Management von Gruppen im IDM

Mit dem Gruppenmanagement haben Sie die Möglichkeit eigene Gruppen anzulegen, welche bei Diensten der Universität Konstanz, z.B. bei Ordnerberechtigungen in der Cloud, angegeben werden können.

Eine Gruppe ist eine Menge von digitalen Identitäten (Uni-Accounts), die unter einem Namen zusammengefasst sind. Die eigenen Gruppen können ihrerseits beliebige Gruppen enthalten und selbst Teil anderer individuell angelegten Gruppen sein.

Gruppe erstellen

Öffnen Sie den Reiter „Meine Gruppen“, geben eine Gruppenbezeichnung in das Feld ein und klicken auf "Neue Gruppe anlegen".


Die Bearbeitungsansicht für Gruppen öffnet sich.

Hier sind lediglich drei Angaben verpflichtend:

  • Geben Sie ein Datum in dem Feld "Gültig bis" an. Beim Erreichen des Enddatums wird die Gruppe gelöscht. Soll die Gruppe dauerhaft benutzt werden, muss dieses Enddatum ausreichend weit in die Zukunft gesetzt werden.
  • Wählen Sie einen oder mehrere "Gruppen-Manager/Admins". Tippen Sie dafür den Namen der Person ein und wählen diese aus der vorgeschlagenen Auswahlliste aus. Wiederholen Sie das Verfahren für weitere Gruppen-Manager, indem Sie einfach hinter dem blauen Element weiter tippen.
  • Konfigurieren Sie sich im letzten Schritt eine Gruppendefinition. In dieser bestimmen Sie, wer der Gruppe angehören soll. Für genauere Beschreibung der Konfigurationsmöglichkeiten siehe Gruppen-Definition erstellen.

Wird das Feld "Öffentlich sichtbar" angehakt, ist die Gruppe für andere Gruppenadmins bei der Auswahl von Gruppen in der Gruppendefinition sichtbar. Das heißt, die Gruppe kann als Teil anderer Gruppen verwendet werden. Der Standard ist "nein" (nicht angehakt).

Hinweis zur Sichtbarkeit von Gruppen

Unabhängig von dem Feld "Öffentlich sichtbar" ist jede Gruppe in den Online-Diensten der Universität Konstanz immer auffindbar und kann von allen Mitgliedern der Universität Konstanz verwendet werden.

Klicken Sie abschließend auf "Gruppen-Definition speichern", um die neue Gruppe anzulegen.


Gruppen-Definition erstellen

Im Abschnitt „Gruppen-Definition“ kann festgelegt werden, wer der Gruppe angehören soll.

Eine Gruppen-Definition kann man sich wie einen Mengen-Ausdruck vorstellen. Allerdings stellen wir diesen Ausdruck vollständig mit grafischen Bedienmitteln zusammen statt mit Symbolen. Eine Gruppendefinition wird aus drei Bestandteilen gebildet:

  • der Bezugnahme auf bestehende Gruppen (Organisationseinheit oder benutzerdefinierte Gruppen)
  • der Bezugnahme auf bestehende Identitäten (in Form von Personenlisten)
  • verknüpfenden Operatoren

Hinweise zu den Operationen

Es stehen drei Operatoren zur Verfügung, nämlich ALLE-AUS, OHNE und NUR-GEMEINSAME.

Die Symbole für diese Operatoren sind absichtlich identisch mit den Symbolen für die Mengen-Operatoren VEREINIGUNG, SCHNITT und OHNE. Sie korrespondieren direkt mit den Mengenoperatoren OR, AND und NOT:

  • ALLE-AUS entspricht der VEREINIGUNG bzw. dem Mengenoperator OR: Definierst Du eine Gruppe als ALLE-AUS(A, B), so enthält das Ergebnis alle Identitäten, die in A ODER in B enthalten sind.
  • NUR-GEMEINSAME entspricht dem SCHNITT von Gruppe A und Gruppe B bzw. dem Mengenoperator AND: Eine Gruppe NUR-GEMEINSAME(A, B) e nthält enthält alle und nur diejenigen Identitäten, die in A UND in B enthalten sind.
  • Die Gruppe A-OHNE-B ist äquivalent zum Mengenoperator NOT: sie e nthält genau die Elemente aus A, die nicht in B enthalten sind. Du definierst sie als OHNE(A, B). Achtung, hier ist die Reihenfolge wichtig! Die Gruppe OHNE(A, B) ist nicht äquivalent mit OHNE(B, A).

Eine Gruppendefinition ist immer ein einzelner Ausdruck, d.h. sie besteht aus einem Operator, der Teilausdrücke verknüpft. Bei der Erstellung der Gruppendefinition – ebenso wie der Teilausdrücke – beginnt man mit dem Operator. Dieser legt fest, nach welcher der oben dargestellten Verknüpfungsmethoden die Bestandteile verknüpft werden sollen. Das Ergebnis dieser Operation ist ein neuer Ausdruck, der wiederum durch einen übergeordneten Operator mit einem anderen Teilausdruck verknüpft werden kann. Die Operatoren sind also optisch die „Verknüpfungspunkte“ der Definition. Jeder neue Ausdruck wird mit einem Operator begonnen.

1. Beginnen Sie die Gruppendefinition immer mit dem Operator. Dann werden die Teilausdrücke definiert.

Innerhalb des Definitionsfensters ist bereits der Operator ALLE-AUS vorausgewählt. Direkt neben dem Operatorsymbol befindet sich eine Dropdown-Box, mit der der ausgewählte Operator geändert werden kann.


2. Mit „Einzelelement hinzufügen“ kann ein weiteres einzelnes Element auf dem aktuell ausgewählten Operator hinzugefügt werden.


3. Durch einen Klick auf die gestrichelte Linie kannst Du auswählen, ob Du eine Custom-Gruppe („Gruppe“), Personenliste oder Orga-Gruppe („Organisationseinheit“) hinzufügen willst.


Im Fall von Custom-Gruppen oder Orga-Gruppen kann aus einer Dropdown-Liste die jeweils gewünschte Gruppe ausgewählt werden.


Wählt man stattdessen „Personenliste“, hat man die Möglichkeit, ad hoc eine oder mehrere Personen hinzuzufügen: Es öffnet sich ein Textfeld, in dem der Nutzername eingetippt werden kann. Eine Autovervollständigung wird sich öffnen, und die Person kann durch einen Klick in die Liste ausgewählt und hinzugefügt werden. Dieser Vorgang ist wiederholbar, bis die Personenliste alle gewünschten Personen enthält.


4. Jedes Einzelelement ist durch Klick auf das „X“ entfernbar.


5. Soll statt eines einzelnen Elements ein Teilausdruck hinzugefügt werden, nutzt man „Neue Block-Operation“. Dadurch wird ein neuer Teilausdruck begonnen, d.h. ein neuer Operator-Knoten hinzugefügt (rote Box). Der neue Teilausdruck steht in einer eigenen optischen „Box“, genau wie der Operator auf oberster Ebene. Ein neues Element innerhalb des Teilausdruckes fügt man über „Einzelelement hinzufügen“ hinzu (blaue Box).


6. „Block entfernen“ löscht den gesamten Teilausdruck. Zum entfernen der Einzelelemente innerhalb des Blockes wählt man das Kreuz rechts.


7. Gruppendefinitionen können recht schnell komplex werden. Daher gibt es die Möglichkeit, die Definition über „Definition anzeigen“ vom IDM „probeweise“ auflösen zu lassen. So kann man sehen, welche Personen von der Gruppendefinition im Moment tatsächlich erfasst werden und zu Mitglieder der Gruppe werden würden.

8. Eine Gruppe speichert man durch „Gruppen-Definition speichern“.

Gruppengröße

Die Größe einer Gruppe ist die Zahl ihrer effektiven Mitglieder, also aller Identitäten, die direkt oder über eine andere Gruppenmitgliedschaft Teil der Gruppe sind. Es gibt keine "harte" technische Beschränkung der effektiven Mitgliederzahl einer Gruppe. Allerdings stößt die Darstellung von Gruppen mit umfangreicher Mitgliederliste im Nutzerfrontend an ihre Grenzen. Werden die Listen zu lang, sind sie kaum nachvollziehbar darzustellen. Auch die Navigation in der Listendarstellung wird zur Herausforderung.

Größenbeschränkung Empfehlung

Daher empfehlen wir, keine Gruppen mit mehr als 200 eingetragenen Mitgliedern zu erstellen. "Eingetragene Mitglieder" sind solche, die der Gruppe direkt - quasi "per Eintrag" - angehören. Im Gegensatz dazu kann man auch "automatisch" Mitglied einer Gruppe sein, beispielsweise über die Mitgliedschaft in einer anderen Gruppe, die als Ganzes Teil der fraglichen Gruppe ist.

Gruppen mit vielen Mitgliedern übersichtlich für die Nutzenden darzustellen, ist eine Herausforderung. Zwar können alle technischen Hindernisse mit ausreichend Aufwand beseitigt werden, aber in einer Liste von Hunderten von Mitgliedern eine gesuchte Information zu finden ist aufwändig. Daher empfehlen wir, Gruppen mit mehr als 200 eingetragenen Mitgliedern zu vermeiden.

Muss die Gruppe mehr als 200 Mitglieder enthalten - zum Beispiel weil es sich um eine Berechtigungsgruppe für eine bestimmte Anwendung handelt - kann man stattdessen automatische Mitgliedschaften wählen. Das heißt: die sehr große Gruppe wird aus Gruppen zusammengesetzt, die ihrerseits die Maximalgröße nicht überschreiten.

Beispiel zum Verwalten von großen Gruppen

Zur Gruppe "Abteilung A" gehören die Gruppen "Team Rot" und "Team Blau". Wer zu Abteilung A gehört, ohne einem Team anzugehören - z.B. die Abteilungsleitung - ist eingetragenes Mitglied von "Abteilung A". Die Namen dieser Personen tauchen unmittelbar in der Mitgliederliste von "Abteilung A" auf, weil sie dort eingetragen wurden. Die Gruppe "Abteilung A" kann aber zusätzlich die Gruppen der Teams als Mitglieder enthalten. So gehört jedes Mitglied von "Team Rot" und "Team Blau" automatisch auch zu "Abteilung A", ohne dort eingetragenes Mitglied zu sein. Wir sehen dann beim Inspizieren der Mitgliederliste von "Abteilung A" die Gruppen "Team Rot" und "Team Blau" statt jedes einzelne Mitglied zu sehen.

Gruppe bearbeiten

Öffnen Sie den Reiter „Meine Gruppen“ und klicken auf das "Stift-Symbol" der zu bearbeitenden Gruppe in der Liste.


Es öffnet sich die gleiche Ansicht mit den gleichen Einstellungsmöglichkeiten wie beim Erstellen einer neuen Gruppe (siehe Gruppe erstellen).

Sie können die bestehende Gruppendefinition in der Bearbeiten-Ansicht einer Gruppe ändern.

Eine bestehende Gruppe kann man löschen, indem man in der Bearbeiten-Ansicht einer Gruppe auf „Gruppe löschen“ klickt.

Fileserver-Gruppen beantragen

Der Fileserver des KIM ermöglicht jedem Angehörigen der Universität Konstanz Dokumente und Dateien zentral zu speichern (siehe Fileserver für Details). Neben der zentralen Aufbewahrung persönlicher Dateien bietet der Fileserver auch die Möglichkeit Speicherplatz für Gruppen zu nutzen. Diese Fileserver-Gruppen können ausschließlich von Bedienstete der Universität Konstanz hiermit einfach beantragt werden.

Um ein FileServer-Share beantragen zu können, muss zunächst eine Gruppe existieren. Erstellen Sie eine neue Gruppe (siehe Gruppe erstellen) oder öffnen die Bearbeitungsansicht einer bestehenden Gruppe (siehe Gruppe bearbeiten). Klicken Sie in der Bearbeitungsansicht unten auf den Button "FileServer Share für diese Gruppe beantragen".


Es öffnet sich ein Formular zur Beantragung von Gruppen-Shares auf dem Fileserver. Die Formularfelder sind anhand der Gruppeninformationen überwiegend vorausgefüllt und Sie müssen nur noch das Pflichtfeld (1) "Fachbereich/Abt./SFB" ausfüllen. Das Textfeld "Fachbereich/Abt./SFB" ist kein Freitextfeld, daher informieren Sie sich bitte über die korrekte Bereichsbezeichnung oder OrganisationsID (Beispiel OrgID: 7632080109). Übermitteln Sie den Antrag, indem Sie unten auf den Button (2) "Anfrage per Mail versenden" klicken.