BSCW 4 verwaltet Zugriffsrechte über die Rolle(n), die ein Benutzer innehat. Eine Rolle wird durch einen Namen und eine Menge von Aktionen definiert, die für den Rolleninhaber erlaubt sind. Zugriffskontrolle über Rollen ist sehr einfach: Ein Benutzer darf immer dann eine Aktion auf ein bestimmtes Objekt anwenden, wenn diese Aktion in seiner Rolle hinsichtlich dieses Objektes enthalten ist. Es werden jeweils nur erlaubte Aktionen in den Menüs angeboten.

Es gibt einige vordefinierte Rollen, wie "Mitglied", "eingeschränktes Mitglied" und "Manager" eines Arbeitsbereichs oder "Eigentümer" eines Dokuments.

Einem neu registriertem Benutzer wird die "Manager"-Rolle in seinen "Arbeits"-, "Ablage"- und "Abfall"-Ordnern zugeordnet. Wenn ein Benutzer ein neues Objekt anlegt wird er zusätzlich zum "Eigentümer". Einzelne Benutzer oder Benutzergruppen haben in einem Arbeitsbereich eine spezifische Rolle (Vorgabe: "Mitglied").

Damit nicht bei jedem neu angelegtem Objekt eine explizite Zuordnung von Rollen notwendig wird, vererben sich Definitionen und Zuweisungen von Rollen entlang der Ordner-Hierarchie (exakt: der "enthalten-in" Relation von Objekten). Wenn ein Benutzer einen Unterordner in einem Ordner anlegt, erbt dieser Unterordner die Benutzergruppe des übergeordneten Ordners inklusive aller Rollenzuweisungen.

Mitglieder eines Arbeitsbereichs dürfen die Rollenzuordnung für einzelne Arbeitsbereichs-Mitglieder in Bezug auf die Rechte ändern, die sie selbst haben (z.B. darf ein Manager ein Mitglied zu einem Manager machen).

Die Rolle des "eingeschränkten Mitglieds" wird automatisch jedem zugeordnet, der auf öffentlich zugängliche Inhalte über den öffentlichen Zugang auf BSCW zugreift. Darüber hinaus kann die Rolle des "eingeschränkten Mitglieds" auch jedem anderen Mitglied eines Arbeitsbereichs zugeordnet werden.

Zusätzlich zu den vordefinierten Standard-Rollen, die in jedem Arbeitsbereich verfügbar sind, können Benutzer eigene Rollen in einem Arbeitsbereich definieren, die nur in diesem speziellen Arbeitsbereich (und den enthaltenen Unterordnern) verfügbar sind. Zu beachten ist, dass alle Rollen-Definitionen in jedem Arbeitsbereich verändert werden können. So können die erlaubten Aktionen für einen Benutzer z.B. in der Rolle eines "Mitglieds" in verschiedenen Arbeitsbereichen variieren. Welche Aktionen jeweils für einen Benutzer erlaubt sind, wird auf der "Info"-Seite eines Objektes angezeigt: Für alle definierten Rollen wird die aktuelle Menge der Aktionen dargestellt.

Generell können in BSCW folgende Rollentypen unterschieden werden:

• Die erste Gruppe von Rollen gelten nicht nur für einzelne Objekte, auf denen sie definiert wurden, sondern sie werden mit der Ordner-Hierarchie (über die "enthalten-in" Relation der Objekte) vererbt, solange sie nicht umdefiniert werden. Die vordefinierten Rollen "Manager" und "Mitglied" und alle benutzer-definierten Rollen verhalten sich auf diese Weise. Aus diesem Grund werden diese Rollen "Normale Rollen" genannt.
• Die zweite Gruppe wird durch die Rollen gebildet, die nicht über die "enthalten-in" Relation vererbt werden. Momentan ist dies die "Eigentümer"-Rolle eines Objektes, die spezielle Zugriffsrechte gewährt und die Rolle des "im BSCW registrierten Benutzers", die allgemeine Zugriffsrechte für registrierte Benutzer auf alle Objekte definiert. Diese Rollen werden "Nicht-vererbbare Rollen" genannt.
• Die dritte Gruppe wird durch fixierte Rollen gebildet. Nachdem eine fixierte Rolle einem Benutzer zugeordnet worden ist, verbleibt sie unabhängig von allen weiteren Rollenzuweisungen bei diesem Benutzer. Wird beispielsweise eine Gruppe als "Manager" in einen Arbeitsbereich eingeladen, verbleiben "eingeschränkte Mitglieder" auch in diesem Arbeitsbereich in Ihrer Rolle, d.h. sie werden nicht wie die übrigen Mitglieder dieser Gruppe zu einem "Manager". Zurzeit gibt es lediglich eine vordefinierte "fixierte Rolle", die o.g. Rolle des "eingeschränkten Mitgliedes".

Ein BSCW-Benutzer agiert parallel in mehreren Rollen, z.B. kann ein Benutzer gleichzeitig Mitglied eines Arbeitsbereichs und Eigentümer eines Objektes sein, das in dem Arbeitsbereich enthalten ist.

Die Zugriffsrechte eines Benutzers ergeben sich aus der Vereinigung der Rollen, die er innerhalb eines Arbeitsbereiches innehat: Bedingt durch diese Definition kann ein Benutzer Zugriffsrechte auf Objekte erhalten, die eine einzelne Rolle nicht beinhaltet. So kann z.B. der Eigentümer einer Notiz in einem Diskussionsforum diese Notiz bearbeiten, obwohl seine Rolle als "Mitglied" das Zugriffsrecht "bearbeiten" nicht beinhaltet.

Normale Rollen

Die normalen Rollen umfassen die vordefinierten Rollen "Mitglied" and "Manager" und alle benutzer-definierten Rollen. Alle registrierten Benutzer besitzen die "Manager"-Rolle in Ihren Ordnern auf höchster Ebene ("Arbeit", "Ablage", "Abfall", "Kalender") und vererben diese Rolle in alle Ordner, die sie unterhalb dieser Ordner anlegen.

Die Definition einer vordefinierten normalen Rolle kann innerhalb der Ordner-Hierarchie geändert werden, so dass z.B. die "Mitglied"-Rolle nicht in allen Ordnern dieselben Aktionen erlauben muss. Die aktuelle Definition einer normalen Rolle eines Benutzers, d.h. die Menge der erlaubten Aktionen, wird jeweils durch den nächsten, umgebenden Ordner in der Ordner-Hierarchie bestimmt, in dem diese Rolle definiert bzw. verändert wurde. Wenn diese Rolle beispielsweise eine vordefinierte Rolle ist, die nicht verändert wurde, wird die Rollen-Definition des Arbeits-Ordners auf höchster Ebene verwendet.

Eine Vererbung der Rollen-Definitionen wird erreicht, indem ein Unterordner mit seinem aktuellen Ordner (via erzeugen oder einfügen) verbunden wird.

Nicht-vererbbare Rollen

Zurzeit existieren in BSCW zwei vordefinierte Rollen dieses Typs: "Eigentümer" und "Registrierter Benutzer". Die "Eigentümer" Rolle bezieht sich jeweils nur auf einzelne Objekte und wird nicht in der Ordnerhierarchie vererbt. Der Eigentümer eines Ordners ist nicht notwendigerweise Eigentümer der darin enthaltenen Objekte.

Die Eigentümer eines Objektes werden in einer gesonderten Eigentümerliste verwaltet (vgl. Aktion "Eigentümer"). Wird ein Objekt von einem Benutzer neu erzeugt, wird dieser Benutzer als primärer Eigentümer in die Eigentümerliste des Objektes eingetragen. Gewöhnlich bleibt der primäre Eigentümer einziger Eigentümer. Der primäre Eigentümer ist gleichzeitig verantwortlich für die "Kosten" eines Objektes: Durch ein Objekt belegter Plattenspeicherplatz wird dem primären Eigentümer zugerechnet. Nur Eigentümer dürfen die Eigentümerschaft eines Objektes ändern (vgl. Aktion  Eigentümer   ).

Die Rolle des "registrierten Benutzers" definiert die allgemeinen Rechte für alle registrierten BSCW-Benutzer. In der Voreinstellung beinhaltet diese Rolle nur das Lese/Informations-Recht in Bezug auf andere registrierte Benutzer, aber keinerlei Zugriffsrechte auf Objekte/Ordner/Dokumente innerhalb der Ordnerhierarchie. Eine Veränderung dieser Voreinstellungen sollte vorsichtig vorgenommen werden.

Fixierte Rollen

In BSCW ist zurzeit nur eine Rolle dieses Typs realisiert: die Rolle des "eingeschränkten Mitglieds". Diese Rolle wird automatisch allen Benutzern zugeordnet, die über den öffentlichen Zugang auf öffentliche Objekte zugreifen und gestattet lediglich eine sehr eingeschränkte Menge von Aktionen. Die Rolle kann ebenfalls Mitgliedern eines Arbeitsbereichs zugeordnet werden. Sobald die Rolle des "eingeschränkten Mitglieds" einem Benutzer zugeordnet wird, werden die Zugriffsrechte dieses Benutzers auf die Rechte dieser Rolle eingeschränkt. Das bedeutet die Zugriffrechte werden nicht länger als Vereinigungsmenge aller Aktionen der Rollen eines Benutzers ermittelt - wie oben beschrieben - sondern sie werden eingeschränkt auf die Rechte der Rolle des "eingeschränkten Mitglieds". Wird eine gesamte Gruppe beispielsweise in der Rolle des "Managers" in einen Arbeitsbereich eingeladen, behalten alle Mitglieder dieser Gruppe mit einer "fixierten Rolle" diese Rolle, d.h. sie werden nicht wie die übrigen Mitglieder dieser Gruppe zu einem "Manager". Dieser Mechanismus findet Anwendung auf alle Rollen dieses Typs, die evtl. zukünftig definiert werden.

Erweiterte Zugriffsrechte für den BSCW-Administrator

BSCW-Administratoren dürfen immer unabhängig von ihrer aktuellen Mitgliedschaft auf allen Ordnern die Aktionen "Rolle ändern", "Rolle zuweisen" und "Eigentümer" ausführen. Außerdem besitzen BSCW-Administratoren für alle Objekte das Zugriffsrecht "Mehr Information" und das Recht, alle Ordner zu öffnen.

Wegen der umfangreichen Rechte ist 'Administrator' aus Sicherheitsgründen keine Rolle im eigentlichen Sinn des BSCW Rollenkonzeptes. Nur so kann vermieden werden, dass die besonderen Rechte des BSCW-Administrators über die Benutzerschnittstelle manipuliert werden können.