Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.


Info

Sie möchten den Nutzern Ihrer PICTURE-Prozessplattform den Komfort bieten, sich bei Ihrer täglichen Arbeit über ein bereits von Ihnen genutztes Drittsystem in die Prozessplattform einzuloggen, ohne sich zusätzliche Zugangsdaten für die Prozessplattform merken zu müssen und nutzen bereits ein solches Drittsystem welches als (SAML-) Identity-Provider fungieren kann? Dann informieren Sie sich im Folgenden, wie Sie Ihren Identity-Provider auch zur Authentifizierung bei der PICTURE-Prozessplattform nutzen können.

Inhaltsverzeichnis

Inhalt
excludeInhaltsverzeichnis

...

Die SAML-Schnittstelle ermöglicht es Ihnen für Ihre PICTURE-Prozessplattform eine Single-Sign-On-Funktionalität zu aktivieren. Dabei Authentifizieren sich Nutzer der Prozessplattform gegen ein Drittsystem (einen sogenannten Identity-Provider), d.h. Anwender, die ein Benutzerkonto bei dem Identity-Provider haben, können sich ganz einfach über dessen Login-Mechanismus einloggen, um die Prozessplattform zu nutzen. Die Anwender müssen sich dadurch bei Ihrerer täglichen Arbeit ggf. nur in einem einzigen System, dem Identity-Provider, anmelden. Ein zusätzlicher Login in der Prozessplattform würde entfallen. Daraus ergibt sich, dass die Anwender sich keine neuen Zugangsdaten speziell für die Prozessplattform merken müssen. Für Administratoren Ihrer Prozessplattform entfällt außerdem die zusätzliche Arbeit, die mit der manuellen Pflege "doppelter" Benutzerkonten verbunden ist (z.B. Zugangsdaten verteilen, vergessene Passwörter zurücksetzen etc.). 

Außerdem bietet die SAML-Schnittstelle eine Single-Sign-Out-Funktionalität, d.h. Anwender, die per Single-Sign-On eingeloggt sind können sich durch einen Logout aus der Prozessplattform automatisch auch bei dem genutzten Identity-Provider abmelden. Umgekehrt ist dies genauso möglich, d.h. bei einem Logout aus dem Identity-Provider kann der jeweilige Anwender automatisch auch vom Identity-Provider ausgeloggt aus der Prozessplattform ausgeloggt werden.

Die flexiblen Mechanismen zur Steuerung der Zugriffsberechtigungen auf die Inhalte der Prozessplattform (z.B. funktionale Rechte und Rollen, Zugriffsrechte auf Ordner und Sichten) stehen auch bei Nutzung der SAML-Schnittstelle weiterhin zur Verfügung. Der Administrationsaufwand hinsichtlich der Zugriffsberechtigungen lässt sich durch eine optionale Zuordnung von Identity-Provider-Gruppen, Rollen o.Ä. zu Prozessplattform-Berechtigungen (Nutzertyp und Gruppen-Mitgliedschaften) weiterhin auf ein Minimum reduzieren.

Was ändert sich in der Nutzerverwaltung der PICTURE-Prozessplattform, wenn die SAML-Schnittstelle aktiviert ist?

  • Bei aktivierter SAML-Schnittstelle müssen Sie keine Benutzerkonten mehr manuell in der PPP anlegen. Diese werden automatisch beim ersten Single-Sign-On-Login eines Anwenders erstellt (vorausgesetzt der Anwender gehört einer Gruppe/ Rolle Ihres Identity-Providers an, welcher in der Schnittstellenkonfiguration Prozessplattform-Berechtigungen zugeordnet sind). 
    Bei den automatisch angelegten Benutzerkonten handelt es sich dabei um sogenannte Schattennutzer. Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.). 
  • Der Nutzername der o.g. Schattennutzer entspricht immer der Name-Id des Nutzers bei dem Identity-Provider. Erhaltene Daten vom Identity-Provider werden daher über die Name-Id bzw. den Benutzernamen einem Schattennutzer zugeordnet.
  • Die Stammdaten der o.g. Schattennutzer (Vorname, Nachname, akademischer Titel, E-Mail-Adresse etc.) werden beim Erstlogin per Single-Sign-On vom Identity-Provider übernommen. In der Schnittstellen-Konfiguration können Sie die vom Identity-Provider übertragenen Nutzerinformationen den entsprechenden Prozessplattform-Nutzerinformationen zuordnen.
  • Bei allen weiteren Single-Sign-On-Logins eines Schattennutzers werden die o.g. Nutzerinformationen immer mit den vom Identity-Provider erhaltenen Daten überschrieben.
  • Die Prozessplattform-Berechtigungen der Schattennutzer werden beim Erstlogin per Single-Sign-On entsprechend der Gruppe/ -Rolle des Anwenders bei dem Identity-Provider übernommen. In der Schnittstellenkonfiguration können Sie einer Identity-Provider-Gruppe/ -Rolle einen Prozessplattform-Nutzertyp ("Administrator", "Betrachter", etc.) und beliebig viele Prozessplattform-Gruppen zuordnen.
  • Bei allen weiteren Single-Sign-On-Logins eines Schattennutzers werden die Prozessplattform-Berechtigungen aktualisiert. Dabei werden niemals bestehende Rechte entzogen, es werden nur zusätzliche Berechtigungen hinzugefügt, falls sich die Gruppe/ Rolle des Schattennutzers bei dem Identity-Provider oder die Berechtigungszuordnungen in der Prozessplattform geändert haben.
  • Für die Schattennutzer wird kein Passwort in der Datenbank der Prozessplattform gespeichert, d.h. sofern Sie den Schattennutzern über die bekannten Funktionen der Nutzerverwaltung kein Passwort zuweisen, können sich diese ausschließlich per Single-Sign-On bei der Prozessplattform authentifizieren.
  • Als Administrator stehen Ihnen in der Nutzerverwaltung weiterhin alle bekannten Funktionen für Schattennutzer zur Verfügung (Stammdaten eines Nutzers ändern, Passwort zurücksetzen etc).
  • Schattennutzer selber können sowohl Ihre Nutzerinformationen (Anrede, Nachname, etc) als auch Ihr Passwort in der Prozessplattform nicht mehr ändern, sobald Sie sich per Single-Sign-On eingeloggt haben.
  • Schattennutzer können die "Passwort vergessen"-Funktion der Prozessplattform nicht nutzen.

Wie kann die Schnittstelle aktiviert und konfiguriert werden?

...