollen sollen entsprechenden Berechtigungen in Hitobito angepasst werden:

• [x] Schweiz > Sekretariat > IT-Support: Alle Rechte im System (inkl. alle Abos aus allen Ebenen)

• [x] Schweiz > Sekretariat > Leitung: Alle Rechte auf der entsprechenden Ebene und allen Ebenen darunter. (inkl. Abos und Finanzen)

• [x] Vereinigung > Parteigremium > Leitung: Löschen von Kontakten auf der entsprechenden Ebene und allen Ebenen darunter.

• [x] Kanton > Parteigremium > Leitung: Löschen von Kontakten auf der entsprechenden Ebene und allen Ebenen darunter.

• [x] > > Kassier:in: Abos erstellen und Kontakte sehen.

• [x] > > Webadministrator:in: Alle Kontakte lesen und Gruppen (Präsidium, Gewählte, Sekretariat und Parteigremium) schreiben.

• [x] > >* (alle): Sehen von Personen auf Ebene Schweiz. Genauere Erklärung siehe Kommentare und Tech Spec. Kurz gesagt ist das Verhalten schon so wie es sein soll wenn man im Personenfilter etwas anderes als "Nur in der aktuellen Gruppe" auswählt.

Tech-Spec

• Die definierten Berechtigungen für Kassier:in und Webadministrator:in gelten jeweils für die Rollen aller Ebenen.
• Zum Fall dass ein kantonales Sekretariat ihre eigenen Delegierten auf der Bundesebene nicht sehen kann: Wir haben in https://github.com/hitobito/hitobito/blob/master/app/abilities/person_readables.rb#L28..L32 seit 2012 eine "Optimierung" drin für den Fall dass man beim Personenfilter "Nur in der aktuellen Gruppe" eingeschaltet hat. Diese Optimierung ist wie es sich jetzt herausstellt eigentlich falsch. Es werden dort ein paar übliche Fälle abgedeckt (wenn ich Lesezugriff in der Gruppe oder im übergeordneten Layer habe, oder wenn ich und einige Mitglieder der Gruppe die contact_data Permission haben). Aber der Fall "ich bin auf einer ganz anderen Ebene, habe dort Zugriff auf Person X, und sollte daher Person X in all ihren Gruppen sehen" ist nicht abgedeckt. Und das nur, wenn eben "Nur in der aktuellen Gruppe" im Filter ausgewählt ist. Sobald ich "In der aktuellen Gruppe und allen darunter liegenden Gruppen" oder "Gesamte Ebene" auswähle sehe ich die Person X überall in Listen wo sie Rollen hat.
  • Das scheint also ein Bug zu sein. Allerdings war der seit praktisch Anfang an immer drin, und noch niemand hat das als Fehler identifiziert. Daher vorgeschlagenes Vorgehen: Wir passen das mal im Mitte Wagon an, und wenn sie keine groben Performance-Probleme melden können wir es dann auch noch im Core umsetzen.

ToDo

• [x] Bei Group::BundSekretariat::ItSupport die Permissions :layer_and_below_full, :contact_data, :admin, :complete_finance hinzufügen
• [x] Bei Group::BundSekretariat::Leitung die Permission :finance hinzufügen
• [x] Bei Group::VereinigungParteigremium::Leitung die Permission :layer_and_below_full hinzufügen
• [x] Bei Group::KantonParteigremium::Leitung die Permission :layer_and_below_full hinzufügen
• [x] Bei allen Kassier-Rollen die Permission :layer_and_below_full hinzufügen
• [x] Bei allen Webadministrations-Rollen die Permission :layer_and_below_full hinzufügen
• [x] Vorerst nur im Mitte Wagon: Spezialfall-Optimierung ausbauen, sodass konsistent immer die Regel can :index, Person, accessible_people { |_| true } gilt
• [ ] Specs anpassen
• [ ] Mit angemessener Rolle "durchklicken"
• [ ] CHANGELOG-Eintrag unter "unreleased" unten hinzufügen

[olibrian]

Offene Frage gemäss Mail 17.10.22: Ihr wünscht hier diverse neue Berechtigungen für verschiedene Rollen. Dazu haben wir die folgenden Fragen:

1. Kassier:in: Neu sollen Kassier Abonements erstellen und die Kontakte Einsehen können. Wir gehen davon aus, dass nur Kontakte auf dem eigenen Layer und darunter eingesehen werden sollen, und nicht sämtliche Kontakte der ganzen Datenbank?
2. Webadministrator:in: Neu sollen Webadministratoren alle Kontakte lesen können. Wir gehen davon aus, dass nur Kontakte auf dem eigenen Layer und darunter eingesehen werden sollen, und nicht sämtliche Kontakte der ganzen Datenbank?
3. Alle Personen sehen Personen auf der Ebene Schweiz. Ihr habt auf der Hauptebene Die Mitte Schweiz keine Rollen, und entsprechend auch keine Personen hinterlegt. Sollen alle Personen in den Untergruppen von Die Mitte Schweiz gefunden werden (Alt-Bundesrat, Arbeitsgruppen, B-Club, etc...)? Oder soll jede Person die komplette Liste aller Kontakte auf Die Mitte Schweiz sehen? (Dann könnte effektiv jede Person in der Datenbank jede andere Person in der Datenbank sehen...)

[StefZuegerDieMitte]

1. Genau, nur Kontakte auf dem eigenen Layer: Beispiel: Kassier im Gruppentyp Präsidium einer Kantonalpartei: Soll alle Personen innerhalb der Kantonalpartei und allen darunterliegenden Ebenen sehen. Als Use Case, muss diese Person ja allen Personen auf und unterhalb der Kantonalpartei eine Rechnung schreiben können.
2. Hier gilt dasselbe. Die Person muss deshalb alle sehen, da sie die Personen mit der Webseite verbinden muss über den API.
3. Wir haben Rollen in den Gruppentypen unterhalb der Mitte Schweiz, also beispielsweise im Sekretariat, verstehe hier nicht ganz, was du meinst. Aber hier war ich zu wenig konkret: Es geht darum, dass Kantonalparteien ihre eigenen Mitglieder auch in denjenigen Gruppen sehen, die bei uns auf Ebene Mitte Schweiz sind. Eigentlich geht es darum, dass die kantonalen Sekretäre hier(https://db.die-mitte.ch/de/groups/19/people?returning=true) ihre Mitglieder sehen können, dass ist heute nicht der Fall oder nur teilweise der Fall und ich verstehe nicht wieso. Danke und Gruss Stefan

[olibrian]

Rücksprache mit Stefan: "Löschen von Kontakten" genügt aktuelles Verhalten von Hitobito mittels Löschen von Rollen. Definitives Löschen bleibt dem Admin vorbehalten.