Die Aufteilung in Lese- und Schreibrechte ist nicht zwingend korrekt. Ein Recht ¹⁾ kann auch als Lese- und Schreibrecht verwendet werden. Es ist aber übersichtlicher, wenn man die Rechte entsprechend aufteilt. Rechte, die eine doppelte Rolle spielen, werden entsprechend zugeordnet, bzw. gekennzeichnet.

Es ist auch wichtig zwischen Rechten und der Autorisierung der Rechte zu differenzieren. Die Anwendung definiert die Rechte indem man für die Anwendung sinnvollerweise bestimmt, welche Rechte für welche Lese- und Schreib-Aktionen notwendig sind. Der Autorisierer bestimmt, wie diese Rechte genehmigt werden.

Teamrollen eines Mitarbeiters lesen zu dürfen hängt dabei z.B. sinnvollerweise vom Mitarbeiter ab, nicht von der Rolle. Wenn ich mir dann die Mitarbeiter zu einer Rolle angucken möchte, sehe ich auch nur die Mitarbeiter, für die ich das Recht habe, die Teamrollen zu sehen.

Eine Teamrolle für einen Mitarbeiter anlegen ²⁾ zu können hängt aber vom Mitarbeiter und der Rolle ab. Ein Betreuer soll keinen Einrichtungsleiter anlegen dürfen. Anders herum aber doch. Es könnte auch nur von der Rolle abhängen, und nicht vom Mitarbeiter, also komplett umgekehrt als bei den Leserechten.

Die Rechte zu bestimmen ist also eher eine Kunst als ein rein logischer, bzw. technischer Vorgang.

Zu unterscheiden ist die Autorisierung von der Bestimmung der Rechte. Die Autorisierung wird auf vorhanden Rechte gemacht. Die Rechtebestimmung wird in der Anwendung vorgenommen, die Autorisierung der Rechte in dem Autorisierer. Der Autorisierer ist dabei abhängig von der Anwendung, aber nicht anders herum.

Wie ein Recht autorisiert wird ist dem Autorisierer völlig überlassen. Er kann Rechte auf Mitarbeiterebene direkt auf dieser Ebenen autorisieren. Er kann sie aber auch für alle Mitarbeiter autorisieren die eine bestimmte Rolle in der Einrichtung, in einem Team des Mitarbeiter haben, usw.

Hinweis: Das gehört eigentlich in die Authenfizierung