In einem vorherigen Blog habe ich beschrieben wie Rechte in SharePoint gezielt einem Benutzer per Flow zugeordnet werden können. In diesem Blog wird der Vorgang per Flow beschrieben, wie die Berechtigungen per Flow für eine Gruppe definiert werden können.
Die Ausgangslage ist die, dass einer Gruppe „Mitglieder“ die Standardrechte „Mitwirken“ entzogen werden und stattdessen sie die Rechte „Entwerfen“ erhält. Nachfolgend der hierfür notwendige Flow.
Um die Rechte explizit anpassen bzw. verändern zu können, ist es erforderlich zu verstehen, hinter welchen Berechtigungen sich welche etwas verschleierten ID Kennzahlen verbergen.
Die Berechtigungen werden wie folgt definiert:
| Rollendefinition | Rollendefinition Id |
| Full Control | 1073741829 |
| Design | 1073741828 |
| Edit | 1073741830 |
| Contribute | 1073741827 |
| Read | 1073741826 |
| View Only | 1073741924 |
| Limited Access | 1073741825 |
Des Weiteren ist noch wichtig zu wissen, dass die SharePoint Gruppen, ebenso IDs zugeordnet sind.
| SharePoint Gruppenname | ID |
| Besitzer | 3 |
| Mitglieder | 5 |
| Besucher | 4 |
Wie muss der Flow aufgebaut sein?
Nachfolgend ein mögliches Szenario, welches vorsieht, dass der Flow nach dem Erstellen oder Ändern eines Elements startet.
In diesem Beispiel gehen wir davon aus, dass der Trigger die Änderung, bzw. die Erstellung eines neuen Eintrags in einer Liste als Auslöser dient.
Die zwei darauffolgenden Aktionen als http Anforderung dienen dafür, um die geltenden Rechte zu entziehen, um daraufhin die neuen Rechte zu definieren.
1. Die erste http Anforderung (Rechte entziehen)
URI zum Kopieren: /_api/web/roleassignments/removeroleassignment(principalid=5,roledefid=1073741830)
Erläuterung:
API-Endpunkt
- /_api/web/roleassignments/removeroleassignment
Dieser Endpunkt dient dazu, eine Berechtigungszuweisung (Role Assignment) von einem Benutzer oder einer Gruppe (dem Principal) zu entfernen.
Er entzieht eine spezifische Rolle (z. B. "Vollzugriff", "Bearbeiten") für eine SharePoint-Entität (Website, Liste, Ordner usw.).
Parameter
1. principalid=5
- Zweck: Identifiziert den Benutzer oder die Gruppe, von dem die Rolle entfernt wird, in diesem Szenario die Gruppe „Mitglieder“
- Wert:
- 5 ist die ID des Principals (z. B. einer SharePoint-Gruppe oder eines Benutzers).
- Diese ID kann über /_api/web/sitegroups (Gruppen) oder /_api/web/siteusers (Benutzer) ermittelt werden.
2. roledefid=1073741830
- Zweck: Gibt die Rollen-Definition an, die entfernt werden soll.
- Wert:
- 1073741830 ist eine typische ID für die Rolle "Edit" (kann je nach SharePoint-Umgebung variieren).
2. Die zweite http Anforderung (Rechte definieren)
URI zum Kopieren:
/_api/web/roleassignments/addroleassignment(principalid=5, roledefid=1073741828)
Erläuterung:
API-Endpunkt
- /_api/web/roleassignments/addroleassignment
Dies ist der REST-API-Endpunkt von SharePoint, um einem Objekt (z. B. einer Website, Liste oder einem Element) eine Rollenzuweisung hinzuzufügen.
Parameter
- principalid=5
Der principalid-Parameter identifiziert den Benutzer oder die Gruppe, dem die Rolle zugewiesen wird. - Die ID 5 ist ein Beispiel und muss entsprechend angepasst werden, hier handelt es sich um die Gruppe Mitglieder.
- Diese ID kann über die SharePoint-API oder die Benutzeroberfläche ermittelt werden.
- roledefid=1073741830
Der roledefid-Parameter gibt die Rollen-Definition an, die zugewiesen wird (z. B. "Lesen", "Bearbeiten", "Vollzugriff"). - Die ID 1073741830 ist ein Beispiel und entspricht in Standard-SharePoint-Umgebungen oft der Rolle "Mitwirken".
Nachdem hier vorgestellte Flow durchgeführt worden ist, ergibt sich folgende Änderung:
Die Rechte der Gruppe „Mitglieder“ als Standard sind „Edit“, hier sehen wir diese bevor der Flow ausgeführt wurde.
Die Rechte der Gruppe „Mitglieder“ nach dem Flow, verändert auf „Design“
Viel Erfolg beim Umsetzen