Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Hinweis

Zur Zeit befindet sich die Single-Sign-On-Funktion im Pilot-Betrieb bei ausgewählten Kunden, d.h. Single-Sign-On ist standardmäßig nicht in der PICTURE-Prozessplattform konfigurierbar. Falls Sie Single-Sign-On bereits jetzt nutzen möchten, bewerben Sie sich gerne für die Teilnahme am Pilot-Programm. Wenden Sie sich dazu über den technischen Ansprechpartner für Ihren Mandanten per E-Mail an support@picture-gmbh.de

Info

Auf dieser Seite erfahren Sie, welche Einstellungsmöglichkeiten wie Sie für Ihre die Single-Sign-On-Konfiguration treffen müssenFunktion für Ihre Prozessplattform aktivieren können und welche Einstellungsmöglichkeiten Ihnen zur Verfügung stehen, um eine zuverlässige und sichere Kommunikation zwischen der Prozessplattform und Ihrem Identitätsmanagement-System (Identity - Provider gewährleisten zu können. Außerdem erfahren Sie hier, an welcher Stelle Sie Ihre Single-Sign-On-Konfiguration aktivieren können) zu gewährleisten.

Inhaltsverzeichnis

Inhalt
excludeInhaltsverzeichnis

Image RemovedImage Added

Stammdaten pflegen

Image RemovedImage Added

Die Stammdaten der SAML-Konfiguration können Sie in den oben zu sehenden Feldern pflegen. Die Stammdaten der SAML-Konfiguration umfassen die Beschriftung des zusätzlichen Single-Sing-On der beiden Login-Knopfs Knöpfe und den Status (aktiv oder nicht aktiv) der SAML-Konfiguration.

...

Über das Feld "Single Logout aktivieren?" können Sie festlegen, ob den Nutzern Ihrer PICTURE-Prozessplattform die Möglichkeit gegeben werden soll, sich per Single Logout aus der PICTURE-Prozessplattform und dem IdP Identity-Provider (und damit allen anderen verbundenen Systemen) auszuloggen. Diese Einstellung hat nur Auswirkungen, wenn Single-Sign-On aktiv ist. Ist diese Option deaktiviert, so steht kein Logout-Button zur Verfügung.

Der Text den Sie unter "Beschriftung des zusätzlichen Login-Knopfs" und “Beschriftung des PICTURE-Prozessplattform Login-Knopfs” angeben, findet sich nach dem erfolgreichen Speichern der SAML-Konfiguration auf der Login-Seite wieder, sofern Sie die SAML-Konfiguration aktiviert haben. 

...

Unter "Fehlermeldung bei Anforderung eines neuen Passwortes" können Sie optional angeben, welche Fehlermeldung ein Anwender erhalten soll, wenn dieser ein neues Passwort über die Login-Maske anfordert, aber bisher kein eigenes Passwort für die Prozessplattform hat, da er sich über Single-Sign-On authentifiziert. 

Info

Wir empfehlen Ihnen einen Hyperlink in die Fehlermeldung einzubinden, über den ein Anwender Informationen zum Zurücksetzen des Passwortes bei dem genutzten Identity-Provider findet. Um einen Hyperlink in die Fehlermeldung einzubinden, können Sie den Link einfach an die gewünschte Stelle in Ihrer Fehlermeldung einfügen. Der eingefügte Hyperlink muss mit "http" oder "https" beginnen, damit er später in der angezeigten Fehlermeldung als Link formatiert wird und klickbar ist.

...

Falls Sie keine individuelle Fehlermeldung konfigurieren möchten, können Sie das Feld einfach leer lassen. In diesem Fall wird dann die folgende Standard-Fehlermeldung der Prozessplattform ausgeben:

...

Weiterleitungen für SAML-

...

authentifizierte Nutzer festlegen

Sie können drei verschiedene Arten von Weiterleitungen für SAML-Authentifizierte authentifizierte Nutzer festlegen.

...

Wie Sie die Weiterleitungen konfigurieren können und wann diese aktiv werden, erfahren Sie im Folgenden.

Weiterleitung nach erfolgreichem Login (Startseite)

In dem oben zu sehenden Eingabefeld können Sie festlegen, zu welcher Seite der PICTURE-Prozessplattform Nutzer, die sich erfolgreich bei dem Identity-Provider authentifiziert haben, weitergeleitet werden sollen. Die Festlegung der Startseite (Weiterleitung nach erfolgreichem Login) ist optional. Wird hier kein Wert eingetragen, verhält sich die PICTURE-Prozessplattform wie bei einem Standard-Login (Weiterleitung auf die Startseite des zuletzt genutzten Arbeitsbereichs).

Falls Sie als Startseite das Prozessregister eines bestimmten Arbeitsbereiches festlegen möchten, besteht zudem die Möglichkeit bestimmte Filter über die URL einzustellen, sodass neu eingeloggte Nutzer zunächst eine vordefinierte Prozess- und Prozesslandkarten-Menge sehen können. Wie Sie eine URL erstellen können, die auf das Prozessregister verweist und ggf. sogar auf eine bestimmte Filteransicht erfahren Sie auf folgender Seite des Informationsportals: Prozessregister mithilfe von Filtern durchsuchen

Falls Sie als Startseite nicht das Prozessregister, sondern einen anderen Bereich der PICTURE-Prozessplattform festlegen möchten, können Sie sich einfach in die Plattform einloggen und zu der Seite wechseln, die Sie als Startseite festlegen möchten. Wenn Sie auf der gewünschten Seite sind, übernehmen Sie aus der Adresszeile Ihres Browsers die URL und geben diese im Eingabefeld für die Startseite ein, damit per SAML authentifzierte authentifizierte Nutzer nach dem Login direkt zu der gerade geöffneten Seite weitergeleitet werden.

Hinweis

Unabhängig davon, welche Seite Sie als Startseite festgelegt haben müssen Sie bei der Eingabe in das Feld für die Startseite berücksichtigen, dass Sie nur den Teil der URL eingeben müssen, der nicht bereits eine Zeile über dem Eingabefeld unter "Feste Adresse (URL) Ihrer Prozessplattform" angezeigt wird.

...

Weiterleitung nach fehlgeschlagenem Login

Ein Login eines Nutzers, der sich erfolgreich per SAML beim Identity-Provider authentifiziert hat, kann dennoch aus den folgenden Gründen fehlschlagen:

  • Er besitzt noch kein Schattennutzerkonto und durch die konfigurierte automatische Nutzererstellung würde seinem neuen Konto keine Lizenz zugewiesen werden.

    • Dieser Fall tritt z.B. immer dann ein, wenn durch die Konfiguration der automatischen Nutzererstellung bestimmten Gruppen von Nutzern der Zutritt zur Plattform verwehrt werden soll.

  • Er besitzt bereits ein Schattennutzerkonto, aber

    • dieses wurde gesperrt

    • er besitzt keine Lizenz

  • Es wurde der für die PICTURE-Prozessplattform geschützte Benutzername “admin” verwendet

In den oben genannten Fällen bietet Ihnen diese Einstellung die Möglichkeit dem Nutzer nicht die standardmäßige Fehlermeldung der Plattform anzuzeigen, sondern ihn z.B. auf eine entsprechende Intranet-Seite weiterzuleiten, auf der erklärt wird, welche Mitarbeiter Ihrer Organisation Zugriff auf die Plattform haben.

Weiterleitung nach Logout

Mit dieser Einstellung können Sie den Nutzer nach einem erfolgreichen Single-Logout aus der Plattform zu einer von Ihnen gewünschten URL weiterleiten. 

Hinweis

Gegebenenfalls müssen an dem von Ihnen genutzten Identity-Provider bestimmte gesonderte Einstellungen vorgenommen werden, damit dieser nach einem erfolgreichen Logout an die angegebene URL weiterleitet.

Adressdaten (URLs) pflegen

Identity-Provider-Adressen pflegen

...

Um Single-Sign-On über SAML in Ihrer PICTURE-Prozessplattform nutzen zu können, benötigt die Prozessplattform als Service-Provider Informationen über den von Ihnen genutzten Identity-Provider. Dazu müssen Sie die oben zu sehenden Einstellungsmöglichkeiten mit den jeweiligen Daten Ihres Identity-Providers ausfüllen.

Am Identity-Provider zu hinterlegende Service-Provider-Adressen einsehen

...

Um Single-Sign-On über SAML in Ihrer PICTURE-Prozessplattform nutzen zu können, benötigt der von Ihnen genutzte Identity-Provider Informationen über die PICTURE-Prozessplattform als Service-Provider. Dazu müssen Sie die oben angezeigten Einstellungsmöglichkeiten bei Ihrem Identity-Provider an geeigneter Stelle hinterlegen.

Signierung und Verschlüsselung von SAML-Nachrichten

...

Identity-Provider-Zertifikat hinterlegen

...

Um Single-Sign-On sicher und zuverlässig nutzen zu können, müssen Sie in dem oben zu sehenden Eingabefeld das X.509-Zertifikat hinterlegen, über welches SAML-Nachrichten Ihres Identity-Providers eindeutig als solche identifiziert werden können. Das hier zu hinterlegende Zertifikat können Sie im Normalfall von Ihrem Identity-Provider übernehmen, da dies dort bereits vorliegen sollte.

Prozessplattform- bzw. Service-Provider-Schlüsselpaar hinterlegen

...

Um Single-Sign-On sicher und zuverlässig nutzen zu können, müssen Sie für Ihre Prozessplattform ein eigenes Schlüsselpaar - bestehend aus einem privaten Schlüssel im PKCS#8-Format und einem X.509-Zertifikat - generieren und hinterlegen. Das generierte Zertikat müssen Sie zudem bei Ihrem Identity-Provider hinterlegen. Mit Hilfe des Zertifikats kann Ihr Identity-Provider feststellen, ob eine erhaltene SAML-Nachricht mit dem in der Prozessplattform hinterlegten privaten Schlüssel signiert wurde und somit sicherstellen, dass diese von genau diesem Prozessplattform-Mandanten stammt.

Info

Handhabung von Signierung und Verschlüsselung

Info

Falls Sie Ihren Identity-Provider aufgrund der im Folgenden beschriebenen Die Handhabung von Signierung und Verschlüsselung nicht für Single-Sign-On in der PICTURE-Prozessplattform verwenden können, wenden Sie sich gerne an unseren PICTURE-Kundensupport unter support@picture-gmbh.de. Wir bemühen uns dann die für Sie notwendigen Anpassungen der Einstellungen individuell für Ihre PICTURE-Prozessplattform vorzunehmen, damit auch Sie die Vorzüge von Single-Sign-On nutzen können.

Erwartungen der PICTURE-Prozessplattform bzgl. Signierung und Verschlüsselung

In Ihrer Rolle als Service-Provider stellt die PICTURE-Prozessplattform einige Annahmen bezüglich Signierung und Verschlüsselung an die vom Identity-Provider erhaltenen SAML-Nachrichten. Bitte stellen Sie sicher, dass der von Ihnen genutzte Identity-Provider diese Vorraussetzungen erfüllt. Falls dies nicht der Fall ist, ist eine erfolgreiche Inbetriebnahme von Single-Sign-On über die SAML-Schnittstelle ohne durch unseren Support vogenommene Anpassungen nicht möglich.

...

können Sie vollständig steuern indem Sie die erweitere Konfiguration der PICTURE-SAML-Schnittstelle vornehmen (Erweiterte Konfiguration verwalten). Im Auslieferungszustand werden folgenden Voreinstellungen vorgenommen:

Erwartungen bzgl. Signierung und Verschlüsselung:

  1. Die vom Identity-Provider übertragenen Assertions sind signiert.

  2. Die vom Identity-Provider übertragenen Assertions sind nicht verschlüsselt.

  3. Die vom Identity-Provider übertragene Name-ID ist nicht verschlüsselt.

Umgang

...

mit Signierung und Verschlüsselung

...

Als Service-Provider signiert und verschlüsselt die PICTURE-Prozessplattform die zu versendenden SAML-Nachrichten nach bestimmten Regeln. Bitte stellen Sie sicher, dass der von Ihnen genutzte Identity-Provider mit den nach diesen Regeln versandten Nachrichten umgehen kann. Falls dies nicht der Fall ist, ist eine erfolgreiche Inbetriebnahme von Single-Sign-On über die SAML-Schnittstelle ohne durch unseren Support vogenommene Anpassungen nicht möglich.

...

:

  1. Die übertragene Name-ID in einer Logout-Anfrage an den Identity-Provider wird nicht verschlüsselt.

  2. Die Login-Anfragen an den Identity-Provider werden signiert.

  3. Die Logout-Anfragen an den Identity-Provider werden signiert.

  4. Die Logout-Antworten an den Identity-Provider werden signiert.

  5. Die Metadaten, die bei Anfrage an den Identity-Provider versendet werden, werden signiert.

...

Um Single-Sign-On sicher und zuverlässig nutzen zu können, müssen Sie für Ihre Prozessplattform ein eigenes Schlüsselpaar - bestehend aus einem privaten Schlüssel im PKCS#8-Format und einem X.509-Zertifikat - generieren und hinterlegen. Das generierte Zertifikat müssen Sie zudem bei Ihrem Identity-Provider hinterlegen. Mit Hilfe des Zertifikats kann Ihr Identity-Provider feststellen, ob eine erhaltene SAML-Nachricht mit dem in der Prozessplattform hinterlegten privaten Schlüssel signiert wurde und somit sicherstellen, dass diese von genau diesem Prozessplattform-Mandanten stammt.

FAQ - Basis-Konfiguration

Wie kann ich die XML-Metadaten der Prozessplattform herunterladen?

Sie können die XML-Metadaten der Prozessplattform über die URL, die auf dem Reiter "Basis-Konfiguration" im Abschnitt "Prozessplattform bzw. Service-Provider-Adressen" im Eingabefeld "

...

Identifikator der Prozessplattform als Service-Provider" angezeigt wird herunterladen.

...

Berücksichtigen Sie, dass die Metadaten erst vollständig ausgeliefert werden können, wenn Sie das X.509-Zertifikat im Abschnitt "Prozessplattform bzw. Service-Provider-Schlüsselpaar" hinterlegt haben. Haben Sie das X.509-Zertifikat noch nicht hinterlegt, kann dieses bei einer Abfrage der XML-Metadaten über die o.g. URL nicht mit ausgeliefert werden.

...