| Info |
|---|
Grober Überblick über mögliche Einstellungen: Nutzerinformationen und Berechtigungen zuordnen |
...
| Inhalt | ||
|---|---|---|
|
| Anker | ||||
|---|---|---|---|---|
|
Erstellung und Aktualisierung eines Prozessplattform-Nutzers bei einem Login über SSO
Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden jeweils die vom Identity-Provider übertragenen und in der Prozessplattform konfigurierten Nutzerinformationen, sowie die, den vom Identity-Provider übertragenen Gruppen/ Rollen, zugeordneten Berechtigungen übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Der auf diese Art und Weise erstellte Nutzer existiert unabhängig vom Identity-Provider in der Prozessplattform.
| Tipp | ||
|---|---|---|
| ||
Akualisiert werden bestehende Nutzerinformationen in der PPP erst beim erneuten Login des Nutzers. Das heißt unter anderem auch, dass geänderte Nutzerinformationen am IdP oder eine Änderungen der SAML-Konfiguration, erst dann in Effekt treten.
| Anker | ||||
|---|---|---|---|---|
|
Nutzerinformationen vom Identity-Provider übernehmen
...
Werden einzelne Informationen zu Nutzerkonten in ihrem Identity-Provider nicht gepflegt, dann kann das entsprechende Feld in der PPP einfach unausgefüllt gelassen werden. In diesem Fall bleibt die entsprechende Information in der PPP leer.
| Anker | ||||
|---|---|---|---|---|
|
Automatische Zuweisung von Berechtigungen für SAML authentifizierte Nutzer
...
Zuordnungen von Berechtigungen bearbeiten
Nutzertyp für eine Berechtigungszuordnung festlegen + Besonderheit Nutzertyp "keine Lizenz" und "Admin"
Gruppenmitgliedschaften für eine Berechtigungszuordnung festlegen (Hinzufügen + Entfernen)
| Hinweis | ||||
|---|---|---|---|---|
| ||||
Anker explizit explizit
(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren
Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. An diesem Feld müssen Sie die Bezeichnung des Attributes, welches die Gruppen/ Rollen o.Ä. eines Nutzers in einer Nachricht Ihres Identity-Providers enthält, hinterlegen.
Screenshot Feld "Identity-Provider-Gruppen / -Rollen"
Um einer Nutzergruppe/ Rolle Ihres Identity-Providers explizit bestimmte Berechtigungen zuzuordnen müssen Sie zunächst eine neue Berechtigungszuordnung (Zeile) in der zu sehenden Tabelle hinzufügen. Dazu klicken Sie in der zu sehenden Tabelle auf das "+"-Symbol in der Kopfzeile der Tabelle.
Screenshot Tabelle mit Markierung des "+"-Symbols
In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertyp und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen und Bestätigung Ihrer Eingabe finden Sie weiter oben im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".
Falls Sie eine Berechtigungszuordnung entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das erschienene Radiergummi-Symbol.
Screenshot Tabelle mit Markierung des Radiergummi-SymbolsAnker
Aktualisierung eines Prozessplattform-Nutzers bei einem Login über SSO
Sobald sich ein Nutzer das erste Mal per SAML in der PPP einloggt, wird ein neues Konto anhand der aktuellen Konfiguration angelegt und unabhängig vom IdP in der Datenbank der PPP abgespeichert.
Akualisiert werden bestehende Nutzerinformationen in der PPP erst beim erneuten Login des Nutzers. Das heißt unter anderem auch, dass geänderte Nutzerinformationen am IdP oder eine Änderungen der SAML-Konfiguration, erst dann in Effekt treten.