Info |
---|
Sie möchten den Nutzern Ihrer PICTURE-Prozessplattform den Komfort bieten, sich bei Ihrer täglichen Arbeit über ein bereits von Ihnen genutztes Drittsystem in die Prozessplattform einzuloggen, ohne sich zusätzliche Zugangsdaten für die Prozessplattform merken zu müssen und nutzen bereits ein solches Drittsystem welches als (SAML-) Identity-Provider fungieren kann? Dann informieren Sie sich im Folgenden, wie Sie Ihren Identity-Provider auch zur Authentifizierung bei der PICTURE-Prozessplattform nutzen können. |
Inhaltsverzeichnis
Inhalt | ||
---|---|---|
|
...
Die SAML-Schnittstelle ermöglicht es Ihnen für Ihre PICTURE-Prozessplattform Single-Sign-On-Funktionalität zu aktivieren. Dabei authentifizieren sich Nutzer der Prozessplattform gegen ein Drittsystem (einen sogenannten Identity-Provider), d.h. Anwender, die ein Benutzerkonto bei dem Identity-Provider haben, können sich ganz einfach über dessen Login-Mechanismus einloggen, um die Prozessplattform zu nutzen. Die Anwender müssen sich dadurch bei Ihrer täglichen Arbeit ggf. nur in einem einzigen System, dem Identity-Provider, anmelden. Ein zusätzlicher Login in die Prozessplattform entfällt. Daraus resultiert, dass die Anwender sich keine zusätzlichen Zugangsdaten speziell für die Prozessplattform merken müssen. Für Administratoren Ihrer Prozessplattform entfällt außerdem die zusätzliche Arbeit, die mit der manuellen Pflege "doppelter" Benutzerkonten verbunden ist (z.B. Zugangsdaten verteilen, vergessene Passwörter zurücksetzen etc.).
Außerdem bietet die SAML-Schnittstelle eine Single-Sign-Out-Funktionalität, d.h. Anwender, die per Single-Sign-On eingeloggt sind können sich durch einen Logout aus der Prozessplattform automatisch auch bei dem genutzten Identity-Provider abmelden. Umgekehrt ist dies genauso möglich, d.h. bei einem Logout aus dem Identity-Provider kann der jeweilige Anwender automatisch auch aus der Prozessplattform ausgeloggt werden.
Die flexiblen Mechanismen zur Steuerung der Zugriffsberechtigungen auf die Inhalte der Prozessplattform (z.B. funktionale Rechte und Rollen, Zugriffsrechte auf Ordner und Sichten) stehen auch bei Nutzung der SAML-Schnittstelle weiterhin zur Verfügung. Der Administrationsaufwand hinsichtlich der Zugriffsberechtigungen lässt sich durch eine optionale Zuordnung von Identity-Provider-Gruppen, Rollen o.Ä. zu Prozessplattform-Berechtigungen (Nutzertyp und Gruppen-Mitgliedschaften) weiterhin auf ein Minimum reduzieren.
Was ändert sich in der Nutzerverwaltung der PICTURE-Prozessplattform, wenn die SAML-Schnittstelle aktiviert ist?
- Bei aktivierter SAML-Schnittstelle müssen Sie keine Benutzerkonten mehr manuell in der PPP anlegen. Diese werden automatisch beim ersten Single-Sign-On-Login eines Anwenders erstellt (vorausgesetzt der Anwender gehört einer Gruppe/ Rolle Ihres Identity-Providers an, welcher in der Schnittstellenkonfiguration Prozessplattform-Berechtigungen zugeordnet sind).
Bei den automatisch angelegten Benutzerkonten handelt es sich dabei um sogenannte Schattennutzer. Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform über einen Nutzer benötigt und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.). - Der Nutzername der o.g. Schattennutzer entspricht immer der Name-Id des Nutzers bei dem Identity-Provider. Erhaltene Informationen vom Identity-Provider über einen Nutzer werden über die Name-Id bzw. den Benutzernamen einem Schattennutzer zugeordnet.
- Die Stammdaten der o.g. Schattennutzer (Vorname, Nachname, akademischer Titel, E-Mail-Adresse etc.) werden beim Erstlogin per Single-Sign-On vom Identity-Provider übernommen. In der Schnittstellen-Konfiguration können Sie die vom Identity-Provider übertragenen Nutzerinformationen den entsprechenden Prozessplattform-Nutzerinformationen zuordnen.
- Bei jedem darauf folgenden Login eines Anwenders über Single-Sign-On werden die o.g. Nutzerinformationen am Schattennutzer immer mit den aktuellsten vom Identity-Provider erhaltenen Daten überschrieben.
- Die Prozessplattform-Berechtigungen der Schattennutzer werden beim Erstlogin per Single-Sign-On entsprechend der Gruppe bzw. Rolle des Anwenders im Identity-Provider übernommen. In der Schnittstellenkonfiguration können Sie einer Identity-Provider-Gruppe/ -Rolle einen Prozessplattform-Nutzertypen ("Administrator", "Betrachter", etc.) und beliebig viele Prozessplattform-Gruppen-Zugehörigkeiten zuordnen.
- Bei allen weiteren Logins eines Schattennutzers werden die Prozessplattform-Berechtigungen auf die folgende Art und Weise aktualisiert: Bereits bestehende Rechte werden niemals entzogen. Zusätzliche Berechtigungen werden hinzugefügt, falls einem Schattennutzer aufgrund einer angepassten SAML-Konfiguration in der Prozessplattform oder einer Änderung der Gruppe/ Rolle beim Identity-Provider andere bzw. mehr Rechte zustehen.
- Für die Schattennutzer wird kein Passwort in der Datenbank der Prozessplattform angelegt, d.h. sofern Sie den Schattennutzern über die bekannten Funktionen der Nutzerverwaltung kein gesondertes Passwort zuweisen, können sich diese ausschließlich per Single-Sign-On bei der Prozessplattform authentifizieren.
- Als Administrator stehen Ihnen in der Nutzerverwaltung weiterhin alle bekannten Funktionen für Schattennutzer zur Verfügung (Stammdaten eines Nutzers ändern, Passwort zurücksetzen etc).
- Schattennutzer selber können sowohl Ihre vom Identity-Provider übernommenen Nutzerinformationen (Anrede, Nachname, etc) als auch Ihr Passwort in der Prozessplattform nicht mehr ändern, sobald Sie sich per Single-Sign-On eingeloggt haben.
- Schattennutzer können die "Passwort vergessen"-Funktion der Prozessplattform nicht nutzen.
Wie kann die Schnittstelle aktiviert und konfiguriert werden?
...