Versionen im Vergleich

Version Alte Version 74 Neue Version 75
Änderungen wurden vorgenommen von

Malte Stockmann

Malte Stockmann

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Kommentar: Version published after converting to the new editor


Hinweis
titleHinweis zum Pilotbetrieb

Zur Zeit befindet sich die Single-Sign-On-Funktion im Pilot-Betrieb bei ausgewählten Kunden, d.h. Single-Sign-On ist standardmäßig nicht in der PICTURE-Prozessplattform konfigurierbar. Falls Sie Single-Sign-On bereits jetzt nutzen möchten, bewerben Sie sich gerne für die Teilnahme am Pilot-Programm. Wenden Sie sich dazu über den /wiki/spaces/pppdoc300/pages/121045275 per E-Mail an support@picture-gmbh.de

...

Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden die vom Identity-Provider übertragenen Gruppen / Rollen bzw. Nutzerinformationen in der Prozessplattform 838828259 und die 838828259 übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Die auf diese Art und Weise erstellten Prozessplattform Nutzer heißen "Schattennutzer". Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.).

Tipp
titleWie verhindere ich, dass für bereits bestehende Nutzer ein neues Benutzerkonto bei einem Login per Single-Sign-On angelegt wird?

Falls Sie bereits bestehende Nutzerkonten in der PICTURE-Prozessplattform verwalten und möchten nicht, dass für diese Nutzer bei einem Login per Single-Sign-On über SAML ein neues (zweites) Benutzerkonto angelegt wird, stellen Sie sicher, dass der Nutzername der betroffenen Nutzerkonten mit der jeweiligen Name-ID desselben Nutzers in Ihrem Identity-Provider übereinstimmt. 

Sobald Sie dies für alle betroffenen Nutzerkonten sichergestellt bzw. angepasst haben, werden die bestehende Benutzerkonto bei dem Login eines Nutzers per Single-Sign-On über SAML lediglich nach den unten beschriebenen Regeln aktualisiert, es wird aber kein zusätzliches Benutzerkonto angelegt.

...

Tipp
titleWie kann ich sinnvolle Default-Berechtigungen festlegen?

Nutzen Sie folgende Fragen, um sinnvolle Default-Berechtigungen für Ihre Prozessplattform festlegen zu können:

  • Sollen alle Nutzer, die sich per Single-Sign-On in die Prozessplattform einloggen, dieselben Berechtigungen erhalten?
    (Falls Sie diese Frage mit "Ja" beantworten müssen Sie später keine expliziten Berechtigungszuordnungen hinzufügen)
  • Sollen Nutzer, denen (über deren Gruppe/ Rolle) keine expliziten Berechtigungen zugeordnet werden konnten, Zugriff auf die Prozessplattform erhalten? 
    (Wird der Nutzertyp "keine Lizenz" zugeordnet erhalten die oben genannten Nutzer keinen Zugriff auf die Prozessplattform)
  • Sind für alle Nutzer, bei denen die Default-Berechtigungen greifen sollen, genügend Lizenzen für den gewählten Nutzertyp verfügbar?
    (Alle verfügbaren Lizenzen werden im Verwaltungsbereich "Rechtliches und Datenschutz" aufgelistet)
  • Müssen ggf. neue Gruppen erstellt werden, um die gewünschten Berechtigungen abzubilden? Berücksichtigen Sie, dass eine Gruppe zugeordnet werden muss, wenn als Nutzertyp etwas anderes als "keine Lizenz" oder "Administrator" gewählt wird.

Falls Sie keine expliziten Zuordnungen von Prozessplattform-Berechtigungen konfigurieren möchten, müssen Sie für eine erfolgreiche Inbetriebnahme der Single-Sign-On-Konfiguration Zugriffsberechtigungen auf (mindestens) einen Arbeitsbereich über die Default-Berechtigungen festlegen, ansonsten ist ein Login per Single-Sign-On für keinen Anwender möglich. Zugriff auf mindestens einen Arbeitsbereich können Sie entweder über den Nutzertyp Administrator oder einen anderen Nutzertyp (Betrachter oder Modellierer) in Verbindung mit einer entsprechend konfigurierten Gruppe festlegen. Wie Sie die Default-Berechtigungen bearbeiten können erfahren Sie weiter unten im Abschnitt "838828259".

Anker
explizit
explizit

(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren

Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. Hinterlegen Sie an diesem Feld die Bezeichnung des Attributes aus dem Identity-Provider, welches die Rollen, Gruppen o.ä. eines Nutzers enthält. Die Zuordnung der Nutzer zu den Berechtigungen wird später über die Rollen bzw. Gruppenmitgliedschaften, der jeweiligen Nutzer im Identity-Provider besitzt, vorgenommen.

Um einer Nutzergruppe / Rolle Ihres Identity-Providers explizit bestimmte Berechtigungen zuzuordnen, müssen Sie zunächst eine neue Zeile in der zu sehenden Tabelle anlegen. Dazu klicken Sie auf den Knopf "Neue Berechtigungszuordnung hinzufügen" unterhalb der Tabelle.

Tipp
titleWie kann ich sinnvolle Berechtigungszuordnungen festlegen?

Nutzen Sie folgende Fragen, um sinnvolle Berechtigungszuordnungen für Ihre Prozessplattform festlegen zu können:

  • Sollen Nutzer, die Mitglieder der angegebenen Gruppe/Rolle sind, Zugriff auf die Prozessplattform erhalten? 
    (Wird der Nutzertyp "keine Lizenz" zugeordnet erhalten die betroffenen Nutzer keinen Zugriff auf die Prozessplattform)
  • Sollen Nutzer, die Mitglieder der angegebenen Gruppe/Rolle sind, Schreib- oder Lesezugriffe erhalten?
    (Nutzertyp Betrachter oder Modellierer/ Administrator?)
  • Sind genügend Lizenzen für den gewählten Nutzertyp verfügbar?
    (Alle verfügbaren Lizenzen werden im Verwaltungsbereich "Rechtliches und Datenschutz" aufgelistet)
  • Müssen ggf. neue Gruppen erstellt werden, um die gewünschten Berechtigungen abzubilden? Berücksichtigen Sie, dass eine Gruppe zugeordnet werden muss, wenn als Nutzertyp etwas anderes als "keine Lizenz" oder "Administrator" gewählt wird.

In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Sie Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertypen und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen finden Sie im Abschnitt "838828259".

Falls Sie eine hinzugefügte Berechtigungszuordnung wieder entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das Radiergummi-Symbol.

Anker
bearbeiten
bearbeiten

...

Gruppen können Sie hinzufügen, indem Sie die gewünschte Gruppe in der angezeigten Drop-Down-Box auswählen. Bestätigen Sie Ihre Eingabe über das "+"-Symbol. Falls Sie eine Gruppe wieder entfernen möchten, fahren Sie mit der Maus über die entsprechende Gruppe und klicken Sie auf das Radiergummi-Symbol.

Sobald Sie die gewünschten Einstellungen vorgenommen haben, können Sie den Bearbeitungsmodus per Klick auf das Stift-Symbol wieder verlassen.

Anker
Aktualisierung
Aktualisierung

Aktualisierung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On

...