Widget-Sicherheit
Sicherheit und Navigation
SICHERHEIT Admin-Zugriffsrecht
NAVIGATION 
> Admin > Funktionen & Einstellungen > Anwendungsübergreifende (gemeinsame) Funktionen > Systemeinstellungen > Grundeinstellungen > HTML-Widgets auf gemeinsamen Dashboards zulassen
Allgemeine Prinzipien für Widget-Sicherheit
Widgets zeigen (ähnlich wie Suchen und Berichte) lediglich Daten an, für die Sie Ansichtsberechtigungen haben. Diese Berechtigungen werden im Zugriffsrecht definiert, das Ihrem Benutzerprofil zugewiesen ist.
BEISPIEL Die Widgets in Ihrem Dashboard zeigen Objekte (Firmen, Tickets oder Projekte) in mit Ihnen verbundenen Geschäftssparten an, bei denen Ihre Berechtigungseinstellung mindestens Meine ist.
Wenn Sie nicht berechtigt sind, bestimmte Arten von Daten (z. B. Abrechnungsdaten) anzuzeigen, können Sie kein Widgets dafür erstellen, jedoch können Sie sie eventuell auf Registerkarten sehen, die von einem anderen Benutzer geteilt wurden.
Für Widgets mit angezeigten Informationen, auf die nur über Berichte zugegriffen werden kann (z. B. Umfrageergebnisse), gelten die Berichtszugriffsberechtigungen, die in Ihrem Zugriffsrecht definiert sind.
BEISPIEL Benutzer mit Zugriff auf Verträge oder Ansichtsberechtigungen für Berichte der Kategorie „Verträge & Abrechnung“ können Widgets für ausstehende Rechnungspositionen, gebuchte Rechnungspositionen und Rechnungsposten erstellen. Wenn ein Benutzer keine dieser Berechtigungen hat, jedoch auf diese Art von Widgets zugreifen kann (über gemeinsame Registerkarten oder zuvor erstellte), zeigen diese Widgets nie Daten an.
BEISPIEL Dieselbe Regel gilt bei Widgets für Meilensteine mit der Ausnahme, dass Zugriff auf Projekte auf Zugriff auf Widgets für Meilensteine bietet.
BEISPIEL Bei Widgets für Arbeitseinträge können Benutzer mit Vertragsberechtigungen oder Ansichtsberechtigungen für Berichte der Kategorie „Zeit & Spesen“ alle Arbeitseinträge sehen. Ansonsten sehen sie lediglich ihre eigenen Arbeitseinträge sowie Arbeitseinträge für Benutzer, bei denen sie Zeiterfassungsgenehmiger sind.
BEISPIEL Sie können Umfrageergebnisse für Tickets sehen, bei denen Sie ein Mitarbeiter sind. Um alle Umfrageergebnisse sehen zu können, benötigen Sie Adminzugriff auf Berichte.
Ausnahme: Systemeinstellung für Sicherheit bei HTML-Widgets
Warum bietet Autotask diese Systemeinstellung?
Mithilfe von HTML-Widgets können Benutzer benutzerdefinierte Inhalte in einem Dashboard-Widget anzeigen. Dieser Level an Flexibilität bringt ein potenzielles Risiko für böswilliges und unerwünschtes Verhalten mit sich. Kenntnisreiche Benutzer können verschiedene Angriffsvektoren ausnutzen, um HTML-Widgets mit schädlichen Ergebnissen zu erstellen. Diese Widgets könnten über gemeinsame Registerkarten verbreitet werden und diesen potenziellen Schaden auf mehrere Benutzer in Ihrer Organisation ausbreiten.
Was legt diese Systemeinstellung fest?
„HTML-Widgets auf gemeinsamen Dashboard-Registerkarten zulassen“ bestimmt, ob gemeinsame Dashboard-Registerkarten HTML-Widgets enthalten können.
Diese Einstellung ist standardmäßig deaktiviert (nicht markiert). Wenn sie deaktiviert ist, können Sie keine HTML-Widgets zu einer gemeinsamen Dashboard-Registerkarte hinzufügen. Wenn Sie eine Registerkarte teilen, die bereits ein HTML-Widget enthält, rendert das Widget keinen Inhalt, wenn die gemeinsame Registerkarte von den zugewiesenen Benutzern bearbeitet oder aufgerufen wird.
Um HTML-Widgets auf gemeinsamen Dashboard-Registerkarten zuzulassen, wählen Sie das Kontrollkästchen der Systemeinstellung aus, um die Systemeinstellung zu aktivieren.
WICHTIG Wenn Sie Benutzern erlauben, HTML-Widgets auf gemeinsamen Dashboard-Registerkarten zu beinhalten, empfehlen wir Ihnen, genau abzuwägen, welche Zugriffsrechte Berechtigungen zum Verwalten von gemeinsamen Registerkarten haben sollen. Siehe Ein benutzerdefiniertes Zugriffsrecht erstellen oder bearbeiten.
