Zugang für Eltern

#1

Gerade in den Kinder- und Jugendverbänden sind Kinder erfasst, welche eigentlich von den erziehungsberechtigten Personen verwaltet und für Anlässe angemeldet werden. Eltern müssen sich aber einzeln für ihre Kinder einloggen und E-Mailadressen dürfen nur einmal hinterlegt werden. Dies führt dazu, dass Eltern hitobito nicht wirklich gut benutzen können. Deshalb soll eine Lösung dafür gefunden werden.

Da hier die Lösung noch sehr offen ist, organisieren wir im 1. Quartal 2018 einen Halbtagesworkshop, wo wir das Thema erarbeiten.

Hier sind wir dankbar für kreativ Köpfe die unser unterstützen. Eine Doodle für die Terminfindung folgt.

Erweiterungen 2018
#2

Ausgangslage
• Aktuelle Implementation nicht geeignet, wenn Eltern ihre Kinder „verwalten“
• Login ist eine Email Adresse, für verschiedene Kinder braucht es verschiedene Adressen
• Für mehrere Kinder muss einzeln eingeloggt werden

Lösungsvarianten

Email Adresse als Benutzername ablösen.

Bewertung:

  • Hohe (fachliche) Komplexität in der Umstellung
  • Vergabe von vernünftigen Benutzernamen ist schwierig (unique, merkbar)
  • Wenig Flexibilität

Einführen von Rolle, die Aktionen Anderer ausüben kann. Stellvertreter und Stellvertretener sind „Personen“ in Hitobito. Problem wird über Autorisierung gelöst.

Bewertung:

  • Sehr hohe Flexibilität
  • Sehr komplex in der Umsetzung.
  • Fehleranfällig
  • Eltern sind in Hitobito explizit erfasst

Impersonation. Ein Stellvertreter bekommt das „Subject“ von einer Person. Als diese Person kann der Stellvertreter sämtliche Aktionen durchführen. Problem wird über Authentifizierung gelöst.

Bewertung:

  • Stellvertreter (Eltern) sind nicht explizit erfasst, sondern ein eigenes Konstrukt.
  • Umsetzung verhältnismässig einfach
  • Keine erhöhte Komplexität bei den Berechtigungen. Bisherige Mechanismen greifen.

Lösungsskizze: Impersonation
Drittpersonen kann in Hitobitio ein Login erstellt werden. Diese Drittpersonen haben die Rolle von einem Stellvertreter.

Auf den Personen in Hitobito kann wie unten angedeutet ein (oder mehrere) Stellvertreter zugewiesen werden. Dieser kann alles tun, was die entsprechende Person auch tun könnte. Wichtig ist, dass für diese Personen nicht zwingend ein Login (Haupt Emailadresse) vorhanden sein muss.

zugangeltern1
zugangeltern1.jpg1840×1134 271 KB

Nach dem Login von einem „Stellvertreter“ kommt eine Übersichtsseite von Personen welche „stellvertreten“ werden können.

zugangeltern2
zugangeltern2.png1700×1052 109 KB

Durch einen Klick auf die entsprechende Person, ist der Stellvertreter als diese Person „Authentifiziert“. Technisch wird das entsprechende „Subject“ (Security Context) zugewiesen. Damit können alle Aktionen durchgeführt werden, welche auch die Person selbst ausführen könnte.
Handelt es sich um einen Stellvertreter, gibt es einen Link mit dem die „Stellvertretende“ Person sich wieder ausloggen kann. Das „Subject“ wird entzogen. Auf der Liste kann eine weitere Person selektiert werden.

#3

@uelikurmann Hey cool Danke für deine Überlegungen.
Bei unseren Diskussion, under anderem mit der Pfadi hatten wir das mit Impersonation auch überlegt. Mein Eindruck ist aber, dass das vielleicht nicht so intuitiv ist für Eltern, die die Applikation nur selten nutzen. Deswegen sehen wir eher etwas vor, dass man wirklich beim Anmelden von Events auswählen kann, wen aus der Familie man anmelden.

Familienübersicht so etwas wie:

43453719-15310b42-94bb-11e8-94ca-2f67969257e3.png2084×1506 239 KB

Und beim Anmelden so etwas ähnliches:

43453660-e8f8e680-94ba-11e8-86e5-ddc7b64502eb.png1574×452 32.5 KB