Anwendungsadministration

Erstanmeldung

Diese Funktion ist nicht vorhanden, wenn das optionale Feature LDAP-Schnittstelle aktiv ist.

Beim ersten Zugriff auf die Anwendung müssen die letzten vier Ziffern der Instanz-ID (siehe Anwendung entpacken unter Installation in der Administrationsanleitung) als Zugangscode eingegeben werden. Anschließend muss ein Benutzername und ein Administratorpasswort gewählt und bestätigt werden.

Der Zugangscode für die Erstanmeldung läuft 7 Tage nach dem ersten Start der Anwendung ab.

Der erste Benutzer, der sich auf diese Weise anmeldet, ist Administrator und wird als Benutzer im Team Administration mit Rolle Administration angelegt. Anschließend kann dieser weitere Benutzer, auch weitere Administratoren, zum Zugriff auf die Anwendung berechtigen.

Mit dem gewählten Benutzernamen und Ihrem Passwort können Sie sich nun zur Anwendung anmelden.

Merken Sie sich das gewählte Passwort gut. Ein gültiges Administratorpasswort ist für die Nutzung der Anwendung unverzichtbar. Richten Sie sicherheitshalber gleich nach der Anmeldung ein zweites Konto für einen weiteren Administrator ein.

Administratoren können u. a. neue Benutzer anlegen und Benutzer einzelnen Teams zuordnen. Alle Administratoren gehören dem Team Administration an.

Benutzerverwaltung (ohne LDAP-Schnittstelle)

Diese Funktion ist nicht vorhanden, wenn das optionale Feature LDAP-Schnittstelle aktiv ist.

Benutzer mit Rolle Administration erreichen die Benutzerverwaltung über den entsprechenden Menüpunkt im Hauptmenü auf der Startseite.

Die Benutzerverwaltung stellt folgende Funktionen bereit:

Die Funktion wird über die Klappbox Aktion gewählt. Je nach gewählter Funktion erscheinen unterschiedliche Eingabefelder.

Beim Betätigen des Buttons am Ende des Formulars wird die Funktion ausgeführt.

Benutzer hinzufügen

Ein neues Benutzerkonto wird mit Erstpasswort vom Administrator angelegt. Für die Benutzerregistrierung, die noch erfolgen muss, kann alternativ ein Zugangscode und ein Passwort vergeben werden.

Die Felder Benutzername, Realname und Passwort müssen ausgefüllt werden. Für das Passwort gibt es eine vom Systemadministrator konfigurierbare Mindestlänge.

Das vom Administrator vergebene Passwort sollte auf sicherem Wege dem Benutzer mitgeteilt werden. Als zusätzliche Sicherheitsmaßnahme kann der Administrator für den neuen Benutzer optional erst nach der Änderung des Passworts durch den Benutzer eine Teamzuordnung vornehmen.

Das Benutzerkonto wird durch Registrierung des neuen Benutzers aktiviert.

Benutzer ändern

Ein vorhandener Benutzer muss selektiert werden. Die Felder Benutzername (neu) und Realname müssen beide ausgefüllt werden, wie beim Hinzufügen eines Benutzers.

Passwort kann weggelassen werden. In diesem Fall bleibt das Passwort unverändert.

Ein vom Administrator vergebenes Passwort sollte auf sicherem Wege dem Benutzer mitgeteilt werden. Als zusätzliche Sicherheitsmaßnahme kann der Administrator alle Teamzuordnungen des Benutzers aufheben und diese erst nach der Änderung des neuen Passworts durch den Benutzer wieder hinzufügen.

Der Benutzername kann nicht geändert werden, wenn für den Benutzer ein Benutzerverzeichnis auf dem Server angelegt ist.

Benutzer deaktivieren

Das ausgewählte Benutzerkonto wird deaktiviert. Das Benutzerkonto kann nicht mehr für die Anmeldung zum System genutzt werden. Verweise auf dieses Benutzerkonto, beispielsweise als Bearbeiter einer Dokumentennotiz, bleiben erhalten.

Benutzerdaten löschen

Die Benutzerdaten, insbesondere Benutzername und Realname, können für einen deaktivierten Benutzer gelöscht werden. Das Benutzerkonto kann nicht mehr reaktiviert werden.

Benutzer wieder aktivieren

Ein deaktiviertes Benutzerkonto, bei dem die Benutzerdaten nicht gelöscht wurden, kann wieder aktiviert werden.

Teamzuordnung hinzufügen

Hier kann ein Benutzer oder ein Client einem Team zugeordnet werden. Er erhält für dieses Team die angegebene Rolle. Ein Benutzer muss mindestens eine Teamzuordnung haben, um sich an der Anwendung anmelden zu können.

Teamzuordnung aufheben

Der Benutzer oder Client kann sich damit nicht mehr für dieses Team anmelden. Das Benutzerkonto und andere Teamzuordnungen bleiben erhalten.

User-Zugangscode anlegen

Der Administrator legt eine zeitlich beschränkte Zugangsberechtigung für die Registrierung eines neuen Benutzers an. Die Funktion ist unter Benutzerverwaltung zu finden.

Bei Aufruf wird eine 4-stellige Zahl als vorläufiger Benutzername (Zugangscode) generiert. Der Administrator vergibt dazu ein vorläufiges Passwort (Erstpasswort), das der Benutzer bei der Registrierung ändern muss.

Der Zugangscode läuft nach 7 Tagen automatisch ab und kann vom Administrator auch früher deaktiviert werden.

Wir empfehlen, eine Teamzuordnung erst nach Registrierung und Identitätsprüfung des neuen Benutzers vorzunehmen.

Client-Zugangscode anlegen

Der Administrator legt eine zeitlich beschränkte Zugangsberechtigung für die Registrierung einer anderen Anwendung an, die als Client die API des DMS nutzen soll. Die Funktion ist unter Benutzerverwaltung zu finden.

Bei Aufruf wird eine 4-stellige Zahl als vorläufiger Benutzername (Zugangscode) generiert. Der Administrator vergibt dazu ein vorläufiges Passwort, das der Administrator der Client-Anwendung für die Registrierung nutzen kann.

Der Zugangscode läuft nach 7 Tagen automatisch ab und kann vom Administrator auch früher deaktiviert werden.

Wir empfehlen, eine Teamzuordnung erst nach Registrierung und Identitätsprüfung der neuen Client-Anwendung vorzunehmen.

Bei der Registrierung gibt der Administrator der Client-Anwendung den Namen der entsprechenden Anwendung ein und erhält eine client_id und ein client_secret, die automatisch generiert werden. Mit diesen Angaben kann die Client-Anwendung den in OAuth vorgesehenen Client Credentials Grant zum Abrufen von Access Tokens verwenden. Der Abruf von Tokens und deren Verwendung ist in der DMS-API-Dokumentation erläutert.

Nach erfolgreicher Registrierung wird das Client-Secret als ausgeblendetes Feld angezeigt. Rechts davon werden drei Buttons angezeigt.

Der erste dieser Buttons erlaubt das Sichtbarmachen des Secrets. Der letzte Button erlaubt das Kopieren des Secrets in die Zwischenablage.

Der mittlere Button erlaubt das Anzeigen eines QR-Codes, der zur Konfiguration einer Client-Anwendung genutzt werden kann. Der QR-Code ist nach dem Muster dmsclient://konfigurationsangaben aufgebaut. Die Konfigurationsangaben enthalten ein JSON-Objekt als Base64-Kodierter String. Der String enthält die Felder URL des DMS, Client-Id und Client-Secret.

Der Button zum Sichtbarmachen des Client-Secrets und der Button zum Anzeigen des QR-Codes sollten nur benutzt werden, wenn niemand den Bildschirm einsehen kann. Gleiches gilt für das Einfügen eines Secrets aus der Zwischenablage.

Client-Namen ändern

Mit dieser Funktion kann der Administator einen bei der registrierung angegebenen Client-Namen ändern.

Client-Tokens deaktivieren

Die Tokens eines Clients können mit dieser Funktion deaktiviert werden. Der Client kann neue Tokens mit seiner client_id und dem client_secret anfordern.

Zugangscode löschen

Ungenutzte Zugangscodes, für die noch keine Teamzuordnung erfolgt ist, können wieder gelöscht werden.

Anlegen eines neuen Benutzerkontos (ohne LDAP-Schnittstelle)

Diese Funktionen sind nicht vorhanden, wenn das optionale Feature LDAP-Schnittstelle aktiv ist.

Ein neues Konto entsteht in folgenden Schritten:

Zugangscode anlegen oder Benutzer hinzufügen

Wie weiter oben beschrieben.

Zugangscode oder Benutzername versenden

Der Administrator teilt die URL der Login-Seite und den Zugangscode oder den Benutzernamen dem neuen Benutzer mit. Dies kann beispielsweise per E-Mail geschehen.

Erstpasswort mitteilen

Der Administrator teilt dem neuen Benutzer das Erstpasswort mit. Aus Sicherheitsgründen sollte dies unbedingt auf einem anderen Kommunikationsweg, als dem für den Zugangscode verwendeten, geschehen.

Registrierung

Der neue Benutzer ruft die Login-Seite auf und gibt den Benutzernamen oder den Zugangscode als Benutzernamen und das vorläufige Passwort an.

Falls der Benutzer durch den Administrator direkt angelegt wurde, also ohne Zugangscode, wird der Benutzer bei der ersten Anmeldung lediglich aufgefordert, sein Passwort zu ändern. Die folgenden Schritte entfallen in diesem Fall.

Falls für den Benutzer ein Zugangscode angelegt wurde, erhält dieser ein Registrierungsformular. Hier gibt er seinen Realnamen an und wählt einen Benutzernamen sowie ein Passwort.

Sofern der Betreiber die Registrierung entsprechend konfiguriert hat, können zur Registrierung auch Ankreuzfelder gehören. Diese können beispielsweise für die Einwilligung zur Datenverarbeitung genutzt werden.

Freischaltung

Die Freischaltung erfolgt, indem der Administrator für den neuen Benutzer eine erstmalige Teamzuordnung mit der Funktion Teamzuordnung hinzufügen vornimmt. Dies kann sofort nach Erstellung des Zugangscodes bzw. des neuen Benutzerkontos oder erst nach erfolgreicher Registrierung bzw. erster Anmeldung des Benutzers vorgenommen werden.

Nach erfolgreicher Registrierung mittels Zugangscode, erhält der Administrator ein PDF-Dokument mit Zugangscode, Benutzername, Realname, Werten der Ankreuzfelder, Zeitpunkten zu denen der Registrierungszugang angelegt wurde und die Registrierung erfolgt ist, sowie der Liste der geltenden Teamzuordnungen. Anhand dieses Protokolls kann der Administrator die Angaben auf Plausibilität prüfen und, falls noch nicht erfolgt, die Freischaltung vornehmen.

Anlegen eines neuen Client-Zugangs

Ein neues Client-Konto (für den Zugriff via REST-API) entsteht in folgenden Schritten:

Zugangscode für Client anlegen

Wie weiter oben beschrieben.

Zugangscode versenden

Der Administrator teilt die URL der Login-Seite und den Zugangscode oder den Benutzernamen dem neuen Benutzer mit. Dies kann beispielsweise per E-Mail geschehen.

Erstpasswort mitteilen

Der Administrator teilt dem neuen Benutzer das Erstpasswort mit. Aus Sicherheitsgründen sollte dies unbedingt auf einem anderen Kommunikationsweg, als dem für den Zugangscode verwendeten, geschehen.

Registrierung

Der Administrator bzw. der für den Client zuständige Benutzer registriert den Client.

Bei erfolgreicher Registrierung erhält er eine client_id und ein client_secret, die er für das Anfordern eines Access Tokens verwenden kann.

Sofern der Betreiber die Registrierung entsprechend konfiguriert hat, können zur Registrierung auch Ankreuzfelder gehören. Diese können beispielsweise für die Einwilligung zur Datenverarbeitung genutzt werden.

Freischaltung

Die Freischaltung erfolgt, indem der Administrator für den neuen Client eine erstmalige Teamzuordnung mit der Funktion Teamzuordnung hinzufügen vornimmt. Dies kann sofort nach Erstellung des Zugangscodes bzw. des neuen Kontos oder erst nach erfolgreicher Registrierung vorgenommen werden.

Nach erfolgreicher Registrierung erhält der Administrator ein PDF-Dokument mit dem gewählten Client-Namen. Bei Bedarf kann der Administrator diesen Namen ändern.

Konfiguration bearbeiten

Benutzer in der Rolle Administration können nach einer Standardinstallation diverse Konfigurationsanpassungen via Webapp vornehmen. Falls dies nicht gewünscht ist, kann der Serveradministrator dies in den Konfigurationsoptionen des Servers mit der Option WebappCanConfigure=false verhindern.

Die folgenden Funktionen werden über den Menüpunkt Konfiguration bearbeiten aufgerufen und führen jeweils zu einem Erfassungsfenster für die entsprechende Konfigurationstabelle der Datenbank. Die Konfiguration über die Webapp ist nur möglich, wenn keine anderen Benutzer angemeldet sind. Damit soll der Zugriff auf eine inkonsistente bzw. unvollständige Konfiguration verhindert werden.

Die Funktionen Präfixwerte und Exportformat-Spalten werden nicht direkt aus dem Menü sondern über den Button Ebene tiefer der Fenster Präfix-Schlagworte bzw. Exportformate erreicht.

Reservierte Schlagworte

Datenbanktabelle: reserved

Eingabefelder:

Präfix-Schlagworte

Datenbanktabelle: prefix

Eingabefelder:

Präfixwerte

Hier können zulässige Werte bearbeitet werden, für ein Präfix-Schlagwort, das als Auswahlliste angegeben ist.

Datenbanktabelle: prefix_value

Eingabefelder:

Dokumententypen

Datenbanktabelle: document_type

Eingabefelder:

Löschgründe

Datenbanktabelle: delete_reason

Eingabefelder:

Export-Formate

Datenbanktabelle: export_format

Eingabefelder:

Exportformat-Spalten

Hier können die Spalten für ein CSV-Export-Format definiert werden. Falls ein Export-Format keine Spalten hat, kann es nur verwendet werden, wenn es eine entsprechende individuelle Erweiterung für das jeweilige Team gibt.

Datenbanktabelle: export_column

Eingabefelder:

Automatische Weiterleitungen

Nur vorhanden, wenn das optionale Feature Interne Weiterleitung aktiv ist.

Datenbanktabelle: share

Eingabefelder:

Teams

Nicht vorhanden, wenn das optionale Feature LDAP-Schnittstelle aktiv ist.

Datenbanktabelle: team

Eingabefelder:

Die Felder Aktuell, Wiedervorlage und Ablage geben an, ob das entsprechende Ablagefach für das Team aktiv sein soll.

Das Feld Session-Timeout enthält die Anzahl Minuten (1-30) nach der eine Benutzersitzung eines in dem Team angemeldeten Benutzers bei Inaktivität abläuft. Enhält das Feld keinen Wert, gilt für diese Team ein Wert von 15 Minuten.

Als Farbzuordnung kann ein RGB-Farbwert angegeben werden. Die Angabe erfolgt als sechstelliger hexadezimaler Wert mit dem Zeichen # vorangestellt.

Informationstexte aktualisieren

Die Funktion ist für Benutzer mit Berechtigung für Administrations- oder Managementfunktionen über das Hauptmenü auf der Startseite erreichbar.

Informationstexte können über die Link-Leiste oben rechts im Header des Anwendungsfensters aufgerufen werden. Es gibt anwendungsweite Informationstexte und teaminterne Links. Die anwendungsweiten Informationstexte können von allen angemeldeten Benutzern abgerufen werden. Die teaminternen Informationstexte können nur von den entsprechenden angemeldeten Benutzern des Teams aufgerufen werden.

Je Team kann der Manager einen teaminternen Informationstext einstellen. Dieser könnte beispielsweise eventuelle Besonderheiten durch individuelle Anpassungen der Funktionen in diesem Team enthalten.

Anwendungsweit können Administratoren folgende Informationstexte einstellen:

Im Header des Anwendungsfensters erscheinen nur die Links, zu denen es einen Informationstext gibt.

Informationstexte müssen als HTML-Dateien eingestellt werden. Beginnt der Inhalt der Datei mit “http://” oder “https://” und ist maximal 255 Zeichen lang, wird der Inhalt als URL interpretiert und es wird versucht, die entsprechende Seite als Informationstext anzuzeigen.

Durch das Hochladen einer leeren Datei wird der entsprechende Informationstext entfernt.

Berichte anzeigen

Benutzer mit Rolle Administration können über den Menüpunkt Berichte anzeigen diverse Berichte zu den aktuellen Steuerungs- und Konfigurationsangaben anfordern.

Die Berichte werden als PDF-Dateien bereitgestellt.

Folgende Berichte sind verfügbar:

Nachricht an alle angemeldeten Benutzer

Administratoren können Nachrichten an alle angemeldeten Benutzer senden.

Die Funktion wird aus dem Hauptmenü aufgerufen und kann für Mitteilungen verwendet werden, wie beispielsweise der Hinweis auf bevorstehende Konfigurationsarbeiten mit entsprechender vorübergehender Einschränkung der Nutzbarkeit der Anwendung.

Die Nachrichten erscheinen in den Anwendungsfenstern aller angemeldeten Benutzer. Sie werden nicht gespeichert.

Datenbank im Read-Only-Modus

Wird die Datenbank der Anwendung im Read-Only-Modus bereitgestellt, kann der Administrator über den Menüpunkt Aktueller Datenbankdump einen eventuell vorhandenen Datenbank-Dump herunterladen.

Die Webapp, über die der Dump heruntergeladen werden soll, muss einen Namen nach dem Muster only_for_backup_check_<servername>_<webappname> haben.

Die Konfigurationsdatei /opt/advernet.de_dms/only_for_backup_check_<servername>_<webappname>/current_dump_info muss den Namen des bereitgestellten Dumps enthalten. Der Dump muss im Verzeichnis /home/<servername> vorhanden sein.

Bei Fragen zum DMS nehmen Sie bitte Kontakt zu uns auf!

040 228692950 oder info@advernet.de
(Informationen zu E-Mail-Verschlüsselung)