Release Notes — 10. Mai 2026
Diese Version liefert eine Berechtigungssystem-Korrektur, die einen 403-Fehler auf Task-Routen für Workspace-Admins behebt, ein übermäßiges Recht aus der Workspace-Member-Rolle entfernt und Unit-Rollen in allen bestehenden Workspaces standardisiert.
Berechtigungssystem-Korrektur
Fehlerbehebung: Workspace-Admin erhielt 403 auf Task-Routen
Workspace-Admin-Benutzer erhielten beim Zugriff auf aufgabenbezogene API-Endpunkte einen 403 Forbidden-Fehler. Die Ursache war eine fehlende tasks.view-Berechtigung in der workspace_admin-Rollendefinition in bestehenden Unit-Datenbanken.
Die Korrektur wird automatisch auf alle bestehenden Workspaces angewendet — es ist keine Aktion erforderlich.
Fehlerbehebung: Workspace-Member hatte tasks.delete-Überrecht
Die workspace_member-Rolle enthielt fälschlicherweise die tasks.delete-Berechtigung. Gemäß dem vorgesehenen Berechtigungsmodell (und der veröffentlichten Berechtigungsmatrix) sollten nur Manager- und Owner-Rollen Aufgaben löschen können.
Dieses Überrecht wurde aus allen bestehenden Workspace-Member-Rollen entfernt.
Unit-Rollen standardisiert
Die member- und manager-Rollen auf Unit-Ebene wurden mit den globalen Rollenvorlagen in allen Units synchronisiert:
member— enthält jetzt konsistentsettings.view,tasks.viewundrates.viewmanager— standardisiertes Gewicht (60) und Berechtigungsset (≥ 12 Berechtigungen)
Neue Units sind künftig nicht betroffen
Der Rollenkopier-Service (roleCopy.service) verwendet jetzt idempotente Upserts bei der Bereitstellung von Rollen für neu erstellte Units. Dadurch wird sichergestellt, dass neue Units stets mit dem korrekten Berechtigungsset starten, auch wenn die Bereitstellung wiederholt wird.
Änderungsübersicht
| Schicht | Änderung |
|---|---|
| Backend DB-Migration | workspace_admin: tasks.view, reports.advanced zu allen bestehenden Workspace-Rollen hinzugefügt |
| Backend DB-Migration | workspace_member: tasks.delete-Überrecht aus allen bestehenden Workspace-Rollen entfernt |
| Backend DB-Migration | Unit-Rollen member und manager aus globalen Vorlagen in allen Units synchronisiert |
| Backend DB-Migration | WorkspaceMember.permissions denormalisiertes Array aus aktualisierten Workspace-Rollen neu synchronisiert |
Backend roleCopy.service.ts | Unit-Bereich Rollen- und Berechtigungskopie verwendet jetzt Upsert (idempotent) |
Backend syncPermissions.routes.ts | Neuer Admin-Endpunkt: POST /api/v1/admin/sync-permissions/units/:unitId |