Versionen im Vergleich

Version Alte Version 43 Neue Version 44
Änderungen wurden vorgenommen von

Former user

Former user

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.


Info

Grober Überblick über mögliche Einstellungen: Nutzerinformationen und Berechtigungen zuordnen + Nutzer werden in der Plattform erstellt, wie funktioniert das?

Inhaltsverzeichnis 

Inhalt
excludeInhaltsverzeichnis

Anker
nutzerinformationen
nutzerinformationen

Nutzerinformationen vom Identity-Provider übernehmen

Aus welchem Grund müssen Nutzerkonten in der PPP persitiert werden?

Welche Nutzerinformationen kann die PPP vom IdP übernehmen?

Folgende Nutzerinformationen kann die PICTURE-Prozessplattform von Ihrem Identity-Provider (IdP) übernehmen:

Email-AdresseDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als E-Mail hinterlegt.
(optional) AnredeDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Anrede hinterlegt.
(optional) Akademischer TitelDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Akademischer Titel hinterlegt.
(optional) VornameDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Vorname hinterlegt.
(optional) NachnameDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Nachname hinterlegt.
(optional) AbteilungDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Abteilung hinterlegt.

Wie muss ich die PPP konfigurieren, damit die von mir gewünschten Informationen in der PPP sichtbar sind?

Um die gewünschten Nutzer-Informationen aus ihrem Identity-Provider in die PICTURE-Prozessplattform zu übernehmen, tragen Sie in der SAML-Konfiguration der PPP jeweils die Bezeichnung für das Attribut ein, dessen Wert übernommen werden soll.
Wie die jeweiligen Bezeichnungen lauten erfahren Sie in den Einstellungen, die Sie an ihrem IdP vorgenommen haben.

...

Anker
berechtigungen
berechtigungen

Automatische Zuweisung von Berechtigungen für SAML authentifizierte Nutzer

Über die SAML-Konfiguration haben Sie die Möglichkeit neben den oben beschriebenen einfachen Nutzerinformationen auch PICTURE-Prozessplattform-Berechtigungen zu den per SAML authentifizierten Nutzern zuzuordnen. Die Berechtigungen werden in Form eines Nutzertyps und beliebig vielen Gruppenmitgliedschaften abgebildet. Die Zuordnung der Nutzer zu den Berechtigungen wird über die Gruppe/ Rolle o.Ä., welche die jeweiligen Nutzer in dem von Ihnen genutzten Identity-Provider haben, vorgenommen.

Screenshot Abschnitt "Zuordnung von PPP-Berechtigungen"

Pflichteinstellungen

Um die erstellte SAML-Konfiguration erfolgreich in Betrieb nehmen zu können, müssen Sie mindestens die Default-Berechtigungen in der zu sehenden Tabelle ausfüllen. Die Default-Berechtigungen werden in Form eines Nutzertyps und beliebig vielen Gruppenmitgliedschaften abgebildet. Wie Sie die Default-Berechtigungen bearbeiten können erfahren Sie im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".

...

Screenshot Default-Berechtigungen

Anker
explizit
explizit

(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren

Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. An diesem Feld müssen Sie die Bezeichnung des Attributes, welches die Gruppen/ Rollen o.Ä. eines Nutzers in einer Nachricht Ihres Identity-Providers enthält, hinterlegen. 

Screenshot  Feld "Identity-Provider-Gruppen / -Rollen"

Um einer Nutzergruppe/ Rolle Ihres Identity-Providers explizit bestimmte Berechtigungen zuzuordnen müssen Sie zunächst eine neue Berechtigungszuordnung (Zeile) in der zu sehenden Tabelle hinzufügen. Dazu klicken Sie in der zu sehenden Tabelle auf das "+"-Symbol in der Kopfzeile der Tabelle. 

Screenshot Tabelle mit Markierung des "+"-Symbols

In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Sie Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertyp und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen und Bestätigung Ihrer Eingabe finden Sie im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".

Falls Sie eine Berechtigungszuordnung entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das erschienene Radiergummi-Symbol.

Screenshot Tabelle mit Markierung des Radiergummi-Symbols

Anker
bearbeiten
bearbeiten

Zuordnungen von Berechtigungen bearbeiten

Um eine bestehende Zuordnung von Berechtigungen zu bearbeiten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie auf das Stift-Symbol. Falls Sie die Default-Berechtigungen ausgewählt haben können Sie nun den gewünschten Nutzertyp sowie die gewünschten Gruppen zuordnen. Falls Sie eine explizite Zuordnung von Berechtigungen ausgewählt haben können Sie zusätzlich noch die Gruppe/ Rolle des Identity-Providers angeben, für die die angegebenen Berechtigungen gelten sollen.

...

Screenshot Markierung "+"- und Radiergummi-Symbol 

Sobald Sie die gewünschten Einstellungen vorgenommen haben, können Sie den Bearbeitungsmodus per Klick auf das Stift-Symbol wieder verlassen.

Screenshot Tabelle mit markiertem Stift-Symbol

Hinweis
iconfalse
titleWas passiert, wenn eine zugeordnete Gruppe gelöscht wird?

TODO: Soll-Verhalten der PPP ist noch nicht abschließend geklärt.

Anker
aktualisierung
aktualisierung

Erstellung und Aktualisierung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On

Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden jeweils die vom Identity-Provider übertragenen und in der Prozessplattform konfigurierten Nutzerinformationen, sowie die, den vom Identity-Provider übertragenen Gruppen/ Rollen, zugeordneten Berechtigungen übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Der auf diese Art und Weise erstellte Nutzer existiert unabhängig vom Identity-Provider in der Prozessplattform.

...