...
Standardmäßig werden die aus den (IDP-)Gruppenmitgliedschaften abgeleiteten (PPP-)Gruppenmitgliedschaften zusätzlich zu den Berechtigungen erteilt, die dem Schattennutzer im Modul Nutzer- und Gruppenverwaltung der Prozessplattform regulär bereits zugewiesen wurden. Somit können Sie z.B. einem per SAML-Login automatisch angelegten Schattennutzer später manuell weitere individuell Berechtigungen zuweisen. Beim nächsten SAML-Login bleiben diese erhalten. Evtl. darüber hinausgehende Berechtigungen, die sich aus den o.g. Regeln zum Gruppen-Matching ergeben, werden zusätzlich beim nächsten Login automatisch erteilt.
Benutzer-Gruppen Berechtigungen vollständig synchronisieren
Wünschen Sie die vollständige Verwaltung der Benutzergruppen Berechtigungen über Ihren Identity-Provider, aktivieren Sie die OptionBenutzer-Gruppen Berechtigungen erzwingen.
Mit dieser Einstellung werden die Identity-Provider-Gruppen bzw. -Rollen bei jedem Login vollständig übernommen. Abweichende Gruppenmitgliedschaften und ggf. individuelle Berechtigungen, die
auf Grund vorangegangener SAML-Logins mit anderen Einstellungen und/oder auf Basis anderer IDP-Daten sowie ggf.
nach manuellen Anpassungen
für den Schattennutzer gespeichert waren, werden zuvor von der Schnittstelle automatisch gelöscht.
...
Sofern Sie die Einstellung “Benutzer-Gruppen “Berechtigungen erzwingen“ aktiviert haben, wird hierdurch das o.g. Standard-Verhalten übersteuert. In diesem Fall werden bei einem erfolgreichen SAML-Login zunächst die bestehenden Berechtigungen zurückgesetzt und anschließend die neuen Berechtigungen anhand der hinterlegten Regeln für das Gruppen-Mapping neu vergeben.
...