Wenn Sie auf "Alle Cookies akzeptieren" klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

Berechtigungsmanagement in Jira

Das flexible Rechtemodell von Atlassian lässt weitgehende Berechtigungen und Beschränkungen zu. Bei den vielen Einstellungsmöglichkeiten ist es aber nicht immer einfach, den Überblick zu behalten. Wir wollen dir in diesem Artikel das Benutzermodell darlegen, und insbesondere auf das Berechtigungsmanagement eingehen.

Rechteverwaltung

Ein Recht befähigt dessen Inhabenden der Ausführung einer konkreten Aktion, beispielsweise das Sehen oder Bearbeiten von Vorgängen oder das Hinzufügen von Benutzenden. Rechte werden in Jira an Gruppen, Rollen oder einzelne Benutzende erteilt. Gruppen stellen hier eine Mehrzahl von Benutzenden dar, die aufgrund ihrer identischen Berechtigungen zusammengefasst werden, Administrierende können beliebig viele solche Gruppen erstellen.

Die Gruppen erstrecken sich über die ganze Jira-Instanz und können nicht projektbezogen abgeändert werden. Rollen sind im Gegensatz zu Gruppen projektspezifisch. Mittels Rollen können in Projekten Benutzende oder auch Gruppen gebündelt werden und gemeinsam berechtigt werden.

Rechte werden auf der Instanz-, der Projekt- und der Vorgangsebene erteilt.

Instanzübergreifende Berechtigungen

Diese Berechtigungen können nur durch Benutzende mit der globalen Berechtigung "Jira-Administrator" verwaltet werden und werden in der "Jira-Verwaltung" vergeben.

Globale Berechtigungen werden an Gruppen und nicht an einzelne Benutzende erteilt, und finden auf die gesamte Jira-Instanz und dementsprechend projektübergreifend Anwendung. Durch diese Berechtigungen wird beispielsweise festgelegt, welche Gruppen Administrationsfunktionen ausführen dürfen oder auch wer Filter oder Dashboards für andere Benutzende freigeben kann. Weitere Infos zu globalen Berechtigungen findest du hier.

Jira erstellt per default die jira-administrators Gruppe. Mitglieder dieser Gruppe erhalten Zugriff auf die Administrationsmasken von Jira. Selbstverständlich können auch anderen, selber erstellten Gruppen Administrationsrechte erteilt werden. Entsprechend kann diese auch gelöscht werden, sofern vorher die Administrationsrechte auf anderem Weg, also über eine andere Gruppe, gesichert wurden – andernfalls kann sich der Administrator so ausschliessen. Ein vorgängiges Backup wird unbedingt empfohlen.

Im Anwendungszugriff wird die wohl wichtigste, instanzübergreifende Berechtigung vergeben. Hier wird konfiguriert, wer überhaupt Zugriff auf die Plattform erhalten soll und somit auch lizenziert werden muss. Pro installierter Anwendung (Jira Software, Jira Servicemanagement, Jira Work Management) können Gruppen hinterlegt werden, die den Benutzenden in den jeweiligen Gruppen erlauben, die Anwendungen zu verwenden. Standardmässig erstellt Jira die entsprechenden Gruppen für die installierte Anwendungen: jira-software-users, jira-workmanagement-users, jira-service-management-users. Natürlich können auch eigene Gruppen erstellt und den Anwendungszugriff über diese verwalten werden.

Mit dem Anwendungszugriff werden anwendungsspezifische Berechtigungen geregelt. Die Jira Service Management spezifischen Funktionalitäten wie Warteschlangen oder auch SLAs sehen also nur Benutzende, die Jira Servicemanagement Anwendungszugriff haben, die Boards in Jira Software Projekten, sind nur aufruf- und verwendbar für Benutzende mit dem entsprechenden Anwendungszugriff.

Projektberechtigungen

Diese Berechtigungen können nur durch Benutzende mit der globalen Berechtigung "Jira-Administrator" verwaltet werden und werden in den "Projekteinstellungen" angepasst.

Auf dieser Ebene können die Berechtigungen auf Stufe der Projekte vergeben werden, z.B. wer die Projektkonfigurationen anpassen (Berechtigung "Projekte verwalten") oder wer die Vorgänge in einem Projekt sehen (Berechtigung "Projekt durchsuchen") und kommentieren (Berechtigung "Kommentare hinzufügen") darf. Weitere Infos zu projektspezifischen Berechtigungen und deren Erklärungen findest du hier. Diese Berechtigungen werden in sogenannten Berechtigungsschemen gesetzt. Die einzelnen Berechtigungen können einzelnen Benutzenden, Gruppen, Rollen oder auch Benutzenden auf einem Vorgang (Bearbeiter, Ersteller, Benutzende in einem benutzerdefinierten Feld) erteilt werden. Berechtigungsschemen können von mehreren Projekten geteilt werden, bei Anpassungen wird also Vorsicht und Kommunikation verlangt, da die Änderungen für alle Projekte gelten werden.

Über die "Arbeitsablauf-Aktionen" Berechtigung kann den Benutzenden das Recht gegeben werden, auf einem Vorgang einen Statuswechsel durchzuführen. Falls gewisse Übergänge nur durch wenige Benutzende durchgeführt werden dürfen, kann dies in den Arbeitsabläufen mittels Bedingungen gelöst werden. In der Bedingung kann dann festgelegt werden, welche Benutzenden (mit Berechtigungen, aus Gruppen, Projekt- oder Vorgangsrollen) den Übergang ausführen dürfen. Benutzende, welche die Bedingung nicht erfüllen, können den Button für den Statusübergang auch nicht sehen.

Vorgangsberechtigungen

In gewissen Projekten kann es sinnvoll sein, die Sichtbarkeit bestimmter Vorgänge zu reduzieren, z.B. wenn in einem Projekt mit internen und externen Mitarbeitenden gearbeitet wird, die Externen aber nicht alles sehen sollten.

Atlassian bietet hierzu die Sicherheitsschemen. In diesem Schema können unterschiedliche Sicherheitsstufen angelegt werden, pro Sicherheitsstufe wird definiert, wer die Vorgänge dieser Stufe sehen kann (also einzelne Benutzende, Projektrollen der Gruppen). Eine der definierten Stufen soll als Standard definiert werden, der dann auf neu erstellten Vorgängen gesetzt wird. Die Vorgänge sind danach nur für die Nutzer und Gruppen sichtbar, die eine entsprechende Berechtigung dafür haben.

Nur Benutzende mit der "Vorgangssicherheit festlegen"-Berechtigung, können die Sicherheitsstufe verändern.

Sicherheitsschemen können nur durch die Projektadministrierenden verwaltet und in den "Projekteinstellungen" bearbeitet werden.

Best Practice

Dieses Bild beschreibt die unterschiedlichen Möglichkeiten im Jira Berechtigungsmanagement. Nicht alles was möglich ist, erachte ich als gleich sinnvoll. Die Möglichkeiten, welche ich nicht unbedingt empfehle, sind im Bild als graue, gestrichelte Pfeile dargestellt.

Skizze der Berechtigungen und Rechte von Jira

Die globalen Berechtigungen können nur an Gruppen erteilt werden. Es lohnt sich also, pro globaler Berechtigung eine Gruppe zu erstellen, über welche der Anwendungszugriff oder auch die Systemadminrechte geregelt werden.

Auch auf Projektebene empfehle ich, ebenfalls Gruppen und nicht einzelne Benutzer zu verwenden und den Projektrollen Gruppen zuzuweisen. So kann der Administrationsaufwand minimal gehalten werden. Wenn eine Person ihre Arbeiten bei Projekt A beendet hat und neu für Projekt B arbeitet, müssen nur die Gruppenzugehörigkeiten angepasst werden (aus ProjektA-Gruppen, aufnehmen in ProjektB-Gruppen), und die Person kann korrekt berechtigt im neuen Projekt die Arbeit aufnehmen. Wenn Einzelpersonen bei Projektrolle angegeben werden, müssten beim gleichen Wechsel die Projekte durchgekämmt und kontrolliert werden, damit zum Schluss alle Einzelpersonen korrekt berechtigt sind.

Ideal ist, wenn in den Berechtigungsschemen dann die Rollen verwendet werden, um Rechte zu gewähren. So können Berechtigungsschemen von unterschiedlichen Projekten verwendet werden und eine standardisierte Berechtigung erreicht werden. Dadurch dass bei den Rollen in unterschiedlichen Projekten anderen Gruppen hinterlegt sind, haben Benutzende dann trotzdem unterschiedliche Rechte in unterschiedlichen Projekten.

Wenn das so aufgebaut wird, müssen bei Mitarbeitendenwechsel nur die Benutzenden und die Gruppenzugehörigkeiten angepasst werden und es braucht keine weiteren Überprüfungen und Anpassungen in den Projekten

Grundsätzlich lohnt es sich also, die Benutzenden und vor allem die Gruppenzugehörigkeit sauber zu regeln - entweder direkt im Benutzermanagement von Jira oder über ein externes Benutzerverwaltungssysteme.

Atlassian vergibt oft Berechtigungen an jeden angemeldeten Benutzer. Ich unterstütze diese liberale Haltung, weiss aber, dass dies nicht in allen Unternehmen oder auch nicht in allen Projekten gleich gut ankommt. Deshalb empfehle ich, die Standardberechtigungsschemen kurz anzuschauen und zu überprüfen, ob diese tatsächlich so verwendet werden können.

Und zu guter Letzt möchte ich noch den Berechtigungshelfer erwähnen: Benutzende in der Rolle "Projektadmin" haben in den Projekteinstellungen > Berechtigungsschema die Möglichkeit, Berechtigungen für Benutzende zu überprüfen. Durch Klick auf den Button "Berechtigungshelfer" kann abgefragt werden, ob jemand auf einem bestimmten Vorgang eine bestimmte Aktion durchführen kann. Der Berechtigungshelfer zeigt dann auf, ob sie durchgeführt werden kann oder wenn nicht, welcher Rolle die Person zugeteilt werden müsste, um die Rechte zu erlangen. Und wer jetzt aufmerksam mitgelesen hat weiss, dass man nicht den Benutzenden bei der Rolle hinzufügt, sondern man den Benutzenden in der Gruppe aufnimmt, welche bei der entsprechenden Rolle hinterlegt ist.

--

Anna ist Senior Consultant bei linkyard. Sie verfügt über mehr als 10 Jahre Erfahrung in verschiedenen Rollen in der IT. Sie studierte Informatik an der Universität Bern (MSc in Computer Science) und erwarb später auch das Lehrdiplom für Maturitätsschulen im Fach Informatik. Sie ist zertifizierte Professional for Requirements Engineering, zertifizierte SAFe 4 Agilist und verfügt über ein IPMA-D Zertifikat in Projektmanagement. Weiter ist Sie zertifizierte Jira Software und Jira Service Desk Administratorin. Sie verfügt zudem über eine Weiterbildung im Bereich Data Science.

Sie verfügt über viele Jahre Erfahrung als technische Projektleiterin sowie als Software und Requirements Engineer.