Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

Info

Sie möchten den Nutzern Ihrer PICTURE-Prozessplattform den Komfort bieten, sich bei Ihrer täglichen Arbeit über ein bereits von Ihnen genutztes Drittsystem in die Prozessplattform einzuloggen, ohne sich zusätzliche Zugangsdaten für die Prozessplattform merken zu müssen und nutzen bereits ein solches Drittsystem welches als (SAML-) Identity-Provider fungieren kann? Dann informieren Sie sich im Folgenden, wie Sie Ihren Identity-Provider auch zur Authentifizierung bei der PICTURE-Prozessplattform nutzen könnenMit dem Erweiterungsmodul “Single-Sign-On mit SAML 2.0“ können Sie Ihre Prozessplattform direkt an das zentrale Identitätsmanagementsystem (IDM) Ihrer Organisation anbinden:

  • Die Nutzer/-innen können ihre bekannten Anmeldedaten vom IDM auch für die Prozessplattform benutzen und müssen sich keine separaten Benutzernamen und Passwörter mehr merken.

  • Sicherheitsmechanismen, die Sie für ihr zentrales IDM umgesetzt haben (z.B. Zwei-Faktor-Authentifizierung), können auch für die Prozessplattform zur Anwendung kommen. 

  • Für Fachadministrator/-innen wird die Erstellung und Pflege von Prozessplattform-Benutzerkonten deutlich einfacher. Nach erfolgreichem Login im zentralen IDM erstellt bzw. aktualisiert die Prozessplattform das zugehörige Prozessplattform-Benutzerkonto automatisch und berücksichtigt hierbei auf Wunsch benutzerdefinierte Regeln zur Vergabe von Zugriffsberechtigungen. 

Die Schnittstelle ist nutzbar mit allen IDM-Systemen, die kompatibel zum Standard "SAML 2.0" sind (z.B. Microsoft Active Directory Federation Services, Keycloak, Shibboleth).

Dieses Erweiterungsmodul ist aufpreispflichtig. Wenden Sie sich für eine individuelle Preisauskunft oder ein Angebot gerne an unsere Kundenbetreuung (kundenbetreuung@picture-gmbh.de).

Inhaltsverzeichnis

Inhalt
excludeInhaltsverzeichnis

Was ist die SAML-Schnittstelle?

Die SAML-Schnittstelle ermöglicht es Ihnen für Ihre PICTURE-Prozessplattform eine Single-Sign-On-Funktionalität zu aktivieren. Dabei Authentifizieren authentifizieren sich Nutzer der Prozessplattform gegen ein Drittsystem (einen sogenannten Identity-Provider), d.h. Anwender, die ein Benutzerkonto bei dem Identity-Provider haben, können sich ganz einfach über dessen Login-Mechanismus einloggen, um die Prozessplattform zu nutzen. Die Anwender müssen sich dadurch bei Ihrerer Ihrer täglichen Arbeit ggf. nur in einem einzigen System, dem Identity-Provider, anmelden. Ein zusätzlicher Login in der die Prozessplattform würde entfallenentfällt. Daraus ergibt sichresultiert, dass die Anwender sich keine neuen zusätzlichen Zugangsdaten speziell für die Prozessplattform merken müssen. Für Administratoren Ihrer Prozessplattform entfällt außerdem die zusätzliche Arbeit, die mit der manuellen Pflege "doppelter" Benutzerkonten verbunden ist (z.B. Zugangsdaten verteilen, vergessene Passwörter zurücksetzen etc.). 

Außerdem bietet die SAML-Schnittstelle eine Single-Sign-Out-Funktionalität, d.h. Anwender, die per Single-Sign-On eingeloggt sind können sich durch einen Logout aus der Prozessplattform automatisch auch bei dem genutzten Identity-Provider abmelden. Umgekehrt ist dies genauso möglich, d.h. bei einem Logout aus dem Identity-Provider kann der jeweilige Anwender automatisch auch aus der Prozessplattform ausgeloggt werden.

Die flexiblen Mechanismen zur Steuerung der Zugriffsberechtigungen auf die Inhalte der Prozessplattform (z.B. funktionale Rechte und Rollen, Zugriffsrechte auf Ordner und Sichten) stehen auch bei Nutzung der SAML-Schnittstelle weiterhin zur Verfügung. Der Administrationsaufwand hinsichtlich der Zugriffsberechtigungen lässt sich durch eine optionale Zuordnung von Identity-Provider-Gruppen, Rollen o.Ä. zu Prozessplattform-Berechtigungen (Nutzertyp und Gruppen-Mitgliedschaften) weiterhin auf ein Minimum reduzieren.

Was ändert sich in der Nutzerverwaltung der PICTURE-Prozessplattform, wenn die SAML-Schnittstelle aktiviert ist?

  • Bei aktivierter SAML-Schnittstelle müssen Sie keine Benutzerkonten mehr manuell in der PPP anlegen. Diese werden automatisch beim ersten Single-Sign-On-Login eines Anwenders erstellt (vorausgesetzt der Anwender gehört einer Gruppe/ Rolle Ihres Identity-Providers an, welcher in der Schnittstellenkonfiguration Prozessplattform-Berechtigungen zugeordnet sind). 
    Bei den automatisch angelegten Benutzerkonten handelt es sich dabei um sogenannte Schattennutzer. Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform

    "

    über einen Nutzer

    wissen muss"

    benötigt und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.). 

  • Der Nutzername der o.g. Schattennutzer entspricht immer der Name-Id des Nutzers bei dem Identity-Provider. Erhaltene

    Daten

    Informationen vom Identity-Provider über einen Nutzer werden

    daher

    über die Name-Id bzw. den Benutzernamen einem Schattennutzer zugeordnet.

  • Die Stammdaten der o.g. Schattennutzer (Vorname, Nachname, akademischer Titel, E-Mail-Adresse etc.) werden beim Erstlogin per Single-Sign-On vom Identity-Provider übernommen. In der Schnittstellen-Konfiguration können Sie die vom Identity-Provider übertragenen Nutzerinformationen den entsprechenden Prozessplattform-Nutzerinformationen zuordnen.

  • Bei

    allen weiteren

    jedem darauf folgenden Login eines Anwenders über Single-Sign-On

    -Logins eines Schattennutzers

    werden die o.g. Nutzerinformationen am Schattennutzer immer mit den aktuellsten vom Identity-Provider erhaltenen Daten überschrieben.

  • Die Prozessplattform-Berechtigungen der Schattennutzer werden beim Erstlogin per Single-Sign-On entsprechend der Gruppe

    / -

    bzw. Rolle des Anwenders

    bei dem

    im Identity-Provider übernommen. In der Schnittstellenkonfiguration können Sie einer Identity-Provider-Gruppe/ -Rolle einen Prozessplattform-

    Nutzertyp

    Nutzertypen ("Administrator", "Betrachter", etc.) und beliebig viele Prozessplattform-Gruppen-Zugehörigkeiten zuordnen.

  • Bei allen weiteren

    Single-Sign-On-

    Logins eines Schattennutzers werden die Prozessplattform-Berechtigungen

    aktualisiert. Dabei

    auf die folgende Art und Weise aktualisiert: Bereits bestehende Rechte werden niemals

    bestehende Rechte entzogen, es werden nur zusätzliche Berechtigungen hinzugefügt, falls sich die Gruppe/ Rolle des Schattennutzers bei dem Identity-Provider oder die Berechtigungszuordnungen in der Prozessplattform geändert haben

    entzogen. Zusätzliche Berechtigungen werden hinzugefügt, falls einem Schattennutzer aufgrund einer angepassten SAML-Konfiguration in der Prozessplattform oder einer Änderung der Gruppe/ Rolle beim Identity-Provider andere bzw. mehr Rechte zustehen.

  • Für die Schattennutzer wird kein Passwort in der Datenbank der Prozessplattform

    gespeichert

    angelegt, d.h. sofern Sie den Schattennutzern über die bekannten Funktionen der Nutzerverwaltung kein gesondertes Passwort zuweisen, können sich diese ausschließlich per Single-Sign-On bei der Prozessplattform authentifizieren.

  • Als Administrator stehen Ihnen in der Nutzerverwaltung weiterhin alle bekannten Funktionen für Schattennutzer zur Verfügung (Stammdaten eines Nutzers ändern, Passwort zurücksetzen etc).

  • Schattennutzer selber können sowohl Ihre vom Identity-Provider übernommenen Nutzerinformationen (Anrede, Nachname, etc) als auch Ihr Passwort in der Prozessplattform nicht mehr ändern, sobald Sie sich per Single-Sign-On eingeloggt haben.

  • Schattennutzer können die "Passwort vergessen"-Funktion der Prozessplattform nicht nutzen.

Wie kann die Schnittstelle aktiviert und konfiguriert werden?

Die SAML-Schnittstelle können Sie als Administrator Ihrer PICTURE-Prozessplattform im Verwaltungsmodul unter "Single-Sign-On-Konfiguration (SAML)" pflegen. Eine Schritt-für-Schritt-Anleitung zur Erstellung einer Konfiguration, sowie detaillierte Erläuterungen zu den verschiedenen Einstellungsmöglichkeiten finden Sie auf folgender Seite und den dort verlinkten Unterseiten: Single-Sign-On-Konfiguration pflegen

Tipp

Wir empfehlen Ihnen mindestens die Schritt-für-Schritt-Anleitung parallel zur Bearbeitung der Konfiguration zu nutzen und nachzuvollziehen, um die einzelnen Schritte im Detail nachzuvollziehen. So halten Sie den Konfigurationsaufwand und Aufwände für eventuelle Nacharbeiten möglichst gering zu halten.

Was passiert, wenn die Prozessplattform mit einer fehlerhaften SAML-Konfiguration betrieben wird?

Fehler in der SAML-Konfiguration wirken sich grundsätzlich nur auf die Single-Sign-On-Mechanismen und die darüber erstellen erstellten Schattennutzer aus. "Normale" Prozessplattform-Nutzer, die sich über die Prozessplattform-Datenbank authentifizieren und Der Login von Nutzern mit einem separaten Prozessplattform-Nutzerkonto und sämtliche Nutzerverwaltungs-Funktionen sind werden durch Fehler in der SAML-Konfiguration zu keinem Zeitpunkt beeinträchtigbeeinträchtigt.

In Ihrer SAML-Konfiguration können zwei Fehlerarten auftretenZwei Fehlerarten können bei der Konfiguration der SAML-Schnittstelle eintreten:

Technische Konfigurationsfehler (z.B. durch die Angabe fehlerhafter URLs oder Zertifikate)

...

Technische Konfigurationsfehler wirken sich auf den gesamten Single-Sign-On oder - bzw. Single-Sign-Out-Mechanismus aus. Durch Fehler dieser Art können sich Anwender also ggf. nicht mehr in der Prozessplattform anmelden oder nicht mehr gleichzeitig aus beiden System der Prozessplattform und dem Identity-Provider ausloggen.

Fehler in der Zuordnung von Informationen, die vom Identity-Provider übertragen werden, zu Prozessplattform Informationen (z.B. durch die Angabe fehlerhafter Identity-Provider Attribut- oder Gruppenbezeichnungen)

Zuordnungsfehler wirken sich auf die Erstellung und Aktualisierung von Schattennutzern aus. Durch Fehler Bei Fehlern dieser Art werden einzelne Informationen an den Schattennutzern ggf. Schattennutzerkonten nicht richtig gesetzt. Im schlimmsten Fall bedeutet dies, dass sich ein Schattennutzer nicht in die Prozessplattform einloggen kann, wenn weil keine Berechtigungen zugeordnet werden konnten.