Inhaltsverzeichnis 

...

Erstellung und Aktualisierung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On

Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden jeweils die vom Identity-Provider übertragenen und in der Prozessplattform konfigurierten Nutzerinformationen, sowie die, den vom Identity-Provider übertragenen Gruppen/ Rollen, zugeordneten Berechtigungen übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Der auf diese Art und Weise erstellte Nutzer existiert unabhängig vom Identity-Provider in der Prozessplattform.

...

Aktualisiert werden bestehende Nutzer immer dann, wenn diese sich bei einem erneuten Login per Single-Sign-On über SAML authentifizieren und die vom Identity-Provider übertragene Name-ID mit dem Nutzernamen des Nutzers übereinstimmt. Das heißt, dass geänderte Nutzerinformationen am Identity-Provider oder eine Änderungen der SAML-Konfiguration im Bezug auf die zu übernehmenden Nutzerinformationen und Berechtigungen, erst dann in Effekt treten. 

Bei der Aktualisierung der "einfachen" Nutzerinformationen eines Nutzers werden, die in der Prozessplattform hinterlegten Werte, immer mit den vom Identity-Provider erhaltenen Werten überschrieben. D.h., wenn für einen Nutzer in der Prozessplattform der Nachname "Meier" hinterlegt ist und sich dieser Nutzer nun per Single-Sign-On authentifiziert und der Identity-Provider als Nachnamen "Müller" überträgt, wird der Nachname des Nutzers in der Plattform automatisch auf den Wert "Müller" geändert.

...

Inhaltsverzeichnis 

...

Zuordnungen von Berechtigungen bearbeiten

Nutzertyp für eine Berechtigungszuordnung festlegen + Besonderheit Nutzertyp "keine Lizenz" und "Admin"

Gruppenmitgliedschaften für eine Berechtigungszuordnung festlegen (Hinzufügen + Entfernen)

(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren

Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. An diesem Feld müssen Sie die Bezeichnung des Attributes, welches die Gruppen/ Rollen o.Ä. eines Nutzers in einer Nachricht Ihres Identity-Providers enthält, hinterlegen. 

Screenshot  Feld "Identity-Provider-Gruppen / -Rollen"

Um einer Nutzergruppe/ Rolle Ihres Identity-Providers explizit bestimmte Berechtigungen zuzuordnen müssen Sie zunächst eine neue Berechtigungszuordnung (Zeile) in der zu sehenden Tabelle hinzufügen. Dazu klicken Sie in der zu sehenden Tabelle auf das "+"-Symbol in der Kopfzeile der Tabelle. 

Screenshot Tabelle mit Markierung des "+"-Symbols

In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertyp und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen und Bestätigung Ihrer Eingabe finden Sie weiter oben im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".

Falls Sie eine Berechtigungszuordnung entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das erschienene Radiergummi-Symbol.

Screenshot Tabelle mit Markierung des Radiergummi-Symbols

Erstellung und Aktualisierung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On

Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden jeweils die vom Identity-Provider übertragenen und in der Prozessplattform konfigurierten Nutzerinformationen, sowie die, den vom Identity-Provider übertragenen Gruppen/ Rollen, zugeordneten Berechtigungen übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Der auf diese Art und Weise erstellte Nutzer existiert unabhängig vom Identity-Provider in der Prozessplattform.

Aktualisiert werden bestehende Nutzer immer dann, wenn diese sich bei einem erneuten Login per Single-Sign-On über SAML authentifizieren und die vom Identity-Provider übertragene Name-ID mit dem Nutzernamen des Nutzers übereinstimmt. Das heißt, dass geänderte Nutzerinformationen am Identity-Provider oder eine Änderungen der SAML-Konfiguration im Bezug auf die zu übernehmenden Nutzerinformationen und Berechtigungen, erst dann in Effekt treten. 

Bei der Aktualisierung der "einfachen" Nutzerinformationen eines Nutzers werden, die in der Prozessplattform hinterlegten Werte, immer mit den vom Identity-Provider erhaltenen Werten überschrieben. D.h., wenn für einen Nutzer in der Prozessplattform der Nachname "Meier" hinterlegt ist und sich dieser Nutzer nun per Single-Sign-On authentifiziert und der Identity-Provider als Nachnamen "Müller" überträgt, wird der Nachname des Nutzers in der Plattform automatisch auf den Wert "Müller" geändert.

Bei der Aktualisierung von Prozessplattform-Berechtigungen eines Nutzers werden niemals bestehende Rechte entzogen, es werden nur zusätzliche Berechtigungen hinzugefügt, falls sich die Gruppe/ Rolle des Nutzers bei dem Identity-Provider oder die Berechtigungszuordnungen in der Prozessplattform geändert haben.
D.h., wenn ein Nutzer in der Prozessplattform den Nutzertyp "Betrachter" hat und sich dieser Nutzer nun per Single-Sign-On authentifiziert und der Identity-Provider eine Gruppe für den Nutzer überträgt, welcher der Nutzertyp "Modellierer" zugeordnet ist, wird der Nutzertyp des Nutzers zu "Modellierer" geändert. Wenn dies aber genau umgekehrt wäre, d.h. der Nutzer hat bereits den Nutzertyp "Modellierer" und über die Berechtigungszuordnung wird "Betrachter" festgelegt, behält der Nutzer weiterhin den Nutzertyp "Modellierer".
Wenn ein Nutzer in der Prozessplattform Mitglied in den Gruppen "Content-Redakteure" und "Konfiguratoren" ist und sich dieser Nutzer nun per Single-Sign-On authentifiziert und der Identity-Provider eine Gruppe für den Nutzer überträgt, welcher die Gruppen "Content-Redakteure" und "Demo-Nutzer" zugeordnet ist, werden die Gruppenmitgliedschaften des Nutzer zu" "Content-Redakteure" und "Konfiguratoren" und "Demo-Nutzer" geändert. Die Gruppen "Demo-Nutzer" wurde hinzugefügt, aber die Gruppe "Konfiguratoren" wurde nicht entfernt.