Rollen können sowohl für einzelne Benutzer, als auch für Gruppen vergeben werden. Bei einer Rollenvergabe auf Gruppenebene, gilt die Rollenzuweisung für alle Mitglieder der Gruppe.

Rollen können systemintern durch Konfiguration oder in Bezug auf "konkrete Fachobjekte durch Nutzerzuweisung" vergeben werden. Somit wird der Geltungsbereich einer Rollenzuweisung definiert. Hierbei können Rollen durch einmalige Nutzerzuweisung auf komplexe Objektnetze innerhalb des fachlichen Datenmodells der Anwendung vergeben werden. Um dies zu ermöglichen, wird die Rollenvergabe durch ein regelbasiertes System unterstützt.

Rollenvergabe auf Fachobjekte durch Nutzerzuweisung

An einem Fachobjekt „Projekt“ werden zwei Attribute definiert:

• „Verantwortlich“
• "Informationsberechtigt"

Desweiteren werden zwei Rollen definiert:

• „Projektleiter“ (ermöglicht die Bearbeitung der Projektdaten)
• „Information“ (sieht nur die Ansicht, aber nicht die Bearbeitung der Projektdaten vor)

Durch eine Regel in der Anwendungskonfiguration wird nun festgelegt, dass Benutzer, die dem Attribut „Verantwortlich“ zugewiesen werden, die Rolle „Projektleiter“ auf ihrem Projekt erhalten, während Benutzer, die dem Attribut „Informationsberechtigt“ zugewiesen werden, die Rolle „Information“ auf diesem Projekt erhalten. D.h. die Berechtigungen aller Projektleiter und aller Informationsberechtigter werden durch das Berechtigungsprofil der beiden Rollen „Projektleiter“ und „Information“ zentral festgelegt und der Geltungsbereich dieser Berechtigungen durch die projektbezogene Rollenvergabe bestimmt: Die zugewiesenen Benutzer sehen jeweils nur die eigenen Projekte. Ebenso können diese Regeln zur Rollenvergabe sicherstellen, dass die Rolle „Projektleiter“ nicht nur auf dem konkreten Projekt, sondern auch auf mit dem Projekt zusammenhängenden Elementen wie z.B. Teilprojekten und Arbeitspaketen vergeben wird und damit den Projektleitern auch die Einsicht oder Bearbeitung dieser Elemente ermöglicht würde.

D.h. die tatsächliche Nutzerinteraktion zur Vergabe der Berechtigungen eines Projektleiters besteht lediglich in der fachlichen Zuweisung eines Benutzers als „Verantwortlich“ bzw. "Informatiionsberechtigt" zu einem Projekt.

Rollenvergabe durch Gruppenzuordnung

Es wird eine Rolle „Projektadministrator“ konfiguriert, deren Berechtigungsprofil die Bearbeitung von Projektdaten erlaubt. Weiterhin wird eine korrespondierende Gruppe „Projektadministratoren“
konfiguriert, und durch eine Regel in der Systemkonfiguration einmalig definiert, dass die Rolle „Projektadministrator“ für die Gruppe „Projektadministratoren“ (und damit für alle Gruppenmitglieder) auf allen Projekten vergeben wird.
Im Ergebnis erhält jedes Mitglied dieser Gruppe die Rolle „Projektadministrator“ auf allen Projekten. Umgekehrt verliert ein Benutzer diese Berechtigung automatisch, wenn er die Mitgliedschaft dieser Gruppe verliert.

D.h. die tatsächliche Nutzerinteraktion zur Vergabe der Berechtigungen eines Projektadministrators besteht lediglich in der Zuweisung eines Benutzers zur Gruppe „Projektadministratoren“.