Es gibt drei Berechtigungsstufen in dieser Anwendung:
einfacher externer Mitarbeiter ("Benutzereinstellungen verwalten")
Diese können sich anmelden und ihre Daten einsehen. Sie können ihr Passwort wechseln und ihren Anzeigenamen anpassen.
Unternehmens-Administrator ("Benutzer verwalten")
Diese Mitarbeiter der Unternehmen können für ihr Unternehmen neue Mitarbeiter anlegen. Sie können die Mitarbeiter sperren, umbenennen, löschen, das Passwort überschreiben. Weiterhin können Sie den Mitarbeitern Ereignisse zuweisen, für die sie zur Schadenserfassung freigeschalten sind. Diese Rechtestufe sollte mit "Benutzereinstellungen verwalten" gemeinsam vergeben werden.
Beim Anlegen eines Mitarbeiters wird dessen Login festgelegt. Es besteht aus einem festen Präfix, in das u.a. das Kürzel der Firma einfließt und einem freien Namensteil. Dieser muss eindeutig sein. Das Login kann nachträglich nicht mehr verändert werden. Ggf. ist ein neuer Nutzer anzulegen. Das Sperren eines Mitarbeiters hat zur Folge, dass dieser sich nicht mehr anmelden kann. Die Sperre kann jederzeit wieder aufgehoben werden. Das Löschen eines Mitarbeiters entfernt dessen Login aus der Administration. Die Datensätze in der Schadenserfassung, die dieser Mitarbeiter erfasst oder an denen er mitgearbeitet hat, bleiben aber erhalten. Das Freigeben eines Ereignisses für einen Mitarbeiter hat zur Folge, dass dieser alle Schadens-Datensätze der Firma zu der Ereignisart einsehen, bearbeiten und löschen kann. Zudem kann der Mitarbeiter neue Schäden erfassen. Das Entfernen eines Ereignisses für einen Mitarbeiter entzieht diese Rechte wieder. Die von ihm erfassten oder geänderten Datensätze bleiben jedoch bestehen.
LTV-Admin ("Firmen verwalten")
Diese Berechtigung erlaubt es Firmen anzulegen, umzubenennen und zu sperren. Weiterhin können den Firmen Ereignisse zugewiesen werden, für die die Schadenserfassung erfolgen soll. Zudem können mit dieser Rechtestufe für alle Firmen die Mitarbeiter verwaltet werden. Zusätzlich zu den Berechtigungen der Stufe "Benutzer verwalten" ist es auch möglich, Mitarbeiter in den Firmen zu Administratoren zu machen. Diese Rechtestufe sollte ohne die Kombination mit anderen Rechten vergeben werden.
Beim Anlegen einer Firma ist für diese ein Kürzel zu vergeben. Dieses muss eindeutig sein und ist später nicht mehr änderbar. Es wird als Teil von Benutzer- und Gruppennamen verwendet und fließt auch in Ids für Ordner im Puzzle ein. Eine Firma kann nicht mehr gelöscht werden. Sie kann nur gesperrt werden. D.h. alle Mitarbeiterzugänge dieser Firma sind gesperrt. Das Einsehen oder Ändern von Schadens-Dokumenten ist nicht mehr möglich. Die Sperre kann jederzeit wieder aufgehoben werden. Das Freigeben eines Ereignisses für eine Firma ermöglicht dem Firmen-Administrator diese Ereignisse auch für seine Mitarbeiter freizugeben. Das Entziehen eines Ereignisses von einer Firma entfernt automatisch alle Freigaben der Firmenmitarbeiter. Der Firmen-Ordner am Ereignis und die Datensätze bleiben jedoch bestehen.
Nach dem Anlegen einer Firma ist sinnvollerweise mindestens auch ein Mitarbeiter für die Firma anzufügen und dieser zum Administrator zu machen. Ab diesem Zeitpunkt kann sich die Firma selbst verwalten.
Alle Einstellungen der Anwendung werden direkt in der cardo-Gruppen- und Benutzerverwaltung sowie im cardo-Puzzle durchgeführt. Über einige Namenskonventionen ermöglichen die Auswertbarkeit für diese Anwendung.
Gruppe "SE_ALL": Diese Gruppe muss im cardo vorhanden sein. Sie enthält alle Firmen und damit alle Mitarbeiter aller Firmen. Dieser Gruppe muss das Starten von cardo-Puzzle erlaubt werden. Zudem sollten dieser Gruppe das Recht "Benutzereinstellungen verwalten" für diese Anwendung freigegeben werden. Die Rechte im IKX - also die Freigabe von Klassen und Feldern im Puzzle zur Ansicht und Bearbeitung, sollte ebenso für diese Gruppe erfolgen.
Gruppe "SE_ADMINS": Diese Gruppe muss im cardo vorhanden sein. Sie enthält die Administratoren aller Firmen. Ihr sollte das Recht "Benutzer verwalten" für diese Anwendung freigegeben werden. Weitere Berechtigungen sind nicht nötig.
Gruppe "SE_ALL_XXX": Solche Gruppen werden beim Anlegen einer Firma erzeugt. "XXX" steht hierbei beispielhaft für das Firmen-Kürzel. In diese Gruppe werden alle Mitarbeiter der Firma eingefügt. Beim Sperren einer Firma wird diese Gruppe gesperrt. Sie beinhaltet in der Beschreibung zudem die Firmen-Bezeichnung.
Gruppe "SE_ADMINS_XXX": Solche Gruppen werden beim Anlegen einer Firma erzeugt. "XXX" steht hierbei beispielhaft für das Firmen-Kürzel. In diese Gruppe werden alle Administratoren der Firma eingefügt. Beim Freigeben eines Ereignisses für eine Firma, wird dieser Gruppe für ihren Firmen-Unterordner das Admin-Recht erteilt.
Benutzer "SE_XXX_YYY": So ein Benutzer wird beim Anlegen eines Mitarbeiters erzeugt. "XXX" steht hierbei beispielhaft für das Firmen-Kürzel. "YYY" für das Login des Mitarbeiters. Dieser cardo-Benutzer wird beim Anlegen eines Mitarbeiters erzeugt. In der Beschreibung steht die Bezeichnung. Beim Sperren wird dieser Zugang gesperrt. Beim Löschen, wird er gelöscht. Beim Zuweisen von Ereignissen zum Mitarbeiter wird diesem Login für den firmeneigenen Unterordner am Ereignis das Read, Create, Update und Delete - Recht im Puzzle erteilt.
Das Freigeben eines Ereignisses für eine Firma bewirkt, dass im Betriebsunterordner ein firmeneigener Unterordner entsteht. Der Anzeigename entspricht der Firmenbezeichnung. Diesem Ordner wir die Firmen-Admin-Gruppe mit Admin-Rechten zugewiesen. Beim Zuweisen von Benutzern zum Ereignis, werden zusätzlich auch die einzelnen cardo-Benutzer mit Read, Create, Update und Delete - Recht zugewiesen. Beim Entziehen des Ereignisses für einen Benutzer, wird dieser wieder Benutzer mit seinen Rechten wieder entfernt. Beim Entziehen des Ereignisses für eine Firma, werden alle Benutzer sowie die Firmen-Admin-Gruppe wieder entfernt. Der Ordner bleibt aber unverändert mit allen Dokumenten bestehen.
Beim Entfernen einer Kategorie aus dem Puzzle verschwinden auch alle Dokumente und Ordner. Und damit auch das der Firma zugeordnete Ereignis.