| Info |
|---|
Grober Überblick über mögliche Einstellungen: Nutzerinformationen und Berechtigungen zuordnen + Nutzer werden in der Plattform erstellt, wie funktioniert das? |
...
Screenshot Default-Berechtigungen
| Anker | ||||
|---|---|---|---|---|
|
(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren
Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. An diesem Feld müssen Sie die Bezeichnung des Attributes, welches die Gruppen/ Rollen o.Ä. eines Nutzers in einer Nachricht Ihres Identity-Providers enthält, hinterlegen.
Screenshot Feld "Identity-Provider-Gruppen / -Rollen"
Um einer Nutzergruppe/ Rolle Ihres Identity-Providers explizit bestimmte Berechtigungen zuzuordnen müssen Sie zunächst eine neue Berechtigungszuordnung (Zeile) in der zu sehenden Tabelle hinzufügen. Dazu klicken Sie in der zu sehenden Tabelle auf das "+"-Symbol in der Kopfzeile der Tabelle.
Screenshot Tabelle mit Markierung des "+"-Symbols
In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertyp und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen und Bestätigung Ihrer Eingabe finden Sie weiter oben im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".
Falls Sie eine Berechtigungszuordnung entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das erschienene Radiergummi-Symbol.
Screenshot Tabelle mit Markierung des Radiergummi-Symbols
| Anker | ||||
|---|---|---|---|---|
|
...
Screenshot Markierung "+"- und Radiergummi-Symbol
Sobald Sie die gewünschten Einstellungen vorgenommen haben, können Sie den Bearbeitungsmodus per Klick auf das Stift-Symbol wieder verlassen.
Screenshot Tabelle mit markiertem Stift-Symbol
| Hinweis | ||||
|---|---|---|---|---|
| ||||
TODO: Soll-Verhalten der PPP ist noch nicht abschließend geklärt. |
...
| Tipp | ||
|---|---|---|
| ||
Falls Sie bereits bestehende Nutzerkonten in der PICTURE-Prozessplattform verwalten und nicht möchten, dass für diese Nutzer bei einem Login per Single-Sign-On (SSO) über SAML ein neues (zweites) Benutzerkonto angelegt wird, stellen Sie einfach sicher, dass der Nutzername der betroffenen Nutzerkonten mit der Name-ID desselben Nutzers in Ihrem Identity-Provider übereinstimmt. Nehmen Sie ggf. Änderungen vor falls dies nicht der Fall ist. Sobald Sie dies für alle Nutzerkonten sichergestellt haben, wird das bestehende Benutzerkonto bei einem Login des Nutzers per Single-Sign-On über SAML lediglich nach den unten beschriebenen Regeln aktualisiert, es wird aber kein neues (zweites) Benutzerkonto angelegt. |
Aktualisiert werden bestehende Nutzer immer dann, wenn diese sich bei einem erneuten Login per Single-Sign-On über SAML authentifizieren und die vom Identity-Provider übertragene Name-ID mit dem Nutzernamen des Nutzers übereinstimmt. Das heißt, dass geänderte Nutzerinformationen am Identity-Provider oder eine Änderungen der SAML-Konfiguration im Bezug auf die zu übernehmenden Nutzerinformationen und Berechtigungen, erst dann in Effekt treten.
...