Delegation administrativer Aufgaben in hierarchischen Organisationen

Die Vorstellung einer undurchsichtigen oder sogar doppelten Benutzerverwaltung treibt Administratoren Schweißperlen auf die Stirn – umso größer die Organisation, desto größer die Schweißperlen. Auf der einen Seite muss der administrative Aufwand minimiert werden, auf der anderen Seite möchte man verschiedene Anwendergruppen zusammenbringen bzw. voneinander trennen. Seafile bietet mit Gruppen, Bereichen, Einrichtungen und Organisationen vier unterschiedliche Strukturierungsoptionen zur dezentralen Verwaltung großer und hierarchisch-organisierter Benutzergruppen.

Bei einer kleinen, flach-organisierten Benutzergruppe ist die Benutzerverwaltung in Seafile trivial. Benutzer werden über die Seafile Weboberfläche angelegt und gegebenfalls mit Administratorrechten ausgestattet. In großen Organisationen kommen weitere Komplexitätsfaktoren hinzu: Die Benutzerauthentifizierung erfolgt über existierende Verzeichnisdienste, granularer Benutzerberechtigungen werden benötigt, organisatorische Begebenheiten gilt es abzubilden, es ist eine (Teil-)Dezentralisierung der Benutzerverwaltung gewünscht, … Es macht also großen Sinn, sich vor der Einrichtung intensiv mit dem Thema Benutzerverwaltung zu beschäftigen, um Doppelspurigkeiten und administrative Sackgassen zu vermeiden.

Seafile gibt auf die sich dabei ergebenden Fragestellungen überzeugende Antworten! Neben den verschiedenen unterstützten Authentifizierungsmethoden und seiner rollenbasierten Berechtigungsverwaltung bietet Seafile mit seinen flexiblen Konfigurationsoptionen zur Strukturierung der Benutzer große Freiheitsgrade zur Delegation von Administrationsfunktionen und zur Abbildung organisatorischer Strukturen. Konkret gibt es für diese Aufgaben in Seafile vier Strukturen:

Diese werden in diesem Beitrag zunächst beschrieben und dann direkt gegenübergestellt.

Organisationen

Organisationen sind im Sinne von Seafile separate Einheiten ohne geteilte Verantwortlichkeiten wie z.B. einer gemeinsamen Dachorganisation. Mitglieder, d.h. Seafile Benutzer einer Organisation, müssen und sollen nichts von Mitgliedern anderer Organisationen wissen.

Im sogenannten Multi Tenancy Betrieb von Seafile teilen sich unterschiedliche Organisationen ein System, die Benutzergruppen sind jedoch strikt voneinander isoliert (englisch: user group separation). Gegenseitige Freigaben innerhalb des Benutzerkreises der eigenen Organisation sind möglich, solche über Organisationsgrenzen hinweg sind nicht möglich.

Der Begriff Multi Tenancy stammt vom englischen Wort tenant für Mieter. Multi Tenancy empfiehlt sich insbesondere für Webservice Provider, die mit einer Seafile Instanz mehrere Geschäftskunden Seafiles Filesharing Funktionen zur Verfügung stellen möchten.

Jeder Tenant, d.h. jede Organisation hat ein ihr zugewiesenes Speicher- und Benutzerkontingent sowie einen eigenen Administrator, den sogenannten Organisationsadministrator (Org-Admininstrator). Der Organisationsadmininstrator, der bei Anlage einer Organisation festgelegt wird, kann im Rahmen der Kontingente der Organisation selbständig die Benutzer der Organisation verwalten.

Verwaltung von Organisationen über das Seafile Webinterface Seahub

Der Telekommunikationsanbieter Witcom aus der hessischen Landeshauptstadt Wiesbaden nutzt Multi Tenancy für sein Produktangebot Sync&Share. Eine Buchung des Produkts durch einen Kunden läuft dann vereinfacht wie folgt ab:

  1. Die Beispiel GmbH bucht bei Witcom das Produkt Sync&Share.
  2. Witcom legt die Organisation Beispiel GmbH mit dem Org-Administrator mustermann@beispiel-gmbh.de an.
  3. Witcom teilt der Beispiel GmbH ein Benutzerlimit und eine Speicherquota in gewünschter Höhe zu.
  4. Herr Mustermann als Org-Admin legt selbständig weitere Benutzer in Seafile an.
  5. Herr Mustermann kann durch Anlage weiterer Org-Administratoren Verantwortlichkeiten delegieren.

Traditionelle Preismodelle auf Basis von lizenzierten Nutzern oder zugewiesenem Speichervolumen lassen sich in Seafile genauso abbilden wie nutzungsabhängige oder kombinierte Preismodelle. Der genutzte Speicherplatz lässt sich beispielsweise in regelmäßigen Abständen per API abfragen und als Preisfaktor berücksichtigen. Mehr zu Seafiles API und dessen Fähigkeiten finden Sie im Artikel Seafile Integration per API.

Einrichtungen

Einrichtungen versteht Seafile als separate Einheiten mit einem sie verbindenden Element wie z.B. einer gemeinsamen Trägerschaft. Universitäten in einem Bundesland sind Beispiele für Einrichtungen im Sinne von Seafile. In einer solchen Konstellation dürfen und sollen die Mitglieder der Einrichtungen voneinander Kenntnis haben, ermöglicht dies ja erst die einfache Zusammenarbeit.

Anders als bei Multi Tenancy findet bei der Nutzung von Multi Institutions keine strikte organisatorische Trennung der Benutzer statt. Jeder Benutzer gehört zwar zu einer Einrichtung, die Einrichtungsgrenzen sind aber transparent und stellen kein Hindernis dar. Gegenseitige Freigaben über die Grenzen der Einrichtung hinweg sind daher möglich.

Die Administration einer Einrichtung erfolgt normalerweise dezentral durch einen eigenen Admin, dieser Einrichtungsadmin muss bei Anlage einer Einrichtung aber nicht zwingend benannt werden. Einrichtungen haben in Seafile mit Organisationen gemeinsam, dass ihnen eine Speicherquota zugewiesen werden kann, sie also nicht mehr als eine definierte Menge an Speicherplatz benutzen können. Eine Kontingentierung der Benutzer kennt Multi Institutions jedoch nicht. Nur auf Systemebene wird die Benutzerzahl durch die Lizenzdatei begrenzt.

Einrichtungen kommen bisher hauptsächlich im universitäten Umfeld vor. Im Beispiel der Rheinland-Pfalz-Cloud (RLP-Cloud) ist jede Hochschule des 7. größten deutschen Bundeslandes wie z.B. die Johannes Gutenberg-Universität in Mainz oder die Technische Universität Kaiserslautern eine eigene Einrichtung mit eigenen Administratoren. Damit diese nicht alle Studenten händisch im System anlegen müssen, erfolgt die Anlage der User über zusätzliche Informationen während des auf Shibboleth-basierenden Logins, der die Anwender direkt den richtigen Institutionen zuordnet. Die Benutzerverwaltung erfolgt somit dezentral in den jeweiligen Universitäten.

Der organisatorische Ablauf zur Einbindung einer weiteren Hochschule würde folgendermaßen aussehen:

  1. Die Universität Beispielstadt möchte der RLP-Cloud beitreten.
  2. Ein Systemadministrator legt die neue Universität als neue Einrichtung an und teilt ihr eine Speicherquota zu.
  3. Der Systemadministrator legt einen Einrichtungsadmin admin@uni-beispielstadt.de an.
  4. Die Mitarbeiter und Studenten der Universität Beispielstadt können sich ab sofort bei der RLP-Cloud anmelden.
  5. Im Rahmen der Shibboleth-Authentifizierung erkennt Seafile, dass es sich um einen Studenten der Uni Beispielstadt handelt und ordnet den Studenten der entsprechenden Einrichtung zu.

Organisationen und Einrichtungen sind vom Design her ein “public” Hosting, welches darauf ausgelegt ist, dass die Nutzer von einem eigenständigen Administrator verwaltet werden. Durch die Delegation von administrativen Rechten an Untereinheiten ermöglichen Multi Tenancy und Multi Institutions eine weitgehende Dezentralisierung der Benutzerverwaltung.

Bereiche

In Seafile sind Bereiche Strukturen, die – anders als Organisationen und Einrichtungen – neben ihren Administratoren und Benutzern auch ihre eigenen Bibliotheken besitzen. Damit helfen Bereiche in Seafile zum einen dabei, Organisationsstrukturen und -hierarchien von Organisationen abzubilden. Darüber hinaus haben sie noch zwei administrative Funktionen:

Bereiche sind sowohl in einer Multi Tenancy als auch in einer Multi Institutions Konfiguration möglich. Die Verwaltung der Bereiche kann ohne weitere Voraussetzungen durch einen Administrator manuell über das Seafile Webinterface Seahub erfolgen. Typischerweise erfolgt jedoch eine Übernahme der Hierarchie aus einem existierenden Active Directory (AD) oder LDAP-Verzeichnis per AD/LDAP-Sync. So werden die Mitarbeiter direkt ihrem Bereich zugeordnet und erhalten Zugriff auf die für sie relevanten Bibliotheken. Bereiche haben kein eigenes User-Limit, jedoch kann der Systemadmin eine maximale Speicherbelegung festlegen.

Verwaltung von Bereichen über das Seafile Webinterface Seahub

Die fiktive mittelständische Beispiel GmbH verwendet im gesamten Unternehmen Seafile als zentrale Datenspeicherlösung und Dateiaustauschplattform. Mit Einführung von Seafile wurde vereinbart, dass jeder Unternehmensbereich seine Ordnerstruktur und Inhalte selbständig pflegt. Mit der Einstellung eines neuen Mitarbeiters läuft der folgende Prozess ab:

  1. Der neue Mitarbeiter wird im Active Directory angelegt und einem Firmenbereich zugeordnet.
  2. Die AD-Synchronisation legt den Mitarbeiter in der Seafile Benutzerdatenbank an und macht ihn zum Mitglied seines Bereiches.
  3. Der Bereichsadministrator kann den Zugriff auf Bibliotheken auf nur-Lesen einschränken.
  4. Mit seinem ersten Seafile Login hat der neue Mitarbeiter ohne weitere Maßnahmen Zugriff auf alle für ihn relevanten Dateien und Ordner.
  5. Freigaben privater Bibliotheken an Bereichskollegen oder an andere Mitarbeiter sind möglich.

Gruppen

Gruppen sind die einfachste organisatorische Sturkutureinheit in Seafile. Eine Gruppe besteht aus einer beliebigen Anzahl von Benutzern und Administratoren und kann sowohl von jedem User als auch zentral von einem Administrator angelegt werden. Gruppen sind sowohl in Multi Tenancy als auch in Multi Institutions Umgebungen möglich. Der wichtigste Vorteil von Gruppen liegt im einfacheren Handling von Freigaben und Datenstrukturen für die Anwender einer Gruppe. So lässt sich mittels Gruppen ganz einfach sicherstellen, dass jedem Gruppenmitglied gewisse Inhalte zur Verfügung stehen.

Gruppen unterscheiden sich von Bereichen dahingehend, dass sie von jedem Anwender eigenständig angelegt werden können und ihnen keine Speicherquota zugewiesen werden kann. Auch können sie keine Untergruppen und keine eigenen Bibliotheken besitzen. Gruppen sind somit am ehesten dafür geeignet, eine Gruppe von Anwendern zusammenzufassen, um an diesen Personenkreis schnell und einfach Freigaben zu erteilen. Umfangreiche Ordnerstrukturen sollte man keiner Gruppe, sondern lieber einem Bereich zuordnen.

Bereiche und Gruppen erleichtern die Verwaltung von Benutern innerhalb einer Seafile Installation – mit oder ohne Multi Tenancy / Multi Institutions.

Vergleich von Seafiles Benutzerstrukturen

Aufgrund ihrer individuelle Vor- und Nachteile haben Seafiles Benutzerstrukturen typische Anwendungsfälle. Drei exemplarische Anwendungsfälle wurden oben beschrieben.

Andererseits haben Gruppen, Bereiche, Einrichtungen und Organisationen auch überlappende Eigenschaften und können sich in ähnlichem Maße für bestimmte Nutzungen eignen. Insbesondere mit Hinblick auf die Möglichkeiten zur Dezentralisierung der Benutzerverwaltung sind Bereiche, Einrichtungen und Organisationen ähnlich.

Als Entscheidungshilfe fasst die nachfolgende Tabelle die zentralen Eigenschaften von Seafiles vier Benutzerstrukturen zusammen und stellt sie gegenüber.

  Gruppen Bereiche Einrichtungen Organisationen
Eigene(r) Administrator(en)
Eigene Speicherquota
Eigenes Benutzerlimit
Eigene Bibliothek(en)
Freigaben        
Freigabe an andere Mitglieder
Freigabe an alle Benutzer im System
Externe Authentifizierung        
Benutzerauthentifizierung mit AD/LDAP
Benutzeranlage per Shibboleth

Grundsätzlich gilt auch eine Kombinierbarkeit der Strukturierungselemente. Gruppen und Bereiche koexistieren in Seafile Systemen für eine Organisation ebenso wie in Multi Tenent und Multi Institutions Systemen. Alleine die Kombination von Multi Institutions und Multi Tenancy schliesst sich gegenseitig aus.

Kompatibilität von Benutzerstrukturen und Funktionen

Die Nutzung von Seafiles Möglichkeiten zur Benutzerstrukturierung steht grundsätzlich in keiner Konkurrenz zur Nutzung der erweiterten Funktionen von Seafile. Nur einige Funktionen stehen aus gutem Grund in bestimmten Konstellationen nicht zur Verfügung.

Völlig unabhängig von der Wahl der Benutzerstrukturen sind häufig genutzte Funktionen wie die Integration eines Online Editors, die 2-Faktor Authentifizierung, die Rollenverwaltung und die WebDAV-Schnittstelle. Generell lässt sich auch festhalten, dass Gruppen und Bereiche völlig ohne Funktionseinschränkungen genutzt werden können.

Bei Organisationen und Einrichtungen muss man lediglich berücksichtigen, dass es nicht sinnhaft ist, dass sich Anwender selbst registrieren bzw. selbst Gäste einladen können. Die Verwendung unterschiedlicher Backends wird aktuell nicht im Multi Tenancy Modus unterstützt. Eine umfangreiche Übersicht finden Sie in der folgenden Tabelle.

  Gruppen Bereiche Einrichtungen Organisationen
Benutzerverwaltung        
Gäste-Accounts
Rollenverwaltung
Selbstregistrierung
Bibliotheken        
Verschlüsselte Bibliotheken
Organisationsbibliotheken
Sicherheit        
2-Faktor Authentifizierung
Passwort Policy
Fernlöschung
Integrationen        
Online Editor Integration
Multiple Storage Backends
WebDAV-Schnittstelle

Leistungsfähigste Benutzerverwaltung am Markt

Die flexiblen Möglichkeiten zur hierarchischen Benutzerstrukturierung und Dezentralisierung von Administrationsaufgaben zeichnen Seafile aus. In Kombination mit AD/LDAP-Unterstützung, Shibboleth-Authentifizierung, rollenbasiertes Berechtigungsmanagement und Gast-Funktionen ist die Benutzerverwaltung von Seafile so leistungsfähig und vielseitig wie keine andere Sync & Share Lösung.

Sie wollen mehr erfahren, wie Sie Seafile in und für Ihr Unternehmen einsetzen können?
Sprechen Sie uns an: +49 (0)6131 3270777.