CiviCRM-Stammtisch vom 8.Mai 2025: Berechtigungen im CiviCRM

Moin zusammen,
hier eine kurze Zusammenfassung des Stammtisches und die Lösung des offenen Punktes, warum unser Setup in der Demo nicht funktionieren wollte.

Ulrich erläuterte die Basics zu Berechtigungen im CiviCRM:
Bei den CMS-basierten CiviCRM wird das User- und Berechtigungs-Management von Drupal, Joomla oder Wordpress benutzt. Es dient dazu, Rollen zu definieren, die eine Sammlung von Funktionsberechtigungen sind.
In unserem Beispiel gibt es eine Rolle „Test“, in der der Rolleninhaber Kontakte anlegen, aber nur seinen eigenen Kontakt pflegen kann. Der Benutzer „Test-User“ hat diese Rolle.

Bildschirmfoto vom 2025-05-10 19-19-521920×1080 349 KB

Bildschirmfoto vom 2025-05-10 19-20-561920×1080 266 KB

Bildschirmfoto vom 2025-05-10 19-24-221920×1080 172 KB

Hier die Liste alle Kontakte, die er in der erweiterten Suche findet: natürlich nur den eigenen.

Bildschirmfoto vom 2025-05-10 19-29-351920×1080 128 KB

Wir wollen jetzt den Test-User nicht für alle Kontakte zur Pflege berechtigen, sondern nur für die Kontakte die sich in einer Gruppe „test-gruppe“ befindet.

Diese Daten-Berechtigung kann man über die CiviCRM-ACL-Rolle definieren:

Zunächst die Rolle als solches

Bildschirmfoto vom 2025-05-10 19-36-051920×1080 219 KB

Dann die Definition aus welchen Datenberechtigungen die Rolle besteht (Eine der möglichen Datenberechtigungen ist die Definition einer Gruppe von Kontakten und die Fähigkeit Anzeigen/Bearbeiten dazu. Es gibt hier noch weitere Möglichkeiten wie die Berechtigung für eine Erweiterungsgruppe)

Bildschirmfoto vom 2025-05-10 19-36-571920×1080 222 KB

Dann die Zuordnung von Benutzern zu einer Rolle.

Bildschirmfoto vom 2025-05-10 19-37-261920×1080 189 KB

Nach einem Cache-Refresh findet der Test-User in der erweiterten Suche ohne die Einschränkung von Werten folgende Kontakte.

Bildschirmfoto vom 2025-05-10 19-39-061920×1080 141 KB

(Das hatte in der Demo im Stammtisch deshalb nicht funktioniert, weil der Wordpress-User und der CiviCRM-Kontakt nicht korrekt synchronisiert waren.)

Es gibt verschiedene Extensions, die sich um das Berechtigungswesen bei komplexen Organisationsstrukturen kümmern. (Da würden wir uns freuen, wenn Interessierte diese mal evaluieren und dann dem Stammtisch berichten …)

Activity Type ACL: https://civicrm.org/extensions/activity-type-acl

Private Activity Types: https://civicrm.org/extensions/private-activity-types

Access Control by Financial Type for Reports: https://civicrm.org/extensions/access-control-by-financial-type-for-reports

Group Administrators: https://civicrm.org/extensions/group-administrators

Group Permissions: https://civicrm.org/extensions/group-permissions

Custom Permission: https://civicrm.org/extensions/custom-permission

Hierarchical ACL: https://civicrm.org/extensions/hierarchical-acl

Darauf erläuterte Kai Kulschewski vom Arbeiter Samariter Bund SH einige fachliche Fälle für Berechtigungen in einer großen Organisation, die weiter diskutiert werden müssen. Hier seine Folien
2025-05-08 Berechtigungen.pdf

Wir planen, ein Test-System für Berechtigungen aufzusetzen, in dem verschiedene fachliche Fälle ungestört durchgetestet werden können.

Zum Thema „Group Admin“ hatten wir ja schon mal den Vortrag von @maria

Danke für den Überblick. Leider konnte ich an dem Tag aus terminlichen Gründen selber nicht dabei sein.

Daher hier noch ein Hinweis zu ACLs: Es gibt seit einiger Zeit auch die Möglichkeit, „negative ACLs“ zu definieren. Das erleichtert die Konfiguration enorm, weil nicht mehr alle erlaubten Möglichkeiten als ACL einzutragen sind, sondern nur diejenigen (meist nur wenigen), die ausgeschlossen werden sollen.

Vielen Dank für deine tolle Übersicht, Ulrich!

So ein Testsystem wäre prima. Ich habe inspiriert durch die Vorträge beim Stammtisch ein bisschen an unserem System gearbeitet und dabei wohl sehr vieles falsch gemacht