Mandanten, Benutzerkonten und Systemsicht einordnen
Diese Referenz hilft Administratoren, Sichtbarkeitsfragen zu Mandanten, Benutzerkonten, Profilen und der Seite System einzuordnen. Nach dem Lesen wissen Sie, welche Mandantenliste Sie prüfen müssen und warum die System-Kennzahl nicht dasselbe ist wie die persönliche Mandantenauswahl eines Benutzers.
Nutzen Sie diese Seite, wenn ein Benutzer einen Arbeitsbereich nicht sieht, wenn die Seite System eine andere Mandantenzahl zeigt als erwartet oder wenn Sie zwischen persönlicher Mitgliedschaft und systemweiter Administration unterscheiden müssen.
Grundbegriffe
| Begriff | Bedeutung |
|---|---|
| Benutzerkonto / Identity | Globales Konto einer Person, mit dem sie sich anmeldet. |
| Arbeitsbereich | Fachlicher Kontext, in dem Benutzer arbeiten. |
| Mandant | Technischer und organisatorischer Datenkontext eines Arbeitsbereichs. |
| Mitgliedschaft | Zuordnung eines Benutzerkontos zu einem Mandanten mit Rolle und Rechten. |
| Profilbindung | Verknüpfung zwischen Benutzerkonto und Profil im Mandanten. Sie macht den Arbeitsbereich für eine vollständige Browser-Sitzung nutzbar. |
| Aktive Sitzung | Der aktuell gewählte Mandant der Browser-Sitzung. |
| System-Mandant | Sonderkontext für systemweite Administration, Betrieb und mandantenübergreifende Listen. |
Beziehung der Komponenten
Die persönliche Mandantenliste beantwortet die Frage: In welchen Mandanten ist dieses Benutzerkonto Mitglied? Die Seite System beantwortet eine andere Frage: Welche Mandanten sieht ein berechtigter System-Administrator in der systemweiten Mandantenverwaltung?
Welche Mandantenliste zählt was?
| Sicht | Zweck | Ergebnis |
|---|---|---|
| Persönliche Mandantenliste | Zeigt die Mandanten, in denen das angemeldete Benutzerkonto Mitglied ist. | Benutzer sieht eigene Arbeitsbereiche und den aktuell aktiven Mandanten. |
| Mandantenauswahl für die Browser-Sitzung | Wählt einen Mandanten, der für eine vollständige Sitzung bereit ist. | Benutzer arbeitet im gewählten Arbeitsbereich. |
| System-Mandantenliste | Zeigt Mandanten im System-Mandantenkontext mit passenden Systemrechten. | System-Administratoren sehen mandantenübergreifende Administration. |
/system-Mandanten-Kennzahl | Zählt die Einträge der System-Mandantenliste. | Die Zahl entspricht der systemweiten Systemliste, nicht der persönlichen Liste. |
Wenn ein System-Administrator in allen vier Mandanten Mitglied ist und die System-Mandantenliste vier Mandanten enthält, können persönliche Liste und Systemliste gleich aussehen. Die Ursache ist dann aber nicht dieselbe: Die persönliche Liste kommt aus Mitgliedschaften, die Systemliste aus systemweiter Berechtigung.
Zugriff prüfen
Prüfen Sie bei Sichtbarkeitsfragen in dieser Reihenfolge:
- Klären Sie, ob es um die persönliche Mandantenauswahl oder um die Seite
Systemgeht. - Prüfen Sie bei persönlicher Sicht, ob das Benutzerkonto Mitglied im betroffenen Mandanten ist.
- Prüfen Sie bei Browser-Sitzungen, ob das Benutzerkonto im Mandanten eine passende Profilbindung besitzt.
- Prüfen Sie bei
System, ob das Konto im System-Mandanten arbeitet und die passenden Systemrechte besitzt. - Prüfen Sie danach Rollen, Zugriffsgruppen und Seitenzielgruppen im betroffenen Arbeitsbereich.
Die Prüfung ist erfolgreich, wenn der Benutzer den erwarteten Arbeitsbereich auswählen kann, die Seite im richtigen Arbeitsbereich sieht und die Systemseite nur für berechtigte System-Administratoren erreichbar ist.
Häufige Einordnung
| Beobachtung | Bedeutung |
|---|---|
/system zeigt vier Mandanten und System > Mandanten listet vier Mandanten. | Beide Sichten nutzen die systemweite Mandantenliste. |
| Ein Benutzer ist nur in einem Mandanten Mitglied. | Seine persönliche Mandantenliste sollte nur diesen Arbeitsbereich anbieten. |
| Ein Benutzer ist Mitglied, kann aber keinen vollständigen Arbeitsbereich öffnen. | Prüfen Sie die Profilbindung und danach Rollen und Zielgruppen. |
Ein Arbeitsbereichs-Admin sieht System > Mandanten nicht. | Das ist erwartbar, wenn er keine System-Mandantenrechte besitzt. |
| Die persönliche Liste und die Systemliste zeigen dieselbe Zahl. | Das kann zufällig stimmen; die Listen haben trotzdem unterschiedliche Zwecke. |
Nächste Schritte
- Nutzen Sie Quickstart: Benutzer und Rechte prüfen, wenn ein Benutzer einen Bereich oder Arbeitsbereich nicht sieht.
- Nutzen Sie IAM und Authentifizierung, wenn Sie Rollen, Mitgliedschaften und Zugriffsgruppen pflegen.
- Nutzen Sie OpenAPI verwenden, wenn Sie API-Aufrufe mit Tenant-Kontext prüfen.