Rollen und Berechtigungen
In festiware steuerst du über Rollen, wer welche Bereiche des Systems sehen und bearbeiten darf. Jeder Benutzer kann mehrere Rollen gleichzeitig haben — die Rechte werden dabei addiert.
🔐 Wie Rollen funktionieren
Jede Rolle kontrolliert zwei Dinge: in welchem Bereich die Person arbeiten darf und was sie dort tun kann. Letzteres wird über drei Berechtigungsstufen geregelt:
| Stufe | Was sie bedeutet |
|---|---|
| Observer | Daten ansehen — Listen durchsuchen, Details öffnen, nichts verändern |
| Manager | Alles was Observer können, plus Daten bearbeiten und aktualisieren |
| Supervisor | Alles was Manager können, plus Datensätze erstellen und löschen |
💡 Tipp: Ein Benutzer kann mehrere Rollen gleichzeitig haben. Zum Beispiel kann jemand „Artist Manager" und „Scheduler Observer" bekommen — dann kann diese Person Künstlerdaten bearbeiten und den Zeitplan ansehen, aber nicht verändern.
⭐ Sonderrollen
Admin
Vollzugriff auf das gesamte System — alle Bereiche, alle Funktionen, alle Einstellungen.
Geeignet für: Projektleitung, technische Verantwortliche, Personen die Einstellungen und Benutzerverwaltung ändern müssen.
⚠️ Admins können auch Rollen und Berechtigungen anderer Benutzer verändern. Diese Rolle sollte nur an wenige, vertrauenswürdige Personen vergeben werden.
Gate Manager
Nur für den Einlass — eine einzelne Stufe, kein Observer/Supervisor.
- Kann Ticketcodes bearbeiten (z. B. Tickets scannen, entwerten)
- Kann Bestellungen ansehen
Geeignet für: Personal am Einlass, Akkreditierungsschalter.
🌐 Übergreifende Rollen (Universal)
Diese Rollen geben Zugriff auf alle Personen- und Gruppentypen gleichzeitig.
| Rolle | Was sie kann |
|---|---|
| Universal Supervisor | Alle Personen & Gruppen erstellen/bearbeiten/löschen · Scheduler, Teams, Catering vollständig verwalten · Formulardefinitionen bearbeiten |
| Universal Manager | Alle Personen & Gruppen ansehen & bearbeiten · Scheduler & Teams ansehen & bearbeiten · Catering vollständig verwalten |
| Universal Observer | Alle Personen, Gruppen & Teams nur ansehen |
Geeignet für: Universal Supervisor → Produktionsleitung · Universal Manager → Büro/Verwaltung · Universal Observer → Geschäftsführung, externe Berater.
📋 Alle Rollen im Überblick
| Bereich | Supervisor | Manager | Observer | Geeignet für |
|---|---|---|---|---|
| Scheduler | Erstellen/Bearbeiten/Löschen | Ansehen & Bearbeiten | Nur ansehen | Ablaufplanung, Bühneneinsatz |
| Order | Bestellungen, Ticketcodes & Coupons vollständig | Bestellungen & Ticketcodes bearbeiten, Coupons vollständig | Nur ansehen | Ticketverkauf, Buchhaltung |
| Team | Erstellen/Bearbeiten/Löschen | Ansehen & Bearbeiten | Nur ansehen | Teamleitung, HR |
| Access | Erstellen/Bearbeiten/Löschen | Ansehen & Bearbeiten | (nicht vorhanden) | Sicherheit, Zugangsplanung |
| Artist | Künstler-Personen & -Gruppen vollständig | Ansehen & Bearbeiten | Nur ansehen | Booking, Künstlerbetreuung |
| Crew | Crew-Personen & -Gruppen vollständig | Ansehen & Bearbeiten | Nur ansehen | Crewleitung, Produktionsassistenz |
| Service Provider | Gewerk-Personen & -Gruppen vollständig | Ansehen & Bearbeiten | Nur ansehen | Gewerkeleitung, techn. Leitung |
| Visitor | Besucher & Gäste vollständig | Besucher ansehen & bearbeiten | Besucher & Gäste ansehen, Gäste bearbeiten | Gästelisten, VIP-Betreuung |
| Volunteer | Helfer & Teams vollständig | Helfer & Teams ansehen & bearbeiten | Nur ansehen | Helferkoordination |
| Vendor | Händler-Personen & -Gruppen vollständig | Ansehen & Bearbeiten | Nur ansehen | Marktleitung, Standplatzverwaltung |
| Workshop | Workshopleiter & -Gruppen vollständig | Ansehen & Bearbeiten | Nur ansehen | Workshop-Koordination |
| Voucher | Erstellen/Bearbeiten/Löschen | Ansehen & Bearbeiten | Nur ansehen | Logistik, Catering |
| Catering | Mahlzeiten, Typen & Bestellungen vollständig | Mahlzeiten & Bestellungen vollständig, Typen nur ansehen | Mahlzeiten & Bestellungen ansehen | Küchenleitung, Cateringkoordination |
| Contract | Verträge & Vertragstypen vollständig | Verträge vollständig, Typen nur ansehen | Nur ansehen | Vertragsmanagement, Buchhaltung |
| Supply | Materialien, Bestellungen & Tracking vollständig | Materialien & Bestellungen bearbeiten, Tracking vollständig | Materialien & Bestellungen ansehen, Tracking bearbeiten | Lager, Logistik, Einkauf |
| Invoice | Rechnungen & Rechnungstypen vollständig | Rechnungen vollständig, Typen nur ansehen | Nur ansehen | Buchhaltung, Finanzverwaltung |
📌 Hinweis: Rollen wie Artist, Crew, Vendor etc. geben immer gleichzeitig Zugriff auf die zugehörigen Personen und Gruppen — beides lässt sich nicht trennen. Wer z. B. „Artist Observer" hat, sieht sowohl die Künstler-Personen als auch alle Künstler-Gruppen.
📌 Hinweis bei Access: Es gibt keine Observer-Stufe — wer Zutrittsdaten sehen darf, bekommt mindestens die Manager-Rolle.
📌 Hinweis bei Catering & Contract & Supply: Die Berechtigungsstufen weichen hier vom Standardmuster ab. Details stehen in den jeweiligen Abschnitt-Beschreibungen.
🔀 Typische Rollenkombinationen
| Aufgabe | Empfohlene Rollen |
|---|---|
| Festivalbüroleitung | Universal Supervisor |
| Booking-Team | Artist Supervisor · Scheduler Manager |
| Helferkoordination | Volunteer Supervisor · Team Supervisor · Scheduler Observer |
| Einlasspersonal | Gate Manager |
| Marktleitung | Vendor Supervisor · Order Observer |
| Buchhaltung | Universal Observer · Invoice Manager · Contract Observer |
| Catering-Team | Catering Supervisor · Voucher Manager |
| Nur-Lese-Zugang | Universal Observer |
🔑 Direkte Berechtigungen
Zusätzlich zu Rollen können einzelnen Benutzern auch direkte Berechtigungen zugewiesen werden — ohne eine vollständige Rolle vergeben zu müssen. Das ist sinnvoll für Ausnahmefälle, z. B. wenn jemand nur eine einzelne Funktion braucht.
| Berechtigung | Was sie erlaubt |
|---|---|
securedata_see |
Sensible / geschützte Datenfelder einsehen |
settings_administrate |
Zugriff auf den Einstellungsbereich |
formdefinition_manage |
Formulardefinitionen bearbeiten |
formdefinition_administrate |
Formulardefinitionen vollständig verwalten |
user_see / user_manage / user_administrate |
Benutzerverwaltung einsehen / bearbeiten / vollständig verwalten |
workflow_see / workflow_manage / workflow_administrate |
Workflows einsehen / bearbeiten / vollständig verwalten |
webhook_see / webhook_manage / webhook_administrate |
Webhooks einsehen / bearbeiten / vollständig verwalten |
⚠️ Hinweis: Direkte Berechtigungen erscheinen in der Benutzeroberfläche unter ihren internen technischen Namen. Diese Funktion richtet sich an Admins mit Systemkenntnissen und sollte mit Bedacht eingesetzt werden.
📝 Formulare und Workflows folgen den Typ-Berechtigungen
Berechtigungen für Formulardefinitionen und Workflows sind an die Personen- und Gruppentypen gekoppelt, auf die ein Benutzer Zugriff hat.
Beispiel: Ein Benutzer mit der Rolle „Artist Manager" und der Berechtigung formdefinition_manage kann nur das Künstler-Formular bearbeiten — nicht die Formulare anderer Typen wie z. B. Crew oder Vendor. Gleiches gilt für Workflows: Wer workflow_see hat, aber nur den Zugriff auf Artist-Personen, sieht auch nur den Artist-Workflow.
| Berechtigung | Ohne Typ-Rolle | Mit z. B. Artist-Rolle |
|---|---|---|
formdefinition_see |
Kein Zugriff auf Formulare | Nur das Artist-Formular sichtbar |
formdefinition_manage |
Kein Zugriff auf Formulare | Nur das Artist-Formular bearbeitbar |
workflow_see |
Kein Zugriff auf Workflows | Nur der Artist-Workflow sichtbar |
workflow_manage |
Kein Zugriff auf Workflows | Nur der Artist-Workflow bearbeitbar |
Ausnahme: Benutzer mit der Berechtigung „Alle Personen & Gruppen ansehen" (z. B. Universal-Rollen) sehen weiterhin alle Formulare und Workflows.
Dies gilt auch für Workflow-Schritte und Workflow-Trigger — diese erben die Zugriffsbeschränkung ihres übergeordneten Workflows.
💡 Gut zu wissen
- Rollen werden kombiniert: Rechte werden addiert — eine Rolle kann nie Rechte entziehen, die eine andere gewährt.
- Vorausgewählte Rollen: Beim Anlegen eines neuen Benutzers sind bestimmte Rollen vorausgewählt. Diese Vorauswahl kann in den Einstellungen angepasst werden.
- Personen und Gruppen gehören zusammen: Rollen wie Artist, Crew oder Vendor kontrollieren immer den Zugriff auf Personen und deren Gruppen — beides lässt sich nicht trennen.
- Menüpunkte folgen den Rollen: Wenn einem Benutzer die Rolle für einen Bereich fehlt, erscheint der entsprechende Menüpunkt in seinem Zugang gar nicht erst.
- Kein Zugriff auf einzelne Datensätze: Rollen gelten immer für alle Datensätze eines Typs. Wer „Artist Observer" hat, sieht alle Künstler.
- Projektbezogener Zugriff: Unabhängig von Rollen kann festgelegt werden, auf welche Projekte ein Benutzer Zugriff hat — über die Projektzuordnung im Benutzerprofil.