Ziele
- Nuclos soll um ein hierarchisches Mandantenwesen erweitert werden.
Hintergrund und strategische Eignung
Immer mehr Nuclet Produzenten fragen ein Mandantenwesen an. Hierbei steht das Zusammenspiel aus Berechtigung, Anmeldung und Einschränkung von Suchergebnissen eine entscheidende Rolle. Berechtigung und Einschränkung sind aktuell nur über Datensatzfreigaben realisierbar. Es fehlt aber eine Auswahl am Logindialog. Das neue Mandantenwesen soll transparenter im System integriert sein, ein eingerichteter Mandant, die Konfiguration eines Businessobjekts mit Mandantenabhängigkeit und eine Zuweisung zum Benutzer soll genügen.
Annahmen
- Mandanten werden als Instanzabhängig betrachtet, nicht Teil eines Nuclets
- Benutzer werden Mandanten zugewiesen (m:n)
- Unterschiedliche Layouts und Statusmodelle werden nicht benötigt
- Mandanten wird man in einer Hierarchie (Ebenen) anlegen. Beispiel (Land, Bundesland, Stadt):
- Ein Businessobjekt wird immer nur Mandanten einer bestimmten Ebene zugeordnet. Also z.B. der Ebene 2 im Beispiel einem Bundesland.
- Auch in einer Instanz mit Mandanten muss nicht jedes Businessobjekt mandantenabhängig sein. Die Entscheidung soll für jedes Businessobjekt einzeln gefällt werden können.
- Soll auch für einen Superuser greifen
Anforderungen
| # | Beschreibung | Nuclos Version | Notizen |
|---|
| 1 | Neues SystemBO "Mandant" | 4.2 | - T_MD_MANDATOR
- PK: UID
- Name, Beschreibung
- Referenz auf sich selbst (STRUID_PARENTMANDATOR) -> hierarchisches Mandantenwesen
|
| 2 | Neues SystemBO "Mandanten Parameter" | | - Statt Mandanten Parametern können in den Nuclet Parametern pro Mandant ein Wert definiert werden.
|
| 3 | Neues SystemBO "Mandanten Parameter Wert" | 4.2 | - T_MD_MANDATOR_PARAM_VALUE
- PK: UID
- Wert
- Referenz auf Mandant und Nuclet Parameter
- Dies ist optional, wird kein spezifischer Wert angegeben, so greift der Default Wert im Nuclet Parameter selbst.
|
| 4 | Neues SystemBO "Mandanten Zuordnung" | 4.2 | - T_MD_MANDATOR_USER
- PK: UID
- Referenz auf Mandant und User
|
| 5 | BO Wizard um Konfiguration der Mandantenabhängigkeit erweitern | 4.2 | - Tabellen erhalten eine neue Spalte STRUID_NUCLOSMANDATOR
|
| 5a | Neues SystemBO "Mandanten Ebene" | 4.2 | - T_MD_MANDATOR_LEVEL
- PK: UID
- Beschriftung
- Referenz auf sich selbst (STRUID_PARENTLEVEL)
- Wird automatisch verwaltet. Erste Ebene wird mit dem ersten Mandanten erzeugt. Weitere Ebene folgen automatisch wenn von der Möglichkeit einer übergeordneten Ebene Gebrauch gemacht wird. In der Administration der Ebene (Einstieg über die Mandanten Maske) kann nur die Beschriftung der Ebene geändert werden.
|
| 6 | Existiert für ein BO eine Abhängigkeit, wird automatisch in Suchergebnislisten, Unterformulare, Aufgabenlisten, Datenquellenergebnissen eingeschränkt | 4.2 | - Mit der Anmeldung wird eine Liste der für diese Session gültigen Mandanten generiert (und gecached) und immer den Statements als IN angehängt. WHERE STRUID_NUCLOSMANDATOR IN (...)
- Eine Berechtigung auf "Deutschland" beinhaltet auch automatisch alle darunter liegenden Ebenen.
- Beispiel: Anmeldung "Deutschland" = Liste von Mandanten ("Deutschland", "Bayern", "München", "Berlin", "Berlin")
- Beispiel: Anmeldung "Bayern" = Liste von Mandanten ("Deutschland", "Bayern", "München")
- Siehe auch Punkt 12 u. 13
|
| 7 | Neue Datensätze werde automatisch mit dem angemeldeten Mandanten verknüpft, falls erforderlich | 4.2 | - Meldet man sich mit einer höheren Ebene an (im Beispiel mit einer Stadt = Ebene 3) das BO fordert aber Ebene 1, so wird der Hierarchie entsprechend der Mandant aus Ebene 1 verwendet
- Meldet man sich mit einer niedrigeren Ebene an (im Beispiel mit einem Bundesland = Ebene 2) das BO fordert aber Ebene 3, wird eine Dropdown mit den zur Auswahl stehenden Mandanten der Ebene 3 angeboten. Die Berechtigung des Benutzer muss berücksichtigt werden. Enthält die Auswahl nur einen Eintrag wird dieser automatisch selektiert.
- Zu klären: Wo und wird die Dropdown dargestellt?
|
| 8 | Der Loginbildschirm wird um die Auswahl des Mandanten erweitert | 4.2 | - Auswahl soll nur nötig sein, wenn der Benutzer mehr als einen Mandanten zur Auswahl hat
- Auswahl erscheint erst nach erfolgreicher Authentifizierung
- Stellt die Auswahl mehr als einen Mandanten zur Verfügung wird der zuletzt verwendete vorselektiert. Der Benutzer hat dann 5 Sekunden Zeit einen anderen Eintrag zu wählen, bevor die Anmeldung den Client öffnet. Der Timer wird unterbrochen, sobald der Benutzer die Mandanten-Dropdown anklickt.
|
| 9 | Arbeitsumgebungen merken sich die zuletzt geöffneten Tabs abhängig pro Mandant | OFFEN | |
| 10 | Nuclet Zuweisung und Transfer um Mandanten Parameter erweitern | | |
| 11 | Klassen Generierung für Mandanten Parameter und ParameterProvider erweitern | | - Man wird nicht direkt mit den Mandanten arbeiten. Nuclos wird automatisch, je nach Abhängigkeit der Daten und/oder Anmeldung des Benutzers die Abfragen (auch in Regeln!) einschränken.
- Siehe auch Punkt 14
|
| 12 | Datenquellen Ausführung erweitern | 4.3 | - Ist die Datenquellen mit dem normalen Modell (nicht manuelles SQL Statement) erstellt worden, so werden alle verwendenden Tabellen auf den angemeldeten Mandanten eingeschränkt, sofern solch eine Abhängigkeit besteht.
- Eine Datenquelle, basierend auf einem manuellen SQL wird nicht automatisch auf Mandanten eingeschränkt, da die Ermittlung hierfür zu komplex und fehleranfällig wäre. Wenn man aber einen Datenquellenparameter "mandator" anlegt, so wird Nuclos den Wert automatisch setzen. Dabei sollte der Wert immer mit einem "IN" eingebunden werden. Beispiel: "T3.STRUID_NUCLOSMANDATOR in ('$mandator')"
- Siehe auch Punkt 6
|
| 13 | Neue Berechtigung auf SQL Ebene einer Datenquelle | 4.3 | - Nur wenn ein Benutzer über dieses Recht verfügt kann er eigene SQL Statements in Datenquellen verfassen. Ansonsten bleibt ihm nur das normale Modell. Mit entsprechendem Wissen könnte man ansonsten die Mandanteneinschränkung aushebeln.
|
| 14 | Optionale Mandanten Provider | 4.2 | - Nuclos wird automatisch, je nach Abhängigkeit der Daten und/oder Anmeldung des Benutzers die Abfragen (auch in Regeln!) einschränken. Wenn allerdings ein Job Datensätze in einem mandantenabhängigen BO anlegen muss, so stellt sich die Frage "Wie wird der Mandant ermittelt?". Für solche Fälle, und auch weil ein Nuclet Produzent die zukünftige Einrichtung der Mandanten seiner Kunden nicht kennt, können Provider individuell pro Kunde implementiert werden.
- Jedes mandantenabhängige BO erhält ein neues Interface mit dem Namen "NuclosMandatorProvider". Findet Nuclos eine Implementierung in den Server Regeln, so wird die Methode "getNuclosMandatorId(<BusinessObject>) aufgerufen und der zurückgelieferte Mandant im Datensatz eingetragen. Dies geschieht noch vor einer InsertRule und auch nur, wenn nicht schon durch die Verarbeitung anderer Daten eine Mandantenabhängigkeit ermittelt werden konnte. Letzteres könnte z.B. der Fall sein, wenn man durch vorhandene Aufträge iteriert, welche ebenfalls die gleiche Mandantenabhängigkeit ausweisen.
- Ein Beispiel, wann man solch einen Provider benötigt, könnte ein Rechnungsimport Job sein. Dieser verarbeitet Rechnungen im XML Format für alle Mandanten des Systems. Allerdings würde er keine Rechnungen mehr anlegen, wenn die Rechnung mandantenabhängig ist und solch ein Provider nicht implementiert wird. In der Implementierung steht die anzulegende Rechnung zur Verfügung, womit ein eigens für diesen Zweck geschaffenes Mapping aus Land, PLZ und Straße abgefragt wird. Teil des Mappings ist auch eine Referenz auf einen Mandanten welcher dann letztendlich zurückgeliefert wird. Der Mandant ist somit gefüllt und die Verarbeitung kann normal fortgesetzt werden.
|
| 15 | Mandant Teil des Unique Schlüssels | OFFEN | |
Benutzerinteraktion und -design
Mandanten bzw. die Hierarchie wird in einer neuen Maske in der Administration konfiguriert. Die Parameter Werte für Mandanten werden im Nuclet Management bei den Parametern gepflegt.
Fragen
Unten finden Sie eine Liste von Fragen, die aufgrund dieses Anforderungsdokuments angesprochen werden müssen:
| Frage | Ergebnis |
|---|
| Sollte der Mandant immer Teil des Unique Schlüssels sein oder nur bei Bedarf? | |
| Welche Felder benötigt der Mandant ein Parameter noch? | vorerst keine weiteren |
| Wird ein Schnellwechsel, ohne erneute Authentifizierung, benötigt? | vorerst nicht |
| Man kann eine Ebene nachträglich nur schwer zwischen vorhandenen platzieren. Z.B. man hat Anfangs die "Bundesländer" nicht gebraucht. Sollte man Ebenen extra Definieren? | Ja, werden extra definiert. Es kann allerdings nur die Beschriftung geändert werden. (Siehe auch Punkt 5a) |
| Zu klären: Defaultbelegung bestehender Datensätze bei nachträglicher Einführung der Mandantenfähigkeit in einer Entität? | Ja, sind bereits Daten vorhanden, so muss ein Default Mandant ausgewählt werden. |
| Zu klären: Verletzung der "referentiellen Integrität" bei Umhängen eines referenzierten Datensatzes zu einem anderen Mandanten kann nicht über die DB abgefangen werden. Aus Sicht des vorherigen Mandanten kommt das Umhängen aber einer Löschung gleich, darf also nicht zulässig sein, wenn referenziert. | Wird nicht zugelassen. Für eine nachträgliche Einführung und Aufteilung auf Mandanten muss eine Migration auf Datenbank Ebene entwickelt werden. Nuclos bietet hierfür vorerst keine Unterstützung an. |
| Zu klären: Dropdowns und LOVs müssen ebenfalls dynamisch auf die für den jeweiligen Mandatenkontext sichtbaren Daten eingeschränkt werden. Was genau ist der Mandantenkontext? Alle hierarchisch unter dem angemeldeten Mandanten hängenden Mandanten? | Umgesetzt. Ein Mandantenkontext besteht aus der Schnittmenge der Anmeldung plus den Mandanten des zu verarbeitenden Datensatzes. Dabei wird immer der komplette Baum der Hierarchie (Siehe auch Punkt 6) herangezogen. Somit erfolgt auch eine Einschränkung von LOV & Co. bei einem Superuser. |
Verworfen
- Mandanten Parameter
- Eigene Klassen/Konstanten für Parameter und Provider
- Direktes Arbeiten mit Mandant über Getter und Setter und Attributen für Querys.