Die Vorstellung einer undurchsichtigen oder sogar doppelten Benutzerverwaltung treibt Administratoren Schweißperlen auf die Stirn – umso größer die Organisation, desto größer die Schweißperlen. Auf der einen Seite muss der administrative Aufwand minimiert werden, auf der anderen Seite möchte man verschiedene Anwendergruppen zusammenbringen bzw. voneinander trennen. Seafile bietet mit Gruppen, Bereichen, Einrichtungen und Organisationen vier unterschiedliche Strukturierungsoptionen zur dezentralen Verwaltung großer und hierarchisch-organisierter Benutzergruppen.
Bei einer kleinen, flach-organisierten Benutzergruppe ist die Benutzerverwaltung in Seafile trivial. Benutzer werden über die Seafile Weboberfläche angelegt und gegebenfalls mit Administratorrechten ausgestattet. In großen Organisationen kommen weitere Komplexitätsfaktoren hinzu: Die Benutzerauthentifizierung erfolgt über existierende Verzeichnisdienste, granularer Benutzerberechtigungen werden benötigt, organisatorische Begebenheiten gilt es abzubilden, es ist eine (Teil-)Dezentralisierung der Benutzerverwaltung gewünscht, … Es macht also großen Sinn, sich vor der Einrichtung intensiv mit dem Thema Benutzerverwaltung zu beschäftigen, um Doppelspurigkeiten und administrative Sackgassen zu vermeiden.
Seafile gibt auf die sich dabei ergebenden Fragestellungen überzeugende Antworten! Neben den verschiedenen unterstützten Authentifizierungsmethoden und seiner rollenbasierten Berechtigungsverwaltung bietet Seafile mit seinen flexiblen Konfigurationsoptionen zur Strukturierung der Benutzer große Freiheitsgrade zur Delegation von Administrationsfunktionen und zur Abbildung organisatorischer Strukturen. Konkret gibt es für diese Aufgaben in Seafile vier Strukturen:
Diese werden in diesem Beitrag zunächst beschrieben und dann direkt gegenübergestellt.
Organisationen sind im Sinne von Seafile separate Einheiten ohne geteilte Verantwortlichkeiten wie z.B. einer gemeinsamen Dachorganisation. Mitglieder, d.h. Seafile Benutzer einer Organisation, müssen und sollen nichts von Mitgliedern anderer Organisationen wissen.
Im sogenannten Multi Tenancy Betrieb von Seafile teilen sich unterschiedliche Organisationen ein System, die Benutzergruppen sind jedoch strikt voneinander isoliert (englisch: user group separation). Gegenseitige Freigaben innerhalb des Benutzerkreises der eigenen Organisation sind möglich, solche über Organisationsgrenzen hinweg sind nicht möglich.
Der Begriff Multi Tenancy stammt vom englischen Wort tenant für Mieter. Multi Tenancy empfiehlt sich insbesondere für Webservice Provider, die mit einer Seafile Instanz mehrere Geschäftskunden Seafiles Filesharing Funktionen zur Verfügung stellen möchten.
Jeder Tenant, d.h. jede Organisation hat ein ihr zugewiesenes Speicher- und Benutzerkontingent sowie einen eigenen Administrator, den sogenannten Organisationsadministrator (Org-Admininstrator). Der Organisationsadmininstrator, der bei Anlage einer Organisation festgelegt wird, kann im Rahmen der Kontingente der Organisation selbständig die Benutzer der Organisation verwalten.
Der Telekommunikationsanbieter Witcom aus der hessischen Landeshauptstadt Wiesbaden nutzt Multi Tenancy für sein Produktangebot Sync&Share. Eine Buchung des Produkts durch einen Kunden läuft dann vereinfacht wie folgt ab:
Traditionelle Preismodelle auf Basis von lizenzierten Nutzern oder zugewiesenem Speichervolumen lassen sich in Seafile genauso abbilden wie nutzungsabhängige oder kombinierte Preismodelle. Der genutzte Speicherplatz lässt sich beispielsweise in regelmäßigen Abständen per API abfragen und als Preisfaktor berücksichtigen. Mehr zu Seafiles API und dessen Fähigkeiten finden Sie im Artikel Seafile Integration per API.
Einrichtungen versteht Seafile als separate Einheiten mit einem sie verbindenden Element wie z.B. einer gemeinsamen Trägerschaft. Universitäten in einem Bundesland sind Beispiele für Einrichtungen im Sinne von Seafile. In einer solchen Konstellation dürfen und sollen die Mitglieder der Einrichtungen voneinander Kenntnis haben, ermöglicht dies ja erst die einfache Zusammenarbeit.
Anders als bei Multi Tenancy findet bei der Nutzung von Multi Institutions keine strikte organisatorische Trennung der Benutzer statt. Jeder Benutzer gehört zwar zu einer Einrichtung, die Einrichtungsgrenzen sind aber transparent und stellen kein Hindernis dar. Gegenseitige Freigaben über die Grenzen der Einrichtung hinweg sind daher möglich.
Die Administration einer Einrichtung erfolgt normalerweise dezentral durch einen eigenen Admin, dieser Einrichtungsadmin muss bei Anlage einer Einrichtung aber nicht zwingend benannt werden. Einrichtungen haben in Seafile mit Organisationen gemeinsam, dass ihnen eine Speicherquota zugewiesen werden kann, sie also nicht mehr als eine definierte Menge an Speicherplatz benutzen können. Eine Kontingentierung der Benutzer kennt Multi Institutions jedoch nicht. Nur auf Systemebene wird die Benutzerzahl durch die Lizenzdatei begrenzt.
Einrichtungen kommen bisher hauptsächlich im universitäten Umfeld vor. Im Beispiel der Rheinland-Pfalz-Cloud (RLP-Cloud) ist jede Hochschule des 7. größten deutschen Bundeslandes wie z.B. die Johannes Gutenberg-Universität in Mainz oder die Technische Universität Kaiserslautern eine eigene Einrichtung mit eigenen Administratoren. Damit diese nicht alle Studenten händisch im System anlegen müssen, erfolgt die Anlage der User über zusätzliche Informationen während des auf Shibboleth-basierenden Logins, der die Anwender direkt den richtigen Institutionen zuordnet. Die Benutzerverwaltung erfolgt somit dezentral in den jeweiligen Universitäten.
Der organisatorische Ablauf zur Einbindung einer weiteren Hochschule würde folgendermaßen aussehen:
Organisationen und Einrichtungen sind vom Design her ein “public” Hosting, welches darauf ausgelegt ist, dass die Nutzer von einem eigenständigen Administrator verwaltet werden. Durch die Delegation von administrativen Rechten an Untereinheiten ermöglichen Multi Tenancy und Multi Institutions eine weitgehende Dezentralisierung der Benutzerverwaltung.
In Seafile sind Bereiche Strukturen, die – anders als Organisationen und Einrichtungen – neben ihren Administratoren und Benutzern auch ihre eigenen Bibliotheken besitzen. Damit helfen Bereiche in Seafile zum einen dabei, Organisationsstrukturen und -hierarchien von Organisationen abzubilden. Darüber hinaus haben sie noch zwei administrative Funktionen:
Bereiche sind sowohl in einer Multi Tenancy als auch in einer Multi Institutions Konfiguration möglich. Die Verwaltung der Bereiche kann ohne weitere Voraussetzungen durch einen Administrator manuell über das Seafile Webinterface Seahub erfolgen. Typischerweise erfolgt jedoch eine Übernahme der Hierarchie aus einem existierenden Active Directory (AD) oder LDAP-Verzeichnis per AD/LDAP-Sync. So werden die Mitarbeiter direkt ihrem Bereich zugeordnet und erhalten Zugriff auf die für sie relevanten Bibliotheken. Bereiche haben kein eigenes User-Limit, jedoch kann der Systemadmin eine maximale Speicherbelegung festlegen.
Die fiktive mittelständische Beispiel GmbH verwendet im gesamten Unternehmen Seafile als zentrale Datenspeicherlösung und Dateiaustauschplattform. Mit Einführung von Seafile wurde vereinbart, dass jeder Unternehmensbereich seine Ordnerstruktur und Inhalte selbständig pflegt. Mit der Einstellung eines neuen Mitarbeiters läuft der folgende Prozess ab:
Gruppen sind die einfachste organisatorische Sturkutureinheit in Seafile. Eine Gruppe besteht aus einer beliebigen Anzahl von Benutzern und Administratoren und kann sowohl von jedem User als auch zentral von einem Administrator angelegt werden. Gruppen sind sowohl in Multi Tenancy als auch in Multi Institutions Umgebungen möglich. Der wichtigste Vorteil von Gruppen liegt im einfacheren Handling von Freigaben und Datenstrukturen für die Anwender einer Gruppe. So lässt sich mittels Gruppen ganz einfach sicherstellen, dass jedem Gruppenmitglied gewisse Inhalte zur Verfügung stehen.
Gruppen unterscheiden sich von Bereichen dahingehend, dass sie von jedem Anwender eigenständig angelegt werden können und ihnen keine Speicherquota zugewiesen werden kann. Auch können sie keine Untergruppen und keine eigenen Bibliotheken besitzen. Gruppen sind somit am ehesten dafür geeignet, eine Gruppe von Anwendern zusammenzufassen, um an diesen Personenkreis schnell und einfach Freigaben zu erteilen. Umfangreiche Ordnerstrukturen sollte man keiner Gruppe, sondern lieber einem Bereich zuordnen.
Bereiche und Gruppen erleichtern die Verwaltung von Benutern innerhalb einer Seafile Installation – mit oder ohne Multi Tenancy / Multi Institutions.
Aufgrund ihrer individuelle Vor- und Nachteile haben Seafiles Benutzerstrukturen typische Anwendungsfälle. Drei exemplarische Anwendungsfälle wurden oben beschrieben.
Andererseits haben Gruppen, Bereiche, Einrichtungen und Organisationen auch überlappende Eigenschaften und können sich in ähnlichem Maße für bestimmte Nutzungen eignen. Insbesondere mit Hinblick auf die Möglichkeiten zur Dezentralisierung der Benutzerverwaltung sind Bereiche, Einrichtungen und Organisationen ähnlich.
Als Entscheidungshilfe fasst die nachfolgende Tabelle die zentralen Eigenschaften von Seafiles vier Benutzerstrukturen zusammen und stellt sie gegenüber.
| Gruppen | Bereiche | Einrichtungen | Organisationen | |
|---|---|---|---|---|
| Eigene(r) Administrator(en) | ||||
| Eigene Speicherquota | ||||
| Eigenes Benutzerlimit | ||||
| Eigene Bibliothek(en) | ||||
| Freigaben | ||||
| Freigabe an andere Mitglieder | ||||
| Freigabe an alle Benutzer im System | ||||
| Externe Authentifizierung | ||||
| Benutzerauthentifizierung mit AD/LDAP | ||||
| Benutzeranlage per Shibboleth |
Grundsätzlich gilt auch eine Kombinierbarkeit der Strukturierungselemente. Gruppen und Bereiche koexistieren in Seafile Systemen für eine Organisation ebenso wie in Multi Tenent und Multi Institutions Systemen. Alleine die Kombination von Multi Institutions und Multi Tenancy schliesst sich gegenseitig aus.
Die Nutzung von Seafiles Möglichkeiten zur Benutzerstrukturierung steht grundsätzlich in keiner Konkurrenz zur Nutzung der erweiterten Funktionen von Seafile. Nur einige Funktionen stehen aus gutem Grund in bestimmten Konstellationen nicht zur Verfügung.
Völlig unabhängig von der Wahl der Benutzerstrukturen sind häufig genutzte Funktionen wie die Integration eines Online Editors, die 2-Faktor Authentifizierung, die Rollenverwaltung und die WebDAV-Schnittstelle. Generell lässt sich auch festhalten, dass Gruppen und Bereiche völlig ohne Funktionseinschränkungen genutzt werden können.
Bei Organisationen und Einrichtungen muss man lediglich berücksichtigen, dass es nicht sinnhaft ist, dass sich Anwender selbst registrieren bzw. selbst Gäste einladen können. Die Verwendung unterschiedlicher Backends wird aktuell nicht im Multi Tenancy Modus unterstützt. Eine umfangreiche Übersicht finden Sie in der folgenden Tabelle.
| Gruppen | Bereiche | Einrichtungen | Organisationen | |
|---|---|---|---|---|
| Benutzerverwaltung | ||||
| Gäste-Accounts | ||||
| Rollenverwaltung | ||||
| Selbstregistrierung | ||||
| Bibliotheken | ||||
| Verschlüsselte Bibliotheken | ||||
| Organisationsbibliotheken | ||||
| Sicherheit | ||||
| 2-Faktor Authentifizierung | ||||
| Passwort Policy | ||||
| Fernlöschung | ||||
| Integrationen | ||||
| Online Editor Integration | ||||
| Multiple Storage Backends | ||||
| WebDAV-Schnittstelle |
Die flexiblen Möglichkeiten zur hierarchischen Benutzerstrukturierung und Dezentralisierung von Administrationsaufgaben zeichnen Seafile aus. In Kombination mit AD/LDAP-Unterstützung, Shibboleth-Authentifizierung, rollenbasiertes Berechtigungsmanagement und Gast-Funktionen ist die Benutzerverwaltung von Seafile so leistungsfähig und vielseitig wie keine andere Sync & Share Lösung.
Sie wollen mehr erfahren, wie Sie Seafile in und für Ihr Unternehmen einsetzen können?
Sprechen Sie uns an: +49 (0)6131 3270777.