Konzept - Benutzergruppen & Rollen

Diese Seite erklärt die Grundlagen des Rechtemodells in Vision. Für die praktische Bedienung der Benutzergruppen siehe Benutzerverwaltung und für das Zuweisen dieser an Benutzer siehe Benutzer

1. Begriffe und Ebenen

Die baind‑Plattform organisiert Benutzer und Daten hierarchisch. Für ein Verständnis der Zugriffs‑ und Rollenmodelle ist es wichtig, die folgenden Ebenen zu unterscheiden:

Organisation (Realm)

Eine Organisation bildet den Mandantenrahmen für ein Unternehmen oder einen Dienstleister. Alle Benutzer, Einstellungen, Zugriffsrechte und Liegenschaften dieses Mandanten sind darin zusammengefasst. Beispiele:

Kunde A besitzt für seine Liegenschaft "Campus A1" einen Vision-Account mit der Organisation "Unternehmen A".
Dienstleister X verwaltet mehrere Liegenschaften von Kunden in Vision mit der eigenen Organisation "Dienstleister X".

Liegenschaft (Domain)

Eine Liegenschaft ist ein Standort oder Campus, der zu einer Organisation gehört. Sie enthält Gebäude, Stockwerke, Abteile und Räume. In der Benutzerverwaltung wird jede Liegenschaft durch eigene Benutzergruppen repräsentiert. Benutzer sehen und bearbeiten nur jene Gebäude‑ und Anlagendaten, für die sie in der jeweiligen Liegenschaft eine Rolle besitzen.

Die folgende Grafik zeigt den Unterschied: Eine Organisation (blau) kann mehrere Liegenschaften (gelb) verwalten. Ein Dienstleister kann sogar Liegenschaften verschiedener Kunden betreuen.

Zugriffssteuerung über Benutzergruppen

Die Zugriffsrechte eines Benutzers in Vision werden durch Benutzergruppen gesteuert. Jeder Benutzer kann einer oder mehreren Benutzergruppen zugewiesen werden.

Innerhalb einer Liegenschaft gilt: Der Benutzer erhält die Rechte der höchsten zugewiesenen Gruppe. Die Benutzergruppen sind hierarchisch aufgebaut – von Admin (alle Rechte) über Integrator, Facility Manager, Data Analyst bis zu User (nur Raumsteuerung).

Über mehrere Liegenschaften hinweg können die Rechte unterschiedlich sein: Ein Benutzer kann beispielsweise in Campus A1 Integrator sein und gleichzeitig in Werk B1 nur User-Rechte haben.

2. Rollen & Benutzergruppen

Die Vision unterscheidet zwei Ebenen an Benutzergruppen:

Ebene	Zweck	Namenskonvention
Organisation (Realm‑Gruppen)	Verwaltung des Mandanten und automatischer Vollzugriff auf alle Liegenschaften	`<Organisation>: <Rolle>` – z. B. `Organisation X: Admin`
Liegenschaft (Domain‑Gruppen)	Zugriff auf Gebäude‑ und Anlagendaten eines spezifischen Standorts	`<Liegenschaft>: <Rolle>` – z. B. `Campus A1: Facility Manager`

Realm‑Gruppen – Organisationsebene

Auf Organisationsebene gibt es nur eine Benutzergruppe:

Admin: Voller Schreib‑ und Leserechte auf Organisationsressourcen und automatisch Admin-Rechte für alle Liegenschaften (Domains) der Organisation. Der Realm Admin ist die einzige Rolle mit folgenden exklusiven Berechtigungen:
- Verwaltung aller Benutzergruppen (Realm- und Domain-Ebene)
- Konfiguration der Benutzeranbindung (LDAP, SSO)
- Verwaltung des Liegenschaftsassistenten
- Vollzugriff auf alle Liegenschaftsdaten und Konfigurationen aller Domains

Hinweis: Der Realm Admin hat automatisch Vollzugriff auf alle Liegenschaften der Organisation, ohne dass zusätzliche Domain-Gruppen zugewiesen werden müssen. Er ist die zentrale administrative Instanz für die gesamte Organisation.

Domain‑Gruppen – Liegenschaftsebene

Zweck: Zugriff auf Gebäude- und Anlagendaten einer konkreten Liegenschaft (z. B. "Campus A1").

Admin (Campus A1: Admin)
- Kann: Vollzugriff auf alle Funktionen der Liegenschaft. Neue Benutzer hinzufügen und diesen Benutzergruppen der eigenen Liegenschaft zuweisen. Design-Anpassungen der Benutzeroberfläche für die eigene Liegenschaft. Raumsteuerung, Anlagenautomation, Datenpunkte, Schnittstellen, Alarme, Routinen und Dashboards konfigurieren.
- Kann nicht: Benutzergruppen verwalten (erstellen/bearbeiten/löschen), Benutzeranbindung konfigurieren, Liegenschaftsassistent verwalten, Benutzergruppen anderer Liegenschaften zuweisen. Diese Rechte sind dem Realm Admin vorbehalten.
- Für: Liegenschaftsverantwortliche und lokale Administratoren.
Integrator (Campus A1: Integrator)
- Kann: Vollzugriff auf alle Funktionen der Liegenschaft. Raumsteuerung, Anlagenautomation, Datenpunkte, Schnittstellen, Alarme, Routinen und Dashboards konfigurieren.
- Kann nicht: Benutzerverwaltung, Gruppenverwaltung, Design-Anpassungen.
- Für: Systemintegratoren, Inbetriebnahme und technische Betreuung.
Facility Manager (Campus A1: Facility Manager)
- Kann: Lesezugriff auf alle Liegenschaftsdaten. Raumsteuerung bedienen. Alarme, Routinen und Dashboards erstellen und bearbeiten.
- Kann nicht: Datenpunkte, Schnittstellen, Raum- oder Anlagenautomation konfigurieren. Keine Benutzerverwaltung.
- Für: Betreiber und Facility Management.
Data Analyst (Campus A1: Data Analyst)
- Kann: Lesezugriff auf alle Liegenschaftsdaten. Raumsteuerung bedienen. Dashboards erstellen und bearbeiten.
- Kann nicht: Alarme oder Routinen erstellen. Keine Konfiguration von Datenpunkten, Schnittstellen, Raum- oder Anlagenautomation. Keine Benutzerverwaltung.
- Für: Datenanalyse und Reporting.
User (Campus A1: User)
- Kann: Raumsteuerung bedienen (z. B. Licht, Jalousien, Temperatur).
- Kann nicht: Dashboards, Alarme, Routinen, Anlagenautomation, Datenpunkte sehen oder konfigurieren. Keine Benutzerverwaltung.
- Für: Mitarbeitende und Raumnutzer.

Kurzüberblick

Rolle	Raumsteuerung	Anlagenautomation	Alarme & Routinen	Dashboards	Datenpunkte & Schnittstellen	Benutzerverwaltung
Realm Admin (Organisation)	bedienen & konfigurieren (alle Domains)	bedienen & konfigurieren (alle Domains)	erstellen & bearbeiten (alle Domains)	erstellen & bearbeiten (alle Domains)	konfigurieren (alle Domains)	vollständig verwalten: Benutzer, Benutzergruppen, Benutzeranbindung, Liegenschaftsassistent
Domain Admin (Liegenschaft)	bedienen & konfigurieren	bedienen & konfigurieren	erstellen & bearbeiten	erstellen & bearbeiten	konfigurieren	eingeschränkt: Benutzer hinzufügen & eigene Domain-Rechte zuweisen
Integrator	bedienen & konfigurieren	bedienen & konfigurieren	erstellen & bearbeiten	erstellen & bearbeiten	konfigurieren	–
Facility Manager	bedienen	lesen	erstellen & bearbeiten	erstellen & bearbeiten	lesen	–
Data Analyst	bedienen	lesen	lesen	erstellen & bearbeiten	lesen	–
User	bedienen	–	–	–	–	–

Best‑Practice‑Hinweise

Automatische Gruppenerstellung: Beim Anlegen einer neuen Organisation bzw. Liegenschaft generiert das System den vollen Satz dieser Gruppen automatisch (Realm- und Domain-Gruppen für alle Rollen).
Realm Admin als Superuser: Der Realm Admin (Organisation X: Admin) hat automatisch Vollzugriff auf alle Liegenschaften der Organisation. Er ist die einzige Rolle, die Benutzergruppen verwalten, Benutzeranbindungen konfigurieren und den Liegenschaftsassistenten einrichten kann.
Domain Admin Einschränkungen: Domain Admins (Campus A1: Admin) können neue Benutzer anlegen und diesen Benutzergruppen der eigenen Liegenschaft zuweisen. Sie können jedoch keine Benutzergruppen anderer Liegenschaften zuweisen und keine Benutzergruppen verwalten (erstellen/bearbeiten/löschen).
Kombinationen: Ein Benutzer kann mehrere Benutzergruppen haben, z. B. Werk B1: Facility Manager und Werk B2: User. Die effektiven Rechte sind innerhalb jeder Liegenschaft die höchste zugewiesene Gruppe. Der Realm Admin hat automatisch Admin-Rechte für alle Liegenschaften, unabhängig von zusätzlichen Domain-Gruppen.
Dienstleister: Externe Integratoren oder Facility‑Manager erhalten eine eigene Organisation. baind weist dieser Organisation die Kunden‑Liegenschaften zu und trägt dort die passenden Domain‑Rollen ein.
Dashboards: Dashboards sind pro Organisation (Domain) getrennt. Ein Dienstleister kann in seiner eigenen Organisation Dashboards mit Daten verschiedener Kunden-Liegenschaften erstellen. Um ein Dashboard zu erstellen, das ein Kunde sehen kann, muss der Dienstleister dieses in der Organisation des Kunden anlegen. Sicht- und Bearbeitungsrechte werden über Benutzergruppen gesteuert. Widgets mit Daten aus Liegenschaften, für die ein Benutzer keine Berechtigung hat, erscheinen ausgegraut.

3. Typische Account‑Szenarien

Die folgenden Beispiele zeigen, wie Organisationen, Liegenschaften und Rollen in der Praxis kombiniert werden.

Einzelkunde mit einer Liegenschaft

Organisation A

Liegenschaft: Campus A1
Realm‑Gruppe: Organisation A: Admin
Domain‑Gruppen: Campus A1: Admin, Campus A1: Integrator, Campus A1: Facility Manager, Campus A1: Data Analyst, Campus A1: User

Beispiel-Benutzer:

Benutzer 1 → Organisation A: Admin (Realm Admin)
Benutzer 2 → Campus A1: Admin (Domain Admin)
Benutzer 3 → Campus A1: Facility Manager

Auswirkung

Benutzer 1 (Realm Admin) hat Vollzugriff auf alle Liegenschaften der Organisation A (auch auf zukünftige), kann Benutzergruppen verwalten, Benutzeranbindung und Liegenschaftsassistent konfigurieren.
Benutzer 2 (Domain Admin) kann alles in Campus A1 konfigurieren, neue Benutzer hinzufügen und diesen Campus A1-Benutzergruppen zuweisen. Kann jedoch keine Benutzergruppen verwalten oder Benutzeranbindung konfigurieren.
Benutzer 3 (Facility Manager) hat Lesezugriff auf alle Daten, kann Alarme, Routinen und Dashboards pflegen, aber keine Systemkonfiguration oder Benutzerverwaltung vornehmen.

Kunde mit mehreren Liegenschaften

Organisation B

Liegenschaften: Werk B1 und Büro B2
Realm‑Gruppe: Organisation B: Admin
Domain‑Gruppen für jede Liegenschaft: Werk B1: Admin, Werk B1: Integrator, Werk B1: Facility Manager, … sowie Büro B2: Admin, Büro B2: Integrator, Büro B2: Facility Manager, …

Benutzer	Zugewiesene Gruppen	Zugriff
1	`Organisation B: Admin` (Realm Admin)	Vollzugriff auf Werk B1 & Büro B2 sowie alle zukünftigen Liegenschaften. Kann Benutzergruppen verwalten, Benutzeranbindung und Liegenschaftsassistent konfigurieren.
2	`Werk B1: Admin` (Domain Admin)	Vollzugriff auf Werk B1, kann Benutzer hinzufügen und Werk B1-Gruppen zuweisen. Büro B2 nicht sichtbar.
3	`Werk B1: Facility Manager`	Werk B1: Lesezugriff + Alarme, Routinen, Dashboards bearbeiten. Büro B2 nicht sichtbar.
4	`Werk B1: Facility Manager`, `Büro B2: User`	Werk B1: Lesezugriff + Alarme, Routinen, Dashboards bearbeiten • Büro B2: nur Raumsteuerung

Externer Dienstleister / Systemintegrator

Organisation X (Dienstleister)

Organisation X betreut mehrere Kunden, welche die baind Plattform benutzen.
Organisation X setzt sich mit der Vision auseinander und integriert dies in ihre Tools.
baind vergibt der Organisation X einen Organisations-Login (Realm Ebene).
baind ordnet Organisation X die Kunden‑Liegenschaften Campus A1, Werk B1, Büro B2 und die entsprechenden Dienstleister Rollen zu.
Domain‑Gruppen in Organisation X für die Kunden-Liegenschaften:
- Campus A1: Integrator, Werk B1: Integrator, Büro B2: Integrator.
Realm‑Gruppe: Organisation X: Admin (für interne Rechtevergabe und Vollzugriff auf alle Kunden-Liegenschaften der Organisation X).

Wichtig: Der Dienstleister Organisation X: Admin hat automatisch Admin-Rechte für alle ihm zugeordneten Kunden-Liegenschaften und kann die Benutzeranbindung und den Liegenschaftsassistenten für seine Organisation verwalten.

Beispiel Dashboards

Dashboardtyp	Erstellt in	Sichtbar für	Bemerkung
Kunden-Dashboard A	Organisation von Kunde A	`Campus A1: Admin`, `Campus A1: Integrator`, `Campus A1: Facility Manager`, `Campus A1: Data Analyst`	Dashboard in der Organisation des Kunden angelegt. Enthält Widgets aus Campus A1. Nur Benutzer mit entsprechenden Rollen in Organisation A können es sehen und bearbeiten. Organisation X (Dienstleister) kann es nur sehen/bearbeiten, wenn sie eine entsprechende Rolle (z.B. Integrator) in Campus A1 haben.
Multi‑Liegenschaft Dashboard für Kunde	Organisation von Kunde A	`Werk A1: Admin`, `Werk A1: Integrator`, `Werk A2: Admin`, `Werk A2: Integrator`	Dashboard zeigt Daten aus mehreren Liegenschaften (Werk A1 & Werk A2) des gleichen Kunden. Wer nur Werk A1-Rechte hat, sieht Werk A2-Widgets ausgegraut.
Internes Dienstleister‑Dashboard	Organisation X (Dienstleister)	`Organisation X: Admin`, `Organisation X: Integrator`	Dashboard in der Organisation des Dienstleisters angelegt. Kann Daten aus allen betreuten Kunden-Liegenschaften enthalten (Campus A1, Werk B1, Büro B2). Kunden können dieses Dashboard nicht sehen, da es in einer anderen Organisation existiert.

Lokaler selbstständiger Facility Manager

Ein selbstständiger Facility Manager betreut in seinem Ort die Liegenschaften von 2-3 Unternehmen. Eines dieser Unternehmen, Kunde A1, benutzt nun die Vision. In solch einem Fall muss der Facility Manager bei baind keine eigene Organisation anmelden. Das Unternehmen Kunde A1 kann einen Benutzer für den Facility Manager erstellen und ihm die entsprechende Rolle zuweisen.

Kunde A

Selbstständiger Facility Manager betreut nur Campus A1.
Kunde A erstellt einen Benutzer mit der Mail-Adresse des Facility Managers.
Diesem Benutzer wird die Rolle: Campus A1: Facility Manager zugewiesen.

Ergebnis

Der Facility Manager hat Lesezugriff auf alle Daten von Campus A1.
Er kann Alarme, Routinen und Dashboards für A1 erstellen und bearbeiten.
Er kann die Raumsteuerung bedienen.
Keine Einsicht in andere Liegenschaften oder Organisations‑Einstellungen.
Keine Konfiguration von Datenpunkten, Schnittstellen oder Anlagenautomation.

1. Begriffe und Ebenen​

Organisation (Realm)​

Liegenschaft (Domain)​

Zugriffssteuerung über Benutzergruppen​

2. Rollen & Benutzergruppen​

Realm‑Gruppen – Organisationsebene​

Domain‑Gruppen – Liegenschaftsebene​

Best‑Practice‑Hinweise​

3. Typische Account‑Szenarien​

Einzelkunde mit einer Liegenschaft​

Kunde mit mehreren Liegenschaften​

Externer Dienstleister / Systemintegrator​

Lokaler selbstständiger Facility Manager​