BSCW 4 verwaltet Zugriffsrechte über die Rolle(n), die ein Benutzer innehat. Eine Rolle wird durch einen Namen und eine Menge von Aktionen definiert, die für den Rolleninhaber erlaubt sind. Zugriffskontrolle über Rollen ist sehr einfach: Ein Benutzer darf immer dann eine Aktion auf ein bestimmtes Objekt anwenden, wenn diese Aktion in seiner Rolle hinsichtlich dieses Objektes enthalten ist. Es werden jeweils nur erlaubte Aktionen in den Menüs angeboten.

Wenn ein Benutzer mehrere Rollen innehat, darf er eine Aktion ausüben, wenn sie in einer der Rollen erlaubt ist; dem Benutzer ist also die Vereinigungsmenge der Aktionen erlaubt.

Vererbung von Rollen: Der Geltungsbereich einer Rolle

Damit nicht bei jedem neu angelegtem Objekt eine ausdrückliche Zuordnung von Rollen notwendig wird, vererben sich Definitionen und Zuweisungen von Rollen entlang der Ordner-Hierarchie. Wenn ein Benutzer einen Unterordner in einem Ordner anlegt, erbt dieser Unterordner die Benutzergruppe des übergeordneten Ordners inklusive aller Rollenzuweisungen.

Der Geltungsbereich einer Rolle ist das Objekt, für das der Benutzer eine Rolle innehat, und alles "darunter", bis dem Benutzer in der Objekthierarchie eine andere Rolle zugewiesen wird. Die Rolle ist also gültig für den Geltungsbereich des Objektes: das Objekte selber und sein Inhalt in beliebiger Tiefe. Man sagt, dass Rollen von einem Objekt auf die Objekte, die es enthält, vererbt werden.

Bemerkung:

Wenngleich dieses Prinzip auch für spezielle Ordner wie die persönlichen Bereiche persönlicher Arbeitsbereich, Ablage, Papierkorb gilt, so wird doch die Standardrolle, die der Benutzer in seinen persönlichen Bereichen innehat, nicht auf gemeinsame Arbeitsbereiche vererbt.

Beispiel:

Sie sind standardmäßig Manager Ihres persönlichen Arbeitsbereichs und dadurch auch aller Ordner, die sich darin befinden. Die Rolle Manager wird auf den Geltungsbereich Ihres persönlichen Arbeitsbereichs vererbt.

Nehmen wir an, dass Sie nun eingeladen werden, in einem gemeinsamen Arbeitsbereich namens Projektdokumentation mitzuarbeiten. Der Manager dieses Ordners lädt Sie in der Rolle Gast ein, um Ihnen nur eingeschränkte Rechte, z.B. nur Leserechte, zu gewähren. Damit haben Sie Gast-Rechte im Ordner Projektdokumentation und in allen Unterordnern.

Auf der anderen Seite befindet sich nun aber der Ordner Projektdokumentation in Ihrem persönlichen Arbeitsbereich, wo Sie Manager sind. Welche Rollen gelten nun für Projektdokumentation? Wenn Sie die Manager-Rechte auch in Projektdokumentation erben würden, wären Sie dort gleichzeitig Gast und Manager. Das ginge zwar technisch, wäre aber sicher nicht im Sinne Ihres Gastgebers. Aus diesem Grund vererben die speziellen persönlichen Bereiche ihre Rollenzuweisungen nur auf private Ordner, nicht aber auf gemeinsame Arbeitsbereiche. Gemeinsame Arbeitsbereiche können Rollendefinitionen und -zuweisungen nur von anderen gemeinsamen Arbeitsbereichen erben.

Erweiterte Zugriffsrechte für den BSCW-Administrator

BSCW-Administratoren dürfen immer unabhängig von ihrer aktuellen Mitgliedschaft auf allen Ordnern die Aktionen Rolle ändern, Rolle zuweisen und Eigentümer ausführen. Außerdem besitzen BSCW-Administratoren für alle Objekte das Zugriffsrecht Mehr Information und das Recht, alle Ordner zu öffnen.

Wegen der umfangreichen Rechte ist Administrator aus Sicherheitsgründen keine Rolle im eigentlichen Sinn des BSCW Rollenkonzeptes. So kann vermieden werden, dass die besonderen Rechte des BSCW-Administrators über die Benutzerschnittstelle manipuliert werden können.