Hallo,

wir verwenden bei unseren Mandanten z.B. fürs Belegwesen die "Standard-" plus im Bedarfsfall die "Ordnerrechte".

Genaueres findet sich hier in der Info-DB​ (der vorstehende ScreenShot ist ein Auszug aus diesem Dokument).

Eine generelle Linie über alle Mandanten und Anwendungen lässt sich schwer definieren, da die Nutzung auf Mandantenseite zu unterschiedlich ausfällt, so dass man im Prinzip jedes Mal bei Null aufsetzt.

Sobald mehr als ein mIDentity für den Mandanten existiert, versuchen wir soweit als möglich über "Gruppen" die Konfiguration zu vereinheitlichen, da man sonst schon mal den Durch- und Überblick verlieren kann. Auch wenn am Anfang nur ein Stick zum Einsatz kommt, aber absehbar ist, dass weitere folgen können/werden, nutzen wir von Anfang an diese Gruppen.

Insgesamt ist die Rechteverwaltung online ein komplexes System, dessen Konfiguration - sofern man nicht nur ein/zwei Mandanten zu verwalten hat - vollste Konzentration erfordert, um nicht unliebsame Datenlecks zu schaffen. Leider gibt es bis heute für den Administrator dieser Rechte keine Möglichkeit, mal kurz auf die Freigabesicht für den gerade konfigurierten Stecker umzuswitchen. Daher sind wir dabei geblieben, dass sämtliche neuen Stecker immer zuerst in der Kanzlei ankommen, so dass man mit dem Stecker die vorgenommenen Freigaben verproben kann, bevor dieser dann zum Mandanten raus geht. So versuchen wir uns vor unliebsamen Überraschungen zu schützen.

Gutes Gelingen ...

Daher sind wir dabei geblieben, dass sämtliche neuen Stecker immer zuerst in der Kanzlei ankommen, so dass man mit dem Stecker die vorgenommenen Freigaben verproben kann, bevor dieser dann zum Mandanten raus geht. So versuchen wir uns vor unliebsamen Überraschungen zu schützen.

Hallo Herr Hein,

die Transportpin dafür wird doch immer direkt an den Mandanten geschickt oder wie handhaben Sie das hierbei?

Das würde mich mal interessieren, da ich bei uns für das Thema auch zuständig bin und wir bisher zwar die Sticks bekommen aber nicht die Transportpin.

Gruß

Björn

Hallo Björn,

das lösen wir schon bei den Absprachen mit dem Mandanten dergestalt, dass wir den Transport-PIN von ihm zugesandt bekommen.

Wir vergeben dann damit für die Konfiguration ein temporär gültiges Passwort, das der Mandant bei der "Übernahme" des Sticks als erste Massnahme nach seinem Gusto abändert.

Das hat bis heute auch noch in keinem Fall zu Rückfragen der Mandanten geführt, warum wir denn die PIN nicht auch gleich für die Konfiguration zu uns senden lassen (können). Das wird als unsere kanzleispezifische Absicherung verstanden, da bei uns auch keine unverschlüsselte Mail an Mandanten etc. raus geht.

Gruß

R. Hein

Hallo,

Standardrechte plus im Bedarfsfall Ordnerrechte handhaben wir ebenso.

Zudem nutzen wir konsequent NICHT den Einrichtungsassistenten!

Grund hierfür ist, dass die Rechte durch den Assistenten immer direkt an die SmartCard vergeben werden. Wir nutzen hingegen immer die Rechtevergabe in Gruppen. Die SmartCards bekommen diese Rechte dann über die Gruppenmitgliedschaften.

Je nach Ausgestaltung mit dem Mandanten, werden auch mehrere Gruppen pro Mandat eingerichten (Belege = Belegverwaltung / AuswPerso = Auswertungen Personal / u.s.w.).

Durch eine entsprechende Kurzbezeichnung der Gruppen ist auch meinen Admin-Kollegen auf einem Blick klar, was welche Gruppe beinhaltet.

Da bei Mandanten auch immer wieder Mitarbeiter wechseln, hat sich die durchgehende Nutzung von Gruppen in der Handhabung als deutlich einfacher dargestellt. Auch das hinzufügen von weiteren Authentifizierungsmedien wie SmartLogin o.ä. ist dann schnell und einfach über die Gruppenmitgliedschaft erledigt. Ein mühsames übertragen von Rechten ist dann nicht notwendig.

Gruß

Chr.Ockenfels

wenn sie in gruppen administrieren, darf ich dann annehmen, dass ihre DUO-Mandate größtenteils auf ihrer kanzlei-beraternummer laufen und nicht jeder eine eigene unterberaternummer hat?

oder ist die Gruppenbildung auch beraternummernübergreifend machbar?

Wenn man in den Gruppen nur Programmrechte verwaltet, kann man diese auch unabhängig von der Beraternummer verwenden.

Hallo,

nein. Da sind wir "buntgemischt". Aber die Gruppenadministration wird durchgehend bei allen Mandanten eingesetzt. Auch wenn der Fibu/DUO-Bestand auf einer mandantengenutzten Beraternummer oder kanzleigenutzten Beraternummer angelegt ist.

Wenn eine Gruppe für die mandantengenutzte Beraternummer angelegt wird, kann diese Gruppe auch NUR von den Mandanten-SmartCards genutzt werden. Für die Kanzlei-SmartCards gibt es also zusätzliche Gruppen auf der Kanzlei-Beraternummer. Eine Vermischung ist hier nicht möglich und auch nicht sinnvoll. Kanzlei-Mitarbeiter haben durchaus mehr Rechte wie Mandanten (z.B. Ordnerrechte).

Gruß

Chr.Ockenfels

Hallo,

wie genau, wird die Gruppenadministration für die Mandanten SmartCards eingesetzt?

Welche Gruppen werden hier angelegt?

Dankeschön!

Beispiele:

Gruppenname  Aufgabe

<BNr>-Belege  Rechte für "Belege" / wenn nicht weiter differenziert auch noch "Bank"

<BNr>-Zahl       Rechte für Zahlungsverkehr

<BNr>-FibuAusw  Rechte für Fibu-Auswertungen

Das kann beliebig erweitert werden. Wenn es ein Mandant wünscht, können auch noch mehr Gruppen definiert werden. Es sollte in der Kanzlei eine einheitliche "Gruppenbezeichnung" eingeführt werden, so dass auf einem Blick erfasst werden kann, was die Gruppe letztendlich bezweckt.

Die Gruppen müssen zudem für die mandantengenutzte Beraternummer angelegt werden, da sonst die Mandanten-SmartCards nicht den Gruppen zugeordnet werden können.

Für die Kanzlei-Mitarbeiter ist das ein wenig "lockerer" gehandhabt. <Kanzlei-BNr>-Mdt-Belege = Zugriff auf die Belegverwaltungen der Mandanten.

Wichtig: Gruppenrechte addieren sich! D.h. wenn eine SmartCard Mitlgied in mehreren Gruppen ist, werden die Rechte addiert! Freigaben aus einer Gruppe, können nicht mit "Sperren" in anderen Gruppen neutralisiert werden, da es keine Sperrrechte gibt!

123456-Belege == Zugriff auf Belegverwaltung BNr 123456 / Mdt 12345

123456-Zahl  == Zugriff auf Bank und Zahlungsverkehr BNr 123456 / Mdt 12345

SmatCard bekommt als Mitglied in beiden Gruppen Zugriff auf Belege/Bank/Zahlungsverkehr BNr 123456 / Mdt 12345

Das ist wichtig, wenn in einer Gruppe Zugriffe über die "Globalen Freigaben" eingerichtet werden!

123456-Belege == Globale Freigabe BNr 123456 / Mdt 12345

                              Grüner Haken bei "Belege" und "Bank"

123456-FibuAusw = BNr 123456 / Mdt. 123

Durch die Mitgliedschaft in beiden Gruppen erhält die SmartCard auch Zugriff auf die Fibu-Auswertungen BNr 123456 / Mdt 12345, da die globalen Freigaben gesetzt sind! Das kann bei ausgeprägten Rechtestrukturen dann problematisch werden.

Grundsätzlich: Nach Zuordnungen zu Gruppen immer die effektiven Rechte einer Smartcard prüfen! Diese können dann in ein PDF gedruckt werden und dem Mandanten ggf. zur Kontrolle übergeben werden. Und auch zur eigenen Dokumentation in die Ablage...

Grüße

Chr.Ockenfels