Rollen und Berechtigungen
Wie iglesio festlegt, wer was in einer Organisation darf
Diese Seite erklärt das Berechtigungsmodell von iglesio: wie Rollen aus Berechtigungen zusammengesetzt werden, welche Standardrollen mitgeliefert werden und wo du sie bearbeitest.
iglesio nutzt rollenbasierte Zugriffskontrolle (RBAC). Jede Aktion in der App (eine Person ansehen, einen Anlass anlegen, einen Song löschen) ist an eine Berechtigung geknüpft. Eine Rolle fasst mehrere Berechtigungen zusammen. Ein Mitglied der Organisation erhält eine oder mehrere Rollen.
Hintergrund
Viele Kirchen haben einen Mix aus fest Angestellten und Freiwilligen. Die fest Angestellten brauchen oft weitreichenden Zugriff auf Stammdaten. Freiwillige brauchen gerade genug, um ihre Aufgabe zu erledigen, ohne sensible Daten zu sehen. Ein einzelner "Admin/Nicht-Admin"-Schalter reicht dafür nicht.
Deshalb sind Rollen in iglesio frei konfigurierbar. Du legst so viele an, wie du brauchst, mit genau den Berechtigungen, die der Aufgabe entsprechen.
Standardrollen
iglesio liefert vier Rollen als Startpunkt mit. Du kannst sie anpassen oder löschen und eigene anlegen.
| Rolle | Typische Zielgruppe | Enthält zum Beispiel |
|---|---|---|
| Admin | Pastor, Geschäftsführer | Alle Berechtigungen inkl. Einstellungen, Mitglieder, Rollen |
| Teamleiter | Worship-Leiter, Kids-Leiter | Anlässe, Teams, Songs, Aufgaben verwalten |
| Volunteer | Dienende im Anlass | Eigene Zuweisungen sehen und beantworten, eigene Infos pflegen |
| Mitglied | Gemeindemitglied | Eigenes Profil, Gemeinde-Verzeichnis (soweit freigegeben) |
Die tatsächlichen Berechtigungen pro Rolle verwaltest du unter Einstellungen → Rollen.
Namenskonvention für Berechtigungen
Berechtigungen folgen dem Muster ressource.aktion:
people.read— Personen ansehenpeople.manage— Personen anlegen, bearbeiten, löschenservices.read— Anlässe ansehenservices.manage— Anlässe planen und bearbeitensongs.manage— Songs anlegen, bearbeiten, löschengroups.manage— Gruppen verwaltensettings.manage— Organisations-Einstellungen ändern
Die vollständige Liste der Berechtigungen wird im Rollen-Editor unter Einstellungen → Rollen angezeigt — pro Modul mit den Aktionen Lesen, Schreiben, Löschen und Verwalten.
Wo Rollen leben
Rollen und Zuweisungen leben auf einer einzigen Seite unter Einstellungen → Zugriff & Rollen (/settings/church/roles). Hier legst du Rollen an, weist ihnen Berechtigungen zu und ordnest sie eingeladenen Mitgliedern zu.
Die Seite ist ausschliesslich in der Web-App verfügbar. Das Rollen-Management ist eine Admin-Aufgabe und hat in der Mobile App keinen Platz.
Anwendungsfälle
Worship-Leiter mit passenden Rechten
Sarah leitet den Worship-Bereich. Sie soll Anlässe planen, Songs pflegen und ihr Worship-Team verwalten, aber keine Mitgliederdaten ändern.
- Du öffnest
/settings/church/rolesund legst eine RolleWorship-Leiteran. - Du gibst der Rolle:
services.manage,songs.manage,teams.manage,people.read. - Auf derselben Seite weist du Sarah die Rolle
Worship-Leiterzu.
Sarah sieht jetzt alles, was sie braucht, ohne Einstellungen oder sensible Personen-Daten ändern zu können.
Volunteer ohne Verwaltungsrechte
Peter kommt als Volunteer ins Team. Er soll nur seine Zuweisungen sehen und sein eigenes Profil pflegen.
- Du weist Peter die Standardrolle
Volunteerzu. - Peter loggt sich ein (Web oder Mobile) und sieht seine Einsätze. Er kann zusagen oder absagen, sein Profil bearbeiten — sonst nichts.
Neue Admin-Rolle für Kassier
Die Kirche nimmt später ein Giving-Modul in Betrieb (nicht Teil der aktuellen Version). Dann legst du eine Rolle Kassier an mit giving.manage und reports.read.
Bereich einer Rolle
Standardrollen gelten organisationsweit: wer services.manage hat, darf Anlässe an allen Standorten planen. Das Datenmodell hat zwar einen Standort-Begriff (siehe Datenmodell), aber die Rollen sind zum aktuellen Stand nicht an einen Standort gebunden.
Mehrere Rollen pro Mitglied werden additiv kombiniert: die Berechtigungen
werden als Vereinigungsmenge gerechnet. Jemand mit Teamleiter und
Volunteer sieht alles, was eine der beiden Rollen erlaubt.