Untergeordnete Seiten
  • Space Privacy - FAQs
Zum Ende der Metadaten springen
Zum Anfang der Metadaten



 

Kann ich Space Privacy in beliebig vielen Confluence Instanzen einsetzen?

Eine Lizenz der App kann immer nur in einer Confluence Instanz genutzt werden. Sie können jedoch innerhalb dieser Instanz beliebig viele Extranet-Bereiche anlegen. Um Space Privacy in weiteren Confluence Instanzen zu nutzen, ist eine zusätzliche Lizenz notwendig. Die benötigte Größe orientiert sich stets an der der Confluence Instanz. 

Es sind Benutzer sichtbar, die nicht sichtbar sein sollten. Woran liegt das?

Die wahrscheinlichste Ursache hierfür ist entweder einen Fehlkonfiguration oder ein Dritthersteller-Add-On, dass eigene Schnittstellen oder Oberflächen bereitstellt, die wir nicht unterstützen.

Um zu klären ob es sich um eine Fehlkonfiguration handelt, überprüfen Sie bitte folgende Schritte:

  1. Sind die Benutzer einem Extranet zugewiesen? Bei der globalen Einstellung Wer darf Benutzer sehen und finden, die keinem Extranet zugewiesen sind? führt die Option Alle Benutzer dazu, dass nur Extranet-Benutzer beim Suchen und Finden von Personen eingeschränkt sind, aber alle anderen Confluence-Benutzer nicht.
  2. Kann der betroffene Benutzer die anderen Benutzer auch im Personenverzeichnis (Pfad: /browsepeople.action) sehen und deren Profile öffnen? Falls das der Fall ist, dann ist der Benutzer durch eine Konfiguration auch berechtigt den anderen Benutzer zu sehen.
  3. Sind die Benutzer gemeinsam in einem Extranet-Bereich zugewiesen? Benutzer die gemeinsame Extranet-Bereiche haben, sollen miteinander kollaborieren können und dürfen sich daher auch sehen. Ein gemeinsame Zugehörigkeit in einem Extranet-Bereich kann auch dadurch entstehen, dass eine gemeinsame Confluence-Gruppe einem Extranet-Space zugewiesen ist.
  4. Ist der Benutzer, der "zu viele" andere Benutzer sehen darf Confluence-Admin oder hat in einem Ihrer Extranet-Bereiche die Admin-Rolle "Extranet-Verwalter" oder "Extranet-Nutzerverwalter"? In diesem Fall muss der Benutzer alle andere Personen sehen können, um einen Extranet-Bereich verwalten zu können. Vergeben Sie diese Admin-Rollen nur an Personen, die auch berechtigt sind alle Benutzer zu sehen.

Falls keine der Punkte eine Erklärung ist, dann handelt es sich entweder um nicht abgesicherte Funktionen eines Dritthersteller-Apps oder tatsächlich eine Fehler unserer Apps. Schreiben Sie bitte in beiden Fällen einen Bericht an unseren App-Support, sodass wir das Verhalten prüfen können: https://seibert.biz/Apphelp

Ich möchte, dass sich nur Nutzer untereinander sehen können, die in gemeinsamen Extranet-Bereichen zusammen arbeiten bzw. interne und externe Nutzer können im System nicht voneinander unterschieden werden.

Diese Situation herrscht häufig in reinen Extranet-Instanzen.

Nur Globale Administratoren, Space Administratoren und Extranet-Nutzerverwalter können auf alle Nutzer zugreifen, sodass ein Zuweisen dieser zu Extranet-Bereichen möglich ist. Bis ein Nutzer nicht zugewiesen wurde, sieht er keine anderen im System.

Dies ist vor allem dann sinnvoll, wenn das Anlegen der externen Nutzer unabhängig von Confluence über einen anderen Prozess erfolgt – in Konzernen müssen Mitarbeiter häufig bei der IT einen Zugang für einen externen Nutzer beantragen. Bevor einer dieser externen Nutzer einem Extranet-Bereich zugewiesen wurde, sollte er keinen Zugriff auf andere Nutzer haben und andere Nutzer nicht auf ihn, daher muss die entsprechende o. g. Option in der App-Konfiguration ausgewählt werden.

 

 

Ich möchte, dass sich externe Nutzer untereinander nicht sehen können.
Gleichzeitig soll der Zugriff auf die Mitarbeiter meines Unternehmens möglich sein, ohne dass ich diese einem Extranet-Bereich zuweisen muss.

Bzw. externe Nutzer sollen auf alle Internen zugreifen können und anders herum. Externe untereinander sehen sich nicht, außer sie arbeiten zusammen in einem Extranet-Bereich.

Für diese Situation gibt es eine Checkbox in der globalen Administrationsoberfläche des Extranets! Wählen Sie dazu die Option "Alle Benutzer".

Diese bewirkt, dass sich Nutzer, die sich keinen Extranet-Bereich teilen, nicht sehen können. Nutzer, die jedoch keinem Extranet-Bereich zugewiesen sind, werden als "Interne" behandelt und können mit den externen Nutzern kommunizieren bzw. zusammen arbeiten, ohne das eine Zuweisen zu einem Extranet-Bereich notwendig ist.

(warning) Beachten Sie jedoch, dass die entsprechenden "internen" Nutzer bzw. Gruppen über die Berechtigungen Zugriff auf die Bereiche benötigen.

 

 

Ich möchte Intranet und Extranet in einer Instanz betreiben und dabei sicherstellen, dass externe Nutzer nur die Mitarbeiter sehen, mit denen sie zusammen arbeiten. Gleichzeitig sollen die Mitarbeiter selbst ohne Einschränkungen der Sichtbarkeiten weiter arbeiten können.

  1. Stellen Sie in der App-Konfiguration ein, dass nur Globale Administratoren, Space Administratoren und Extranet Nutzer Verwalter auf alle Nutzerdaten zugreifen können.
  2. Erstellen Sie einen Dummy-Extranet-Bereich.
  3. Weisen Sie diesem Extranet-Bereich die Gruppen zu, die die internen Nutzer, also ihre Mitarbeiter, darstellen (z. B. "Alle-Mitarbeiter", "internal-user", ...). Häufig kommen diese Nutzer aus einem angebundenen LDAP (Verzeichnisdienst), wie zum Beispiel Active Directory (Microsoft). Space Privacy aktualisiert auch hier automatisch die Gruppenzusammenstellung, sodass Nutzer, die aus einer zugewiesenen Gruppe entfernt wurden, auch den Zugriff auf den entsprechenden Extranet-Bereich verlieren.

    Als Ergebnis sehen sich alle internen Mitarbeiter weiterhin und können Confluence wie gewohnt weiter nutzen.

  4. Wenn ihre Mitarbeiter nun auch mit Externen zusammen arbeiten sollen, fügen Sie die entsprechenden Nutzer oder Gruppen den jeweiligen Extranet-Bereichen zu.

    Externe Nutzer können nur die Nutzer sehen, mit denen sie sich einen (oder mehrere) Extranet-Bereiche teilen. Dies gilt ebenfalls für andere externe Nutzer (häufig lokal gepflegt) und interne Mitarbeiter ihres Unternehmens.

Wir haben bereits die User Story im Backlog, eine Lösung zu schaffen, die keinen Extranet-Dummy Bereich benötigt. Die zeitliche Umsetzung ist jedoch noch nicht eingeplant. Wenn Sie Interesse an einem Sponsored Development haben, nehmen Sie bitte Kontakt zu uns auf.

 

 

Ist es möglich, Benutzer in mehr als einem Extranet-Bereich hinzuzufügen?

Ja, Sie können einen Benutzer beliebig vielen Extranet-Bereichen zuweisen. An der Sicherheit der Benutzerdaten ändert das nichts.
Ist Benutzer 1 den Extranet-Bereichen A und B zugewiesen, kann er die Benutzerdaten aller Benutzer, die ebenfalls in den Bereichen A oder B sind, einsehen. 

Kann ich in meinem Confluence-Intranet mit Hilfe von Space Privacy ein Extranet aufbauen?

Ja, prinzipiell können Sie auch in Ihrem Intranet den Anwendungsfall eines Extranets abbilden.
Wenn Sie mit externen Benutzern in Extranet-Bereichen innerhalb Ihrer Instanz zusammenarbeiten wollen, sollten Sie jedoch Ihre individuelle Infrastruktur bedenken z. B. ob es außerhalb Ihres Firmennetzwerk möglich ist, das System zu erreichen oder ob ggf. ein VPN-Zugang benötigt wird.
Je nach Nutzungsgrad und Anforderungen empfehlen wir jedoch, für das Extranet ein eigenes Confluence-System aufzubauen. 

Kann ich für jeden Benutzer individuelle Berechtigungen festlegen?

Es gibt 5 verschiedene Berechtigungsrollen die Sie jedem einzelnen Benutzer oder ganzen Benutzer-Gruppen zuweisen können.
Diese definierten Berechtigungsrollen decken, nach unserer Erfahrung, viele der relevanten Berechtigungsschemata für Extranets ab.
Wenn die vordefinierten Berechtigungen nicht Ihren Bedürfnissen entsprechen, können Sie diese in der globalen App-Administration unter dem Tab Benutzer-Rollen anpassen.
Klicken Sie dazu einfach bei der gewünschten Rolle auf bearbeiten und setzen Sie die Haken so, dass sie Ihren Anforderungen entsprechen.

(warning) Achtung: Die Änderungen der Berechtigungen gelten für alle vorhandenen Extranet-Bereiche - auch für bereits bestehende.

Welche Rechte kann ich einem Extranet-Benutzer zuweisen?

Wie in der Frage zuvor:
Es gibt 5 verschiedene Berechtigungsrollen, die Sie jedem einzelnen Benutzer oder ganzen Benutzer-Gruppen zuweisen können.

Diese definierten Berechtigungsrollen decken, nach unserer Erfahrung, viele der relevanten Berechtigungsschemata für Extranets ab.
Wenn die vordefinierten Berechtigungen nicht Ihren Bedürfnissen entsprechen, können Sie diese in der globalen App-Administration unter dem Tab Benutzer-Rollen anpassen.
Klicken Sie dazu einfach bei der gewünschten Rolle auf bearbeiten und setzen Sie die Haken so, dass sie Ihren Anforderungen entsprechen.

(warning) Achtung: Die Änderungen der Berechtigungen gelten für alle vorhandenen Extranet-Bereiche - auch für bereits bestehende.


Kann ein Extranet-Bereich nur von einem Confluence- oder Space-Admin verwaltet werden?

Nein, Space Privacy ermöglicht 3 Arten der Extranet-Verwaltung:

  • Der Extranet-Bereichsverwalter kann sowohl die Bereichs-Nutzer als auch den Bereich als solches verwalten. Er ist somit auch Space Admin.
  • Der Bereichsverwalter (bzw. Standard Space Admin) kann den Bereich verwalten, jedoch keine Nutzer im Extranet-Bereih hinzufügen oder löschen.
  • Der Extranet-Nutzerverwalter kann die Bereichs-Benutzer verwalten, jedoch nicht den Bereich. Er ist somit kein Space Admin, hat aber Zugriff auf den Extranet-Tab in der Space Administration.

Unsere Benutzer werden nicht lokal in Confluence verwaltet, sondern zentral in einem LDAP - kann Space Privacy dennoch genutzt werden?

Die App kann auch dann genutzt werden, wenn Nutzer und Gruppen nicht lokal in Confluence, sondern (schreibgeschützt) in einem externen Benutzerverzeichnis (z. B. LDAP) gepflegt werden.

Es ist jedoch zwingend erforderlich, dass lokale Gruppen möglich sind, da Space Privacy für jeden Extranet-Bereich eigene Gruppen angelegt. Zu diesen Gruppen werden anschließend die Nutzer zugeordnet, die dem entsprechenden Extranet-Bereich zugewiesen wurden.

Hintergrund ist, dass wir alle Inhaltsberechtigungen über die Berechtigungen der Confluence Bereiche in vordefinierten Gruppen pflegen, sodass auch nach der Deaktivierung der App alle Inhaltsberechtigungen bestehen bleiben. Im Gegensatz zu einzelnen Berechtigungen, ermöglichen diese vordefinierte Gruppen ermöglichen, dass der Extranet-Nutzerverwalter nicht gleichzeitig Space-Admin sein muss. Confluence schreibt vor, dass nur Space-Admins neue Berechtigungen vergeben können. Mit der Admin-Rolle Extranet-Nutzerverwalter haben wir jedoch genau diese Möglichkeit geschaffen, auch Nutzern, die kein Space-Admin sind bzw. sein dürfen, die Administration für Extranet-Bereiche hinsichtlich der Nutzerverwaltung zu geben.

Wird nun ein Nutzer einem Extranet-Bereich zugewiesen, so taucht dieser nicht einzeln in den Berechtigungen auf, sondern er wird Teil der Gruppe(n), die von Space Privacy für den Extranet-Bereich angelegt wurden, z. B. extranet-SPACEKEY-consumer.


Besteht nun nicht die Möglichkeit für die App, diese Extranet-Gruppen zu nutzen, kommt es zu einer Fehlermeldung:

Gleiches gilt, wenn die Nutzerverwaltung nicht in Confluence, sondern z. B. in Jira vorgenommen wird. Auch hier gibt es die Einstellung, lokale Gruppe zu erlauben.

Wenn weitere Fragen hierzu bestehen, kommen Sie gerne auf uns zu. Wir helfen Ihnen gerne weiter!

Besonderheiten für Jira Server oder Atlassian Crowd als Benutzerverzeichnis

Für Jira Server oder Atlassian Crowd gibt es die Option Schreibgeschützt bei lokalen Gruppen nicht. Hier muss Lese- und Schreibzugriff gesetzt werden, falls Sie in Ihrem angeschlossenen Jira oder Crowd weitere Benutzerverzeichnisse angebunden haben, dann müssen Sie diese wiederum mit Schreibgeschützt bei lokalen Gruppen konfiguriert werden.

Crowd

Lokale Gruppen erlauben

Gruppenberechtigungen (hinzufügen, ändern, löschen)


Was wird durch Space Privacy abgesichert?

Die App hat zum Ziel alle Standard-Oberflächen und -Schnittstellen von Confluence abzusichern, die nicht durch Drittanbieter-Apps hinzugefügt werden. Drittanbieter Apps werde teilweise unterstützt, wenn diese nur Standard-Schnittstellen (z. B. für die Benutzersuche) verwenden. In allen anderen Fällen bitten wir Sie, uns über Probleme mit Drittanbieter-Apps zu informieren, sodass wir mit Ihnen mögliche Lösungen evaluieren können (https://seibert.biz/Apphelp).

Mit Space Privacy werden einerseits Inhalte über Confluence-Berechtigungen abgesichert, andererseits stellen wir sicher, dass sich nur Benutzer im System sehen dürfen, die mindestens einen gemeinsamen Extranet-Bereich haben. Für die Inhaltsberechtigungen verwendet und verwaltet die App Confluence-Bereichsberechtigungen. Sie müssen keine eigenen Berechtigungen in den Extranet-Bereichen vergeben, bzw. ist das sogar kontraproduktiv, da Sie damit die Extranet-Benutzerverwaltung umgehen.

Die Einschränkung der Sichtbarkeit von Benutzern wird ausschließlich über Mechanismen unserer App ermöglicht. Damit führt eine Deaktivierung der App auch dazu, dass alle Benutzer im System wieder sichtbar sind. Die vergebenen Inhaltsberechtigungen bleiben hingegen bestehen.

Folgende Überlegungen sollten beim Verständnis unseres Sicherheitskonzepts helfen:

  • Sichtbarkeiten unter Extranet-Benutzern sind gegenseitig, außer bei administrativen Rollen (Confluence-Administrator, Extranet-Verwalter, Extranet-Nutzerverwalter). Wenn Nutzerin Alice den Nutzer Bob sehen kann, gilt das auch umgekehrt. Der Administrator Charlie kann Alice und Bob sehen, ohne dass er mit ihnen einen gemeinsamen Extranet-Bereich hat.
  • Sichtbarkeiten unterscheiden sich zwischen globalen Funktionen (Benutzerprofil, Suche, Personenverzeichnis) und bereichsbezogenen Funktionen (@-Mention, Seite teilen).
  • In globalen Funktionen (Benutzerprofil, Suche, Personenverzeichnis) kann ein Extranet-Benutzer alle Benutzer sehen, mit denen er sich irgendeinen Extranet-Bereich teilt. Alice ist im Extranet-Bereich A und C, Bob in B und C, also können sich beide gegenseitig in der Suche finden oder ihre Benutzerprofile aufrufen.
  • In bereichsbezogenen Funktionen (@-Mention, Seite teilen) kann man nur mit Extranet-Benutzern interagieren, die ebenfalls diesem Extranet-Bereich zugewiesen sind. Alice ist im Extranet-Bereich A und C, Bob in B und C, dann können sich die beiden gegenseitig in Bereich C per @-Mention erwähnen oder Seiten teilen, aber nicht in Bereich A oder B.

Weitere Informationen zu globalen und bereichsbezogenen Funktionen finden Sie in den Abschnitten "Was sind globalen Funktionen und welche sind abgesichert?" und "Was sind bereichsbezogene Funktionen und welche sind abgesichert?".

Was sind globalen Funktionen und welche sind abgesichert?

Als globale Funktionen bezeichnen wir Funktionen oder auch Schnittstellen, die sich nicht auf einen einzelnen Bereich beziehen. Die Space Privacy App sorgt dafür, dass in diesem Fall nur Benutzer angezeigt werden, mit denen ich mir mindestens einen Extranet-Bereich teile. Benutzer mit einer administrativen Rolle (Confluence-Administrator, Extranet-Verwalter oder Extranet-Nutzerverwalter) dürften immer alle Benutzer im System sehen, da ihnen die Ausübung ihrer Rolle nicht möglich ist.

Aktuell werden folgende globale Funktionen und Schnittstellen abgesichert:

  • Benutzerprofile
  • Globale Suche
  • Suchleiste (Quicksearch)
  • Personenverzeichnis - /browsepeople.action
  • Personensuche in Suchfilter (Beitragender, Ersteller, Netzwerk/Kontakte)
  • Makros: Livesuche, Benutzerliste, Benutzerprofil, Inhalt nach Benutzer
  • Persönliche Bereiche (sollte eigentlich über Inhaltsberechtigungen gelöst werden, aber bei einer Fehlkonfiguration greifen wir hier ein)
  • Aktivitätsanzeige / "Kürzlich gearbeitet an" / "Alle Updates"


Was sind bereichsbezogene Funktionen und welche sind abgesichert?

Als bereichsbezogene Funktionen bezeichnen wir Funktionen, die nur im Kontext einen Bereichs nutzbar sind.

Die Space Privacy App sorgt dafür, dass in diesem Fall nur Benutzer angezeigt werden, die genau in diesem Extranet-Bereich zugewiesen sind. Damit soll verhindert werden, dass man versehentlich mit Benutzern interagiert, die keinen Zugriff auf diesen Bereich haben. Auch Benutzer mit administrativen Rollen (Confluence-Administratoren, Extranet-Verwalter oder Extranet-Nutzerverwalter) können in bereichsbezogenen Funktionen nicht mit Personen interagieren, die nicht diesem Extranet-Bereich zugewiesen sind.

Aktuell werden folgende bereichsbezogene Funktionen abgesichert:

  • Erwähnen von Benutzern (@-Mention)
  • Teilen von Seiten


Was ist beim Export und Import hinsichtlich Space Privacy zu beachten?

Der Ex- und Import bei Systemen, die Space Privacy nutzen, ist prinzipiell möglich. Jedoch sind einige Punkte dabei zu beachten:

  • Export und Import sollten stets unter Nutzung der gleichen App-Version erfolgen, andernfalls kann es Probleme hinsichtlich von Upgrade-Tasks geben
  • Nutzen Sie hierzu die globale Exportfunktion
  • Beim Space-Export werden keine Extranet-Daten exportiert

 

 

Welche Apps werden unterstützt?

(Warnung) Relevant sind Apps, die auf Nutzerdaten oder Labels zugreifen - zum Beispiel in dem sie ein eigenes Personenverzeichnis integrieren oder Nutzer erwähnt werden können.


Mit welcher Confluence Version ist Space Privacy kompatibel?

Confluence Server 5.9.1 - 6.3.1


Wie kann ich einen Fehlerbericht erstellen?

Bevor Sie einen Fehlerbericht erstellen, versuche Sie bitte das Problem mit den folgenden Schritten zu lösen:

  1. Laden Sie die aktuelle Seite neu
  2. Deaktivieren und aktivieren Sie die "Space Privacy" App (das ist keine Magie, sondern wir führen wirklich einige Fehlerprüfungen bei der App-Aktivierung durch)
  3. Nur falls Sie die Meldung "Benutzer werden indiziert" dauerhaft sehen: Bauen Sie den Confluence Suchindex neu (Confluence Administration > Inhaltsindizierung)

Falls keine der Schritt Ihr Problem behebt, dann erstellen Sie einen Fehlerbericht (https://seibert.biz/Apphelp) und hängen Sie die Confluence-Applikationslogs an:

  1. Setzen Sie das Log-Level für net.seibertmedia.extranet auf DEBUG. Dazu müssen Sie in der Logging-Verwaltung (Confluence-Administration > Protokoll- und Profilerstellung) den Paketname net.seibertmedia.extranet hinzufügen.
  2. Wiederholen Sie die Schritte, die den Fehler verursacht haben, um aussagekräftige Log-Meldungen zu erzeugen
  3. Kopieren Sie die Confluence-Applikationslogs, falls sie direkten Server-Zugriff haben, oder erstellen Sie ein Support-Zip (Confluence-Administation > Support Tools / Atlassian Documentation)
  4. Erstellen Sie einen Fehlerbericht und hängen die Confluence-Applikationslogs an: https://seibert.biz/Apphelp 

Inwiefern unterscheidet sich Space Privacy mit dem Private Parts Plugin?

Eine ausführliche Analyse des Vergleichs finden Sie hier.

  • Keine Stichwörter