Overslaan en naar hoofdcontent gaan
English (United Kingdom)
English (United Kingdom)

Toegang beperken voor groepen: doelgroepen en hiërarchie

Wat doet deze functie?

Met Epowerhr kan je beperken wat de leden van een groep zien door twee onafhankelijke restricties te combineren:

  • Doelgroepen — regelgebaseerde filters die bepalen welke personen zichtbaar zijn voor de groep (bijvoorbeeld: "iedereen op de afdeling Sales" of "alle medewerkers in regio X").
  • Hiërarchie omhoog uitsluiten — verbergt records van personen die hoger staan dan de gebruiker in de organisatiehiërarchie.

Je configureert deze restricties per objecttype — je kan bijvoorbeeld een doelgroep toepassen op Documenten maar niet op Opleidingen, of Functioneringsgesprekken van leidinggevenden hoger in de hiërarchie verbergen zonder andere objecten te beperken.

Voor je begint

Je hebt nodig:

  • De rechten Algemene beveiliging beheren en Groepen bekijken om het tabblad Toegangscontrole te zien.
  • Het bijkomende recht Groep wijzigen om aanpassingen te maken.
  • De doelgroepen die je wil gebruiken moeten al bestaan (doelgroepen worden elders in het beheer onderhouden). Doelgroepen zijn regelgebaseerd en worden dynamisch geëvalueerd zodra de medewerkersgegevens wijzigen — je hoeft ze niet manueel te vernieuwen of opnieuw op te bouwen.

Kernbegrippen

  • Groep — een verzameling gebruikers die rechten toekent. De toegangscontrole-instellingen liggen bovenop die rechten: ze kunnen geen nieuwe rechten toekennen, alleen beperken wat elk lid ziet.
  • Doelgroep — een persoonsfilter gedefinieerd door regels (bijvoorbeeld Functie = "HR Officer" of Kostenplaats IN ("CC100", "CC200")). Eén belangrijk structureel detail: doelgroepen worden gekoppeld aan de groep als geheel, niet aan individuele objectinstellingen. Het selectievakje per object is enkel een aan/uit-schakelaar — je kan niet kiezen welke doelgroepen op welk object van toepassing zijn. Dit verklaart enkele praktische patronen die verderop in dit artikel aan bod komen.
  • Hiërarchie omhoog — de leidinggevende van de gebruiker, diens leidinggevende, enzovoort.

Instructies

Stap 1 — Open het tabblad Toegangscontrole

Navigeer naar Beheer → Groepen → [groep] → Toegangscontrole.

Stap 2 — Schakel toegangsbeperking in

Het tabblad opent met een statusbanner. Als die "Toegang beperken is momenteel uitgeschakeld." aangeeft, klik je op Toegang beperken inschakelen. De banner wijzigt naar "Toegang beperken is momenteel ingeschakeld." Geen enkele instelling hieronder heeft effect zolang toegangsbeperking niet is ingeschakeld.

Stap 3 — Voeg één of meerdere doelgroepen toe (optioneel)

Zodra toegangsbeperking is ingeschakeld, verschijnt een tabel Doelgroepen. Klik op Doelgroep toevoegen, kies een doelgroep in het dialoogvenster en bevestig. Herhaal voor elke doelgroep die je wil toevoegen.

Als je de lijst met doelgroepen leeg laat, heeft het selectievakje Doelgroep actief per object geen filter om toe te passen — leden van de groep zien dan records van iedereen voor dat object. Het systeem maakt dat expliciet: de leeg-statusboodschap luidt "Er zijn geen doelgroepen gedefinieerd. Onderstaande instellingen zijn van toepassing op iedereen."

Stap 4 — Configureer de restricties per object

De instellingensectie toont elk objecttype dat toegangscontrole ondersteunt, gegroepeerd per component (PA, Documenten, Opleidingen, Talent, …). Voor elk object kan je twee selectievakjes aan- of uitvinken:

  • Doelgroep actief — "Wanneer ingeschakeld, worden voor leden van deze groep '[object]'-records getoond van [scope]." De scope verwijst naar de doelgroepen die je in stap 3 toevoegde, of naar "iedereen" wanneer er geen doelgroepen zijn.
  • Hiërarchie omhoog uitsluiten — "Wanneer ingeschakeld, worden voor leden van deze groep '[object]'-records van personen hoger in de hiërarchie verborgen."

De twee selectievakjes stapelen: beide aanvinken betekent "records van personen in de doelgroep EN niet hoger in de hiërarchie dan ikzelf".

Klik op Bewaren om de instellingen op te slaan. Een bevestigingsmelding verschijnt.

Stap 5 — Verifieer

Log in als een gebruiker die tot de groep behoort en controleer of de records die je verwacht zichtbaar (of verborgen) te zijn, overeenstemmen met je configuratie.

Uitgewerkte voorbeelden

Voorbeeld A — één restrictie op één objecttype

"Regionale HR-officers moeten de afwezigheden zien van medewerkers in hun regio, maar niet van medewerkers die hoger in de hiërarchie staan dan zijzelf."

  1. Open de groep Regionale HR — Regio X → tabblad Toegangscontrole.
  2. Klik op Toegang beperken inschakelen.
  3. Doelgroep toevoegen → kies de doelgroep Medewerkers regio X.
  4. Zoek in de instellingentabel het object Afwezigheid. Vink Doelgroep actief en Hiërarchie omhoog uitsluiten aan.
  5. Klik op Bewaren.

Leden van deze groep zien nu enkel de afwezigheden van medewerkers in Regio X die op hetzelfde niveau of lager staan dan zijzelf in het organigram.

Opmerking: als de leden van deze groep ook lid zijn van een andere groep met toegangsbeperking ingeschakeld, kan dat het resultaat beïnvloeden.

Voorbeeld B — verschillende doelgroepen per object (vereist meerdere groepen)

"Voor Opleidingen moeten leden alle medewerkers van een bepaald medewerkertype zien. Voor Talent Reviews mogen ze niemand met een HR-functie zien."

Omdat doelgroepen aan de groep als geheel worden gekoppeld en niet aan individuele objectinstellingen, kan één enkele groep geen verschillende doelgroep-scopes per object combineren. Configureer twee groepen en voeg de gebruiker aan beide toe.

Groep A — scope Opleidingen

  1. Maak een groep aan, bijvoorbeeld "Toegang — Opleidingen: MedewerkerType X".
  2. Schakel toegangsbeperking in.
  3. Voeg de doelgroep MedewerkerType X toe (een doelgroep met een regel die medewerkers van dat type selecteert).
  4. In de instellingen: Doelgroep actief AAN voor Opleidingen, UIT voor Talent Reviews.
  5. Bewaren.

Groep B — scope Talent Reviews

  1. Maak een groep aan, bijvoorbeeld "Toegang — Talent Reviews: niet-HR".
  2. Schakel toegangsbeperking in.
  3. Voeg een doelgroep toe waarvan de regel HR-functies uitsluit (bijvoorbeeld Functie NIET IN (HR Officer, HR Business Partner, …)). De uitsluiting zit in de regeldefinitie van de doelgroep zelf — doelgroepen zijn op zichzelf regelgebaseerde filters.
  4. In de instellingen: Doelgroep actief AAN voor Talent Reviews, UIT voor Opleidingen.
  5. Bewaren.

Voeg de gebruiker aan beide groepen toe. Hij of zij ziet dan medewerkers van MedewerkerType X in Opleidingen, en alle medewerkers behalve die met een HR-functie in Talent Reviews. De twee scopes vermengen niet, omdat elke groep enkel bijdraagt aan objecten waarvoor zijn schakelaar Doelgroep actief aanstaat.

Tip: geef toegangsgroepen een naam volgens hun scope ("Toegang — [object]: [doelgroep]") zodat de bedoeling van het lidmaatschap duidelijk blijft voor wie de groep later onderhoudt.

Hoe restricties combineren wanneer een gebruiker tot meerdere groepen behoort

Dit is de sectie waar klanten het vaakst naar vragen. De onderstaande regels beschrijven exact hoe eSuite restricties oplost over meerdere groepen heen.

  • Groeptype-bereik. Elke groep waarvoor toegangsbeperking is ingeschakeld, neemt deel aan de evaluatie, ongeacht of de groep daarnaast als Veiligheidsgroep of Wachtrijgroep gemarkeerd is. De groeptype-vlaggen sturen de evaluatie van de toegangscontrole niet aan.
  • Enkel groepen met toegangsbeperking ingeschakeld tellen mee. Groepen waar de schakelaar Toegang beperken uit staat, worden volledig genegeerd. Ze beperken noch "openen" toegang — ze nemen simpelweg niet deel aan de evaluatie.
  • Lidmaatschap is binair. Een gebruiker is ofwel lid van een groep of niet; er bestaat geen lidmaatschap in afwachting of in de wachtrij.
  • De meest permissieve instelling wint, per object. Wanneer een gebruiker tot meerdere beperkte groepen behoort:
    • Doelgroepen worden samengevoegd. Als groep A Documenten beperkt tot Regio X en groep B Documenten beperkt tot Regio Y, ziet de gebruiker zowel documenten van Regio X als van Regio Y.
    • Een lege doelgroepenlijst werkt als een wildcard. Als een beperkte groep Doelgroep actief ingeschakeld heeft voor een object maar geen enkele doelgroep gekoppeld, dan heft die groep de doelgroep-restrictie voor dat object op: de gebruiker ziet records van elke medewerker voor dat object, ongeacht wat andere groepen zeggen.
    • Hiërarchie-uitsluiting werkt enkel als alle beperkte groepen het eens zijn. Als minstens één beperkte groep met instellingen voor een object Hiërarchie omhoog uitsluiten uit heeft staan voor dat object, dan wordt de uitsluiting niet toegepast.
  • Rechten en toegangscontrole zijn twee onafhankelijke lagen. Rechten (zoals Documenten bekijken) worden over alle groepen van de gebruiker geaggregeerd, ongeacht of toegangsbeperking aan staat. Het toegangscontrole-filter wordt daar bovenop toegepast — het kan de zichtbare records beperken, maar het kan geen recht toekennen dat de gebruiker niet heeft.
  • Het gedrag dat mensen verrast. Een gebruiker toevoegen aan een bijkomende, niet-beperkte groep verbreedt zijn zicht niet. Zodra één van zijn groepen een object beperkt, geldt die restrictie voor hem. Om een gebruiker bredere toegang te geven, moet je de restrictie zelf aanpassen — niet de gebruiker aan een niet-beperkte groep toevoegen.

Een doelgroep verwijderen of toegangsbeperking uitschakelen

  • Een doelgroep verwijderen. Klik op het verwijder-icoon naast de rij in de tabel Doelgroepen. Bevestig met "Weet je zeker dat je deze doelgroep wilt verwijderen?". De doelgroep wordt enkel uit deze groep verwijderd; ze blijft in het systeem bestaan en andere groepen die ze gebruiken blijven onaangetast.
  • Toegangsbeperking uitschakelen. Klik op Toegang beperken uitschakelen. Een waarschuwing luidt: "Bij het uitschakelen van deze groep worden alle gelinkte doelgroepen en instellingen weggehaald van de groep. Weet je zeker dat je dit wilt doen?" De cascade is onmiddellijk — doelgroepen en de instellingen per object worden uit deze groep verwijderd, hoewel de doelgroepen zelf blijven bestaan voor gebruik door andere groepen. Om later opnieuw in te schakelen, moet je de doelgroepen opnieuw toevoegen en de selectievakjes per object opnieuw aanvinken.

Veelgestelde vragen

Verbreedt het toevoegen van een gebruiker aan een andere groep zijn toegang? Enkel als die andere groep beperkt is met bredere doelgroepen (die dan samengevoegd worden met de bestaande scope) of als Hiërarchie omhoog uitsluiten uit staat voor een object waarvoor een andere groep het aan heeft staan. Een gebruiker toevoegen aan een niet-beperkte groep verbreedt de toegang niet — zie de sectie hierboven over meerdere groepen.

Kan ik deze functie gebruiken zonder doelgroepen? Ja. Hiërarchie omhoog uitsluiten werkt op zichzelf. Doelgroep actief zonder gekoppelde doelgroepen betekent "iedereen".

Moet ik doelgroepen vernieuwen nadat de medewerkergegevens wijzigen? Nee. Doelgroepen zijn regelgebaseerd en worden dynamisch geëvalueerd. Zodra de gegevens van een medewerker overeenstemmen met (of niet langer overeenstemmen met) een regel, weerspiegelt de doelgroep dat bij de volgende oproep.

Wat als een object één van de selectievakjes niet toont? Niet elk object ondersteunt beide instellingen. De UI toont enkel de selectievakjes die voor dat object beschikbaar zijn.

Wie kan deze instellingen wijzigen? Gebruikers met de rechten Algemene beveiliging beheren en Groep wijzigenGroepen bekijken alleen volstaat om het tabblad te bekijken.