| Info |
|---|
Grober Überblick über mögliche Einstellungen: Nutzerinformationen und Berechtigungen zuordnen + Nutzer werden in der Plattform erstellt, wie funktioniert das?Auf dieser Seite erfahren Sie, wie bei der Erstellung und Aktualisierung der Schattennutzer (Nutzer, die sich per Single-Sign-On in die Prozessplattform eingeloggt haben) vorgegangen wird. Außerdem wird auf dieser Seite erläutert, wie Sie sowohl Nutzerinfomationen als auch individuelle Prozessplattform-Berechtigungen für jeden erstellten Schattennutzer festlegen können. |
Inhaltsverzeichnis
| Inhalt | ||
|---|---|---|
|
| Anker | ||||
|---|---|---|---|---|
|
...
Erstellung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On
Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden jeweils die vom Identity-Provider
...
Aus welchem Grund müssen Nutzerkonten in der PPP persitiert werden?
Welche Nutzerinformationen kann die PPP vom IdP übernehmen?
Folgende Nutzerinformationen kann die PICTURE-Prozessplattform von Ihrem Identity-Provider (IdP) übernehmen:
...
übertragenen und in der Prozessplattform konfigurierten Nutzerinformationen, sowie die, den vom Identity-Provider übertragenen Gruppen/ Rollen, zugeordneten Berechtigungen übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Auf diese Art und Weise erstellten Prozessplattform Nutzer heißen "Schattennutzer". Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.).
| Tipp | ||
|---|---|---|
| ||
Falls Sie bereits bestehende Nutzerkonten in der PICTURE-Prozessplattform verwalten und nicht möchten, dass für diese Nutzer bei einem Login per Single-Sign-On über SAML ein neues (zweites) Benutzerkonto angelegt wird, stellen Sie einfach sicher, dass der Nutzername der betroffenen Nutzerkonten mit der Name-ID desselben Nutzers in Ihrem Identity-Provider übereinstimmt. Sobald Sie dies für alle betroffenen Nutzerkonten sichergestellt haben, werden die bestehende Benutzerkonto bei dem Login eines Nutzers per Single-Sign-On über SAML lediglich nach den unten beschriebenen Regeln aktualisiert, es wird aber kein neues (zweites) Benutzerkonto angelegt. |
Nutzerinformationen vom Identity-Provider übernehmen
Screenshot Nutzerinformationen
Über die oben markierten Eingabefelder haben Sie die Möglichkeit die folgenden Nutzerinformationen eines Schattennutzers automatisch vom Identity-Provider zu übernehmen:
- E-Mail-Adresse
- Anrede
- Akademischer Titel
- Vorname
- Nachname
- Abteilung
| Hinweis | ||||
|---|---|---|---|---|
| ||||
Bitte berücksichtigen Sie, dass die E-Mail-Adresse eine Pflichtangabe in der Prozessplattform ist und daher zwangsweise einem Identity-Provider-Attribut zugeordnet werden muss, welches eine E-Mail-Adresse enthält. Falls einem Schattennutzer bei seiner Erstellung keine E-Mail-Adresse zugeordnet werden kann, kann dieser Nutzer nicht angelegt werden und sich somit nicht in die Prozessplattform einloggen. |
Um die gewünschten Nutzer-Informationen aus ihrem Identity-Provider in die PICTURE-Prozessplattform zu übernehmen, tragen Sie in der SAML-Konfiguration der PPP jeweils die Bezeichnung für das Attribut ein, dessen Wert für die jeweilige Nutzerinformation übernommen werden soll.
Wie die jeweiligen Bezeichnungen lauten erfahren Sie in den Einstellungen, die Sie an ihrem IdP vorgenommen haben.
TODO Bild mit Beispiel einfügen
TODO Recherchieren ob die Einstellungen bei allen IdPs jeweils für ein SP vorgenommen werden können oder ob es auch IdPs mit globale Konfigurationen gibt
Werden einzelne Informationen zu Nutzerkonten in ihrem Identity-Provider nicht gepflegt, dann kann das entsprechende Feld in der PPP einfach unausgefüllt gelassen werden. In diesem Fall bleibt die entsprechende Information in der PPP leerDie einzutragenden Bezeichnungen können Sie Ihrem Identity-Provider entnehmen. Falls Sie einzelne Nutzerinformationen nicht vom Identity-Provider übernehmen möchten oder können (z.B. falls diese dort nicht gepflegt werden) können Sie das entsprechende Eingabefeld einfach leer lassen.
| Anker | ||||
|---|---|---|---|---|
|
Automatische Zuweisung von Berechtigungen für SAML authentifizierte Nutzer
Screenshot Abschnitt "Zuordnung von PPP-Berechtigungen"
Über die SAML-Konfiguration das oben markierte Eingabefeld und die zugehörige Tabelle haben Sie die Möglichkeit neben den oben beschriebenen einfachen Nutzerinformationen auch PICTURE-Prozessplattform-Berechtigungen zu den per SAML authentifizierten Nutzern Schattennutzern zuzuordnen. Die Berechtigungen werden in Form eines Nutzertyps und beliebig vielen Gruppenmitgliedschaften abgebildet. Die Zuordnung der Nutzer zu den Berechtigungen wird über die Gruppe/ Rolle o.Ä., welche die jeweiligen Nutzer in dem von Ihnen genutzten Identity-Provider haben, vorgenommen.
Pflichteinstellungen
Screenshot Abschnitt "Zuordnung von PPPDefault-Berechtigungen"
Pflichteinstellungen
Um die erstellte SAML-Konfiguration erfolgreich in Betrieb nehmen zu können, müssen Sie mindestens die Default-Berechtigungen in der zu sehenden Tabelle ausfüllen. Die Default-Berechtigungen werden in Form eines Nutzertyps und beliebig vielen Gruppenmitgliedschaften abgebildet. Wie Sie die Default-Berechtigungen bearbeiten können erfahren Sie im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".
| Hinweis | ||||
|---|---|---|---|---|
| ||||
Die Default-Berechtigungen werden bei dem Anlegen oder der Aktualisierung eines Prozessplattform-Nutzers immer dann angewandt, wenn der PICTURE-Prozessplattform bei dem Login des Nutzers keine Identity-Provider-Gruppe / -Rolle bekannt gemacht wird oder zu der Identity-Provider-Gruppe / -Rolle des Nutzers keine explizite Zuordnung von Prozessplattform-Berechtigungen konfiguriert wurde. Bei der Aktualisierung eines Nutzers wird wie im Abschnitt "Aktualisierung eines Prozessplattform-Nutzer bei einem Login über SSO" beschrieben vorgegangen. Es werden keine zuvor für den Nutzer festgelegten Berechtigungen entfernt. Ggf. werden allerdings neue Berechtigungen hinzugefügt. |
...
|
| Anker | ||||
|---|---|---|---|---|
|
(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren
Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. An diesem Feld müssen Sie die Bezeichnung des Attributes, welches die Gruppen/ Rollen o.Ä. eines Nutzers in einer Nachricht Ihres Identity-Providers enthält, hinterlegen.
Screenshot Feld "Identity-Provider-Gruppen / -Rollen"
Um einer Nutzergruppe / Rolle Ihres Identity-Providers explizit bestimmte Berechtigungen zuzuordnen müssen Sie zunächst eine neue Berechtigungszuordnung (Zeile) in der zu sehenden Tabelle hinzufügen. Dazu klicken Sie auf den Knopf "Neue Berechtigungszuordnung hinzufügen" unterhalb der Tabelle.
Screenshot Knopf "Neue Berechtigungszuordnung hinzufügen"
In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Sie Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertyp und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen und Bestätigung Ihrer Eingabe finden Sie im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".
Falls Sie eine Berechtigungszuordnung entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das erschienene Radiergummi-Symbol.
Screenshot Tabelle mit Markierung des Radiergummi-Symbols
| Anker | ||||
|---|---|---|---|---|
|
...
Screenshot Markierung "+"- und Radiergummi-Symbol
Sobald Sie die gewünschten Einstellungen vorgenommen haben, können Sie den Bearbeitungsmodus per Klick auf das Stift-Symbol wieder verlassen.
Screenshot Tabelle mit markiertem Stift-Symbol
...
...
TODO: Soll-Verhalten der PPP ist noch nicht abschließend geklärt.
...
Aktualisierung eines Prozessplattform-Nutzers
...
Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden jeweils die vom Identity-Provider übertragenen und in der Prozessplattform konfigurierten Nutzerinformationen, sowie die, den vom Identity-Provider übertragenen Gruppen/ Rollen, zugeordneten Berechtigungen übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Der auf diese Art und Weise erstellte Nutzer existiert unabhängig vom Identity-Provider in der Prozessplattform.
...
| title | Wie verhindere ich, dass für bereits bestehende Nutzer ein neues Benutzerkonto bei einem Login per Single-Sign-On angelegt wird? |
|---|
...
bei einem Login
...
über
...
Single-Sign-On
...
Aktualisiert werden bestehende Nutzer Schattennutzer immer dann, wenn diese sich bei einem erneuten Login per Single-Sign-On über SAML authentifizieren und die vom Identity-Provider übertragene Name-ID mit dem Nutzernamen des Nutzers Schattennutzers übereinstimmt. Das heißt, dass geänderte Nutzerinformationen am Identity-Provider oder eine Änderungen der SAML-Konfiguration im Bezug auf die zu übernehmenden Nutzerinformationen und Berechtigungen, erst dann in Effekt treten.
Bei der Aktualisierung der "einfachen" Nutzerinformationen eines Nutzers Schattennutzers werden, die in der Prozessplattform hinterlegten Werte, immer mit den vom Identity-Provider erhaltenen Werten überschrieben. D.h., wenn für einen Nutzer Schattennutzer in der Prozessplattform der Nachname "Meier" hinterlegt ist und sich dieser Nutzer Schattennutzer nun per Single-Sign-On authentifiziert und der Identity-Provider als Nachnamen "Müller" überträgt, wird der Nachname des Nutzers Schattennutzers in der Plattform automatisch auf den Wert "Müller" geändert.
Bei der Aktualisierung von Prozessplattform-Berechtigungen eines Nutzers eines Schattennutzers werden niemals bestehende Rechte entzogen, es werden nur zusätzliche Berechtigungen hinzugefügt, falls sich die Gruppe/ Rolle des Nutzers bei dem Identity-Provider oder die Berechtigungszuordnungen in der Prozessplattform geändert haben.
D.h., wenn ein Nutzer ein Schattennutzer in der Prozessplattform den Nutzertyp "Betrachter" hat und sich dieser Nutzer nun per Single-Sign-On authentifiziert und der Identity-Provider eine Gruppe für den Nutzer den Schattennutzer überträgt, welcher der Nutzertyp "Modellierer" zugeordnet ist, wird der Nutzertyp des Nutzers zu "Modellierer" geändert. Wenn dies aber genau umgekehrt wäre, d.h. der Nutzer hat bereits den Nutzertyp "Modellierer" und über die Berechtigungszuordnung wird "Betrachter" festgelegt, behält der Nutzer der Schattennutzer weiterhin den Nutzertyp "Modellierer".
Wenn ein Nutzer ein Schattennutzer in der Prozessplattform Mitglied in den Gruppen "Content-Redakteure" und "Konfiguratoren" ist und sich dieser Nutzer Schattennutzer nun per Single-Sign-On authentifiziert und der Identity-Provider eine Gruppe für den Nutzer den Schattennutzer überträgt, welcher die Gruppen "Content-Redakteure" und "Demo-Nutzer" zugeordnet ist, werden die Gruppenmitgliedschaften des Nutzers des Schattennutzer zu "Content-Redakteure", "Konfiguratoren" und "Demo-Nutzer" geändert. Die Gruppen "Demo-Nutzer" wurde hinzugefügt, aber die Gruppe "Konfiguratoren" wurde nicht entfernt.