Shopware Benutzer- und Rollenverwaltung ist ein zentrales Thema für jeden Shopbetreiber, der mit mehreren Personen am gleichen Shop arbeitet. Über die Benutzerverwaltung in Shopware 5 lassen sich Backend-Benutzer anlegen, Rollen definieren und Zugriffsrechte granular steuern. In diesem Beitrag zeigen wir dir praxisnah, wie du Benutzer hinzufügen kannst, Benutzergruppen erstellst, ACL-Rechte (Access Control List) individuell vergibst und wie du auch Plugins ohne ACL-Unterstützung absicherst. So stellst du sicher, dass dein Shop effizient und sicher verwaltet werden kann.
Übersicht
- 1. Wer braucht Shopware Benutzer- und Rollenverwaltung?
- 2. Die Benutzerverwaltung
- 3. Benutzer anlegen
- 4. Benutzergruppe anlegen
- 5. Gruppenrechte per ACL definieren
- 6. Plugins ohne ACL-Unterstützung
- 7. Quellen und weiterführende Links
6. Wer braucht Shopware Benutzer- und Rollenverwaltung?
Das oben beschriebene Szenario wurde auf einer lokalen Testumgebung durchgespielt, auf der keine besonderen zusätzlichen Plugins installiert sind. Was aber in Shopware Shops, die schon eine größere Zahl an Plugins installiert haben passieren kann ist, dass das Plugin nicht ACL kompatibel ist und die Zugriffsrechte nicht über die Benutzerverwaltung reguliert werden können.
In einer Live Umgebung kam das Mittwald Sicherheits-Plugin zum Einsatz, was den Redakteuren unter dem Einstellungen Link angezeigt wurde obwohl es hier nicht sichtbar sein sollte. Das Plugin unterstützte in diesem Fall nicht die ACL Technologie und wurde nicht in der Liste der Ressourcen angezeigt, so dass man es deaktivieren könnte.
Wie gehen wir also vor, wenn ein Plugin diese ACL Geschichte nicht unterstützt? Ganz einfach wir finden das GET Parameter was beim Aufruf des Links, der später nicht mehr angezeigt werden soll, verwendet wird.
Wenn wir einen einen Link im Backend aufrufen können wir in der Developer Konsole das GET Parameter herausfinden, was dazu verwendet wird um danach den dazugehörigen Bereich aufzurufen. In Chrome können wir diesen über den Network Bereich finden. Im Firebug nutzen wir den Bereich Netzwerkanalyse.
Wenn sehr viele Punkte in der Liste angezeigt werden kann man nach den ersten 3 Buchstaben des Plugins suchen und findet mit etwas Glück die richtigen GET Parameter ausgespuckt.
Es riecht also schwer danach, dass das gesuchte GET Parameter MittWaldSecurityTools lautet. Dieses muss aber später klein geschrieben werden. Wir gehen also in die Benutzerverwaltung, dann auf den Ressourcen und Berechtigungen Reiter und wählen anschließend die produkt_redakteur Rolle aus um eine neue Ressource hinzuzufügen.
Wir klicken also nun auf den Ressource hinzufügen Button und geben einfach mittwaldsecuritytools ein. Der Punkt erscheint nun in der Liste und wird alphabetisch einsortiert und reiht sich hinter dem medienmanager und vor dem newslettermanager ein.
Als nächstes markieren wir das Kästchen und klicken nun auf den sonst ausgegrauten Privileg hinzufügen Button und geben und das einzeilige Formular im Popup-Fenster einfach nur read ein.
Nun müssen wir die Rolle noch einmal speichern und bestenfalls wird der Mittwald Link für die Mitglieder dieser Rolle nun nicht mehr angezeigt.
1. Wer braucht Shopware Benutzer- und Rollenverwaltung?
Wer seinen Shop (noch) ganz alleine betreibt, der kann diesen Teil (zunächst) getrost überspringen, Zeit sparen und in wichtigere Dinge investieren.
Wer aber mit einem Team aus mehreren Leuten an seinem Shop arbeitet, der wird sich früher oder später fragen wie man a) neue Backend User anlegen kann und b) wie man deren Lese- und Schreibrechte in bestimmten Bereichen des Backend konfigurieren kann.
Theoretisch kann man natürlich auch alles über einen einzigen Benutzer regeln. Das wird aber in der Regel kontraproduktiv sein. Ist man beispielsweise angemeldet und ein anderer meldet sich mit dem gleichen User an – dann fliegt der erste aus dem System und muss sich neu anmelden und wirft dabei wieder den anderen aus dem System.
Außerdem lässt sich über den Log Bereich beobachten, was welcher Nutzer zu welcher Zeit gemacht hat. Das kann insbesondere beim Debugging von hoher Bedeutung sein. So kann man nachvollziehen, welcher User einen bestimmten Fehler erzeugt hat und womit genau. Es ist also grundsätzlich ratsam, mehrere User anzulegen, sobald mehr als eine Person für die Pflege des Shops zuständig ist.
In der Praxis kann das so aussehen: Eine Agentur installiert den Shop und legt dabei 2 User an. Der erste wird gleich bei der Installation des Systems angelegt – andernfalls gäbe es keinen Zugang. Im Anschluss wird in der Regel ein zweiter Admin User mit allen Rechten für den „Shop-Besitzer“ angelegt. Das geschieht direkt über die Benutzerverwaltung.
Shopware Benutzer- und Rollenverwaltung – zurück zur Übersicht
2. Die Benutzerverwaltung
Wer noch nie in diesem Bereich gewesen ist dem soll verraten werden wie man dort hin gelangt. Sind wir im Backend angemeldet fahren wir mit der Maus über den Einstellungen Link und bekommen dann an vierter Stelle den Menüpunkt Benutzerverwaltung angezeigt.
Hier kannst du an anschließend neue Benutzer, die sich im Backend Bereich anmelden können, anlegen und deren Zugriffsrechte steuern und weitere Einstellungen vornehmen. Übrigens können sich User die hier angelegt werden zwar im Backend, dafür aber nicht im Frontend anmelden, sprich. Einkäufe im Shop tätigen oder testen. Hierfür muss ein gesonderter Testkunde angelegt werden. Dieser kann sogar die identische E-Mail Adresse wie der Backend-User haben, da die Kunden- und Backend-User-Verwaltung zwei komplett autarke und voneinander unabhängige Bereiche darstellen.
Wer also einen Backend- und einen Frontend-User mit den exakt gleichen Login-Daten anlegen möchte um sich eine E-Mail Adresse und ein Passwort weniger merken zu müssen, der kann dies tun.
So sieht es aus, wenn wir uns das erste Mal in die Benutzerverwaltung begeben:
Wir sehen den Haupt-Admin, der bei der Installation von Shopware angelegt wurde. Der Bereich ist insgesamt in 3 Bereiche aufgeteilt. a) Die Benutzerverwaltung, die wir bereits sehen, b) einen Bereich zum Anlegen und Verwalten von Rollen und den Bereich Ressourcen und Berechtigungen.
Wie wir sehen werden im Reiter Benutzerverwaltung alle Backend-User aufgelistet, man kann über den Button Benutzer hinzufügen weitere User ergänzen, User nachträglich bearbeiten oder aber wieder aus dem System löschen. Zusätzlich bekommen man auch angezeigt, wann der letzte Login der User aus der Liste stattgefunden hat.
Was später interessant wird: Über dem Benutzernamen wird die Gruppe angezeigt: local_admins. Wenn wir also später weitere Gruppen und User haben, dann werden diese User in der Übersicht schon nach den zugehörigen Gruppen aufgeteilt und können so einfacher gefunden werden. Zudem lassen sich die Listen pro Gruppe auch auf und zuklappen, was praktisch ist wenn die Listen länger werden.
Shopware Benutzer- und Rollenverwaltung – zurück zur Übersicht
3. Benutzer anlegen
Klicken wir auf den User hinzufügen Button öffnet sich für uns folgendes formschöne Formular. Auszufüllende Pflichtfelder sind: Der Benutzername, das Passwort, der Name, die E-Mail-Adresse sowie die Gruppen-Zuordnung welche sich hier Mitglied der Rolle nennt. Klappen wir es auf sehen wir dass dort zunächst auch nur eine einzige Gruppe zur Auswahl steht und weitere gegebenenfalls erst noch angelegt werden müssen.
Die Pflichtfelder sind selbsterklärend aber was hat es mit den anderen Feldern auf sich?
API-Zugang: Wenn wir hier ein Häkchen setzen wird einem gleich ein API-Schlüssel angezeigt, den wir verwenden können. Dieser muss jedoch nicht zwingend genutzt werden sondern kann auch durch einen bereits vorhandenen Key ersetzt werden. Es gibt beispielsweise Schnittstellen bei denen man einen sogenannten API-Benutzer samt dem dazugehörigen API-Schlüssel angeben muss. Für den Fall kann man hier also einen gesonderten User anlegen, der grundsätzlich nur dazu dient, die Schnittstelle mit dem API-Schlüssel zu beglücken.
Erweiterter Editor: Der erweiterte Editor erweitert den Editor, über den wir zum Beispiel unsere Artikel-Beschreibungstexte oder Kategorie-Texte in unseren Shop eingeben. Da die Funktion grundsätzlich nur Vorteile mit sich bringt, kann ich das Aktivieren des Häkchen jedem Backend User ans Herz legen.
Backend Cache deaktivieren: Normalsterbliche Admins brauchen dieses Häkchen nicht zu aktivieren. Es ist eher für Entwickler gedacht, die nicht jedes Mal den Cache löschen müssen um zu gucken ob eine Änderung im Code eines Plugins bereits gegriffen hat oder nicht.
Freitextfelder: Für diesen Bereich können wir später zusätzliche Felder konfigurieren. Man könnte noch ein Feld für eine Telefonnummer ergänzen, Messenger IDs, Social Media Profile oder was auch immer.
Standardsprache: Ein Wort zur Sprache – wenn wir unseren eigenen User bearbeiten und die Sprache anpassen, dann müssen wir uns einmal neu einloggen um das Backend in der neuen Sprache nutzen zu können.
Fun-Fact: Manchmal klickt man aus Versehen auf den blauen Jetzt konfigurieren Button anstatt auf den Speichern Button
Shopware Benutzer- und Rollenverwaltung – zurück zur Übersicht
4. Benutzergruppe anlegen
Schauen wir uns einmal den nächsten Reiter Rollen etwas genauer an. Auf den ersten Blick sieht es so ähnlich wie in er Benutzerverwaltung aus. Wir haben eine Liste und die Option die vorhandene(n) zu bearbeiten oder neue anzulegen.
Wir sehen, dass dort zunächst nur die Standard Rolle / Gruppe local_admins angelegt ist. Lasst uns das Formular zum Anlegen einer neuen Gruppe betrachte und gleich auch mal eine anlegen. In unserem Beispiel soll das die Gruppe produkt_redakteur werden. User in dieser Gruppe sollen grundsätzlich nur die Möglichkeit haben, Artikeltexte hinzuzufügen.
Wie man sieht hat man kein wirkliches Formular in dem man zahlreiche ANgaben machen könnte sondern man gibt lediglich folgende Dinge ein die wir entsprechend zu unseren Testzwecken befüllen:
- Name: produkt_redakteur
- Beschreibung: Produkt-Redakteure können Artikel anlegen / bearbeiten.
- Quelle: custom ist vor-ausgewählt und kann nicht geändert werden
- Aktiviert: Wir setzen das Häkchen bei aktiv
- Admin: Wir setzen ein Häkchen
Ein Wort zum Punkt Admin: Würden wir beim Punkt Admin das Häkchen nicht setzen könnte man sich zwar im Backend einloggen, würde aber sehr schnell feststellen dass dieses extrem abgespeckt ist und man rein gar nichts im Shop bearbeiten geschweige denn einsehen kann. Das einzige was wir uns in dem Fall anzeigen lassen können ist unsere aktuell im Shop verwendete Shopware Version.
Sobald wir eine zusätzliche Gruppe / Rolle angelegt haben ist es nun möglich die User im Benutzerverwaltung Reiter zu bearbeiten und aus dem Aufklapp-Menü beim Punkt Rolle zuordnen die neue Rolle auszuwählen.
Ist dies getan bekommt man nun 2 Listen angezeigt, denen jeweils ein User zugeordnet ist.
Soweit so gut.
Shopware Benutzer- und Rollenverwaltung – zurück zur Übersicht
5. Gruppenrechte per ACL definieren
Wir haben also bereits einen neuen User und eine neue Gruppe. Deaktiviert man in der Rollen-Einstellung die Admin Zugang Funktion kann man nichts machen, und aktiviert man ihn kann man zunächst einmal für die meisten Szenarien viel zu viel machen. Sprich wir brauchen noch eine Möglichkeit die Zugriffsrechte möglichst molekular zu konfigurieren. Hierfür bewegen wir uns in den Reiter – Ressourcen und Berechtigungen.
Hier bekommen wir zunächst einmal eine längere Liste von Ressourcen / Privilegien angezeigt. Dies ist die Access Control List, oder kurz einfach nur die ACL mit der du nun deine Gruppenrichtlinien festlegen kannst.
Interessant wird es aber schon über der Liste, denn dort befindet sich ein Dropdown-Menü in dem wir eine Rolle, die bearbeitet werden soll auswählen können.
Wählen wir die Rolle local_admins aus sehen wir, dass alle Häkchen aktiviert sind und alle Benutzer der Rolle frei von jeglichen Einschränkungen ausnahmslos alle Einstellungen am Shop vornehmen kann. Dabei sind alle aktivierten Order zusätzlich aufgeklappt, so dass man Einsicht auf die darin befindlichen Unter-Bereiche und den damit verknüpften Einstellungen hat. Hier sehen wir einmal einen Blick auf fie Bereiche: analyltics (Statistik), article, articlelist, attributes, banner, benchmark, blog, canceledorder, category und config:
Schalte ich nun um auf produkt_redakteur so sehe ich genau das gleiche Bild. Sprich man muss also alles, was diese Gruppe nicht bearbeiten darf / soll deaktivieren. Ich entferne also alle, für mein Anliegen, überflüssige Häkchen und klicke anschließend auf den Rolle speichern Button.
Praxis-Tipp: Loggt euch beim Testen der Einstellungen am besten parallel in einem anderen Browser mit einem User der Rolle, die ihr gerade bearbeitet ein, und testet live wie sich die Einstellungen auf die Möglichkeiten im Backend beeinflussen. Ihr könnt also mit dem Admin etwas ändern und speichern und dann im anderen Browser gleich testen ob es die gewünschte Wirkung hatte.
Wer aber so wie wir in diesem Beispiel eine Rolle anlegen möchte, die für Produkt Redakteure bestimmt ist der kann die Häkchen folgendermaßen setzen:
Bei article werden read und save aktiviert damit oben in der Leiste der Link Artikel angezeigt wird und die Redakteure an ihr Zeil gelangen können. Hierfür würde read schon reichen, doch dann würde in der Liste der Stift zum Bearbeiten nciht angezeigt werden. Daher nehmen wir beide, lassen delete aber bewußt weg, damit der Redakteur nicht versehentlich irgendwelche Artikel löscht, die sich sonst am Tag 300x verkaufen.
Bei articlelist: read und editSingleArticle. Mit read wird unter dem Artikel Link der Unter-Link Übersicht aktiviert, so dass man auf die Gesamtliste der Artikel in Shopware zugreifen kann um neue Artikel anzulegen oder bereits vorhandene zu überarbeiten.
Bei category: read, da sonst die Liste der Artikel nicht angezeigt wird.
Bei mediamanager: Hier wird alles außer delete aktiviert, damit Bilder hochgeladen und den Artiklen hinzugefügt werde können. Wer ein wenig englisch kann, für den sind die Felder recht selbsterklärend. Eine Auflistung mit kurzer Erklärung und Übersetzung findet man in den Dhopware Docs unter: https://docs.shopware.com/de/shopware-5-de/einstellungen/benutzerverwaltung
Laut den docs wird für den Vollzugriff auf die Artikelverwaltung zudem die Aktivierung der emotion box, daher setze ich hier noch ein Häkchen bei read. Mit diesen Einstellungen hatte ich also mein Ziel erreicht und eine Rolle so konfiguriert, dass sie perfekt für einen Artikel-Redakteur abgestimmt ist.
Shopware Benutzer- und Rollenverwaltung – zurück zur Übersicht
