Identitätswechselschritt in SharePoint

In SharePoint 2013 gibt es eine einfache Möglichkeit, mit der „SharePoint 2010 Workflow Engine“ workflowgesteuerte Elementberechtigungen einzurichten.

Die Funktion dazu nennt sich „Identitätswechselschritt“ oder in Englisch „SharePoint Impersonation Step“. Der Identitätswechsel lässt sich in einem SharePoint Designer Workflow als separaten Step einpflegen.

Beispiel 1 – Elementberechtigung: Inserate / Marktplatz

Ein Anwendungsbeispiel für die Elementberechtigung kann sein, dass man in SharePoint eine Marktplatz- oder Inserat-Seite pflegt. Darauf sollen in der Regel sämtliche Mitarbeiter Schreibrechte erhalten, damit alle die Möglichkeit haben, neue Inserate zu erfassen. Wiederum soll es aber nicht möglich sein, dass man die Inserate anderer Benutzer verändern kann, sondern nur seine eigenen.

Für dieses Szenario bietet sich beispielsweise die Elementberechtigung an. Diese kann sowohl auf einer Dokumentenbibliothek als auch auf einer normalen Liste verwendet werden.

Einrichten des Workflows

Erstellen Sie dazu im SharePoint Designer einen neuen Workflow und wählen Sie als Platform Type „SharePoint 2010 Workflow“ aus.

Create List Workflow

Der Identitätswechsel kann nun über einen neuen Schritt im Workflow eingefügt werden. Wählen Sie dafür „Impersonation Step“ an.

Impersonation Step

In den Workflow Actions sind nun im Vergleich zu einem gewöhnlichen Workflow-Schritt diverse andere Actions vorhanden, wie beispielsweise „Replace List Item Permissions“.

Replace List Item Permission

Wählen Sie nun die Action „Replace List Item Permissions“ aus. Klicken Sie anschliessend auf „Replace these permissions“, um die neuen gültigen Elementberechtigungen zu erfassen.

Replace these Permissions

Im Dialog werden nun beispielsweise folgende Elementberechtigungen vergeben:

  • Der Ersteller des Elements (Current Item:Created By) soll Contribute-Rechte auf dem Element haben und somit seine eigens erstellten Elemente jederzeit bearbeiten können.
  • Die SharePoint Gruppen „Mitwirken“, „Vollzugriff“ und „Lesen“ erhalten nur noch Read-Rechte. So wird sichergestellt, dass niemand ausser dem Ersteller und den Administratoren das Element verändern kann.

Impersonation Step Replacement

Ersetzen Sie „this list“ in der Action durch „Current Item“.

Ersetzen Sie „this list“ in der Action durch „Current Item“

Speichern Sie anschliessend den Workflow und veröffentlichen Sie diesen über „Publish“.

Publish

Identitätswechselschritte werden immer mit den Benutzerdaten des aktuell am SharePoint Designer angemeldeten Benutzers übernommen. Deshalb sollte man den Workflow idealerweise mit einem SiteCollection Administrator erstellen.

Microsoft SharePoint Designer

In den Startbedingungen des Workflows wird definiert, dass der Workflow beim Erstellen eines neuen Elementes ausgeführt werden soll.

Startbedingungen

 

Anwendung

Der Workflow startet, sobald in der Dokumentenbibliothek oder in der Liste nun ein neues Element hochgeladen wird.

Identitätswechsel in progress

Die individuellen Elementberechtigungen werden entsprechend gesetzt.

individuellen Elementberechtigungen

 

 

Beispiel 2 – Elementberechtigung: Genehmigung

Ein weiterer Anwendungsfall, bei dem sich die Elementberechtigungen über einen Workflow einsetzen lassen, ist bei der Genehmigung eines Dokuments oder Elements.

Ein Entwurf eines Dokuments wird mittels eines standardmässig vorhandenen Genehmigungsworkflows von SharePoint genehmigt. Während das Dokument im Genehmigungsprozess weilt, möchte man verhindern, dass es verändert wird, also nur lesend zur Verfügung steht. So kann man ebenfalls einen Identitätswechsel in den Genehmigungsworkflow einbauen, was in den nächsten Schritten kurz erklärt wird.

Einrichten des Workflows

Durch Anklicken des per Standard vorhandenen Genehmigungsworkflows kann man eine Kopie dieses Workflows anlegen.

Kopie erstellen

Anschliessend hat man die Möglichkeit, einen Schritt „Identitätswechsel“ vor und nach dem eigentlichen Genehmigungsworkflow einzufügen.

Vor dem Genehmigungsworkflow wird ein Identitätswechselschritt mit der Action „Replace List Item Permission“ eingefügt.

Nach dem Genehmigungsworkflow wird die Action „Inherit List Item Parent Permission“ eingesetzt. Diese Action stellt sicher, dass die Vererbung der Elementberechtigung nach dem Genehmigen wieder aktiviert wird und somit wiederum die übergeordneten Berechtigungen der Liste oder Bibliothek gelten.

Impersonation Step

Im ersten Identitätswechselschritt werden folgende Berechtigungen definiert:

  • Der Ersteller des Elements (Current Item:Created By) soll Contribute-Rechte auf dem Dokument oder Element haben und somit seine eigens erstellten Elemente jederzeit bearbeiten können.
  • Die SharePoint Gruppen „Mitwirken“, „Vollzugriff“ und „Lesen“ erhalten nur noch Read-Rechte. So wird sichergestellt, dass niemand ausser dem Ersteller und den Administratoren das Element verändern kann, solange ein Genehmigungsprozess läuft.

Gruppen berechtigen

Im zweiten Identitätswechselschritt muss nur das Current Item konfiguriert werden, damit die Berechtigungsvererbung auf dem entsprechenden Element auch wiederhergestellt wird.

Wiederherstellung der Berechtigungsvererbung
Anwendung

Der Genehmigungsworkflow ist nun als wiederverwendbarer Workflow verfügbar. In einer gewünschten Bibliothek kann nun über das Menü „Workflow hinzufügen“ ein neuer Workflow erstellt werden.

Genehmigung

Für einen Dokument-Entwurf wird nun entsprechend der erstellte Genehmigungsworkflow gestartet.

Genehmigungsworkflow in Progress

Vor dem eigentlichen Genehmigungsworkflow wird nun die Elementberechtigung auf das entsprechende Dokument gesetzt, entsprechend der vorgängigen Konfiguration im Workflow.

Elementberechtigung ist gesetzt

Sobald die Genehmigung durch „Genehmigen“ oder „Ablehnen“ des Prozesses abgeschlossen ist, wird die Elementvererbung wieder eingeschaltet und der Workflow beendet.

Elementvererbung einschalten

Die Elementberechtigung wurde somit aufgehoben und es gelten wieder die übergeordneten Berechtigungen.

übergeordnete Berechtigungen

Beitrag teilen

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IOZ_LOGO_weiss

Profis für M365-Intranets & digitale Arbeitsplätze, Power Apps, Power Automate Workflows, sowie Managementsysteme.

Angebote

Angebotsübersicht

Nach oben scrollen