Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Info

Auf dieser Seite erfahren Sie, wie Sie die Single-Sign-On-Funktion für Ihre Prozessplattform aktivieren können und welche Einstellungsmöglichkeiten Ihnen zur Verfügung stehen, um eine zuverlässige und sichere Kommunikation zwischen der Prozessplattform und Ihrem Identitätsmanagement-System (Identity Provider) zu gewährleisten

...

Hinweis

Hinweis zum Pilotbetrieb

Zurzeit befindet sich die Single-Sign-On-Funktion im Pilot-Betrieb bei ausgewählten Kunden. Die hier beschriebenen Funktionen sind daher nicht standardmäßig in allen Mandanten der PICTURE-Prozessplattform nutzbar. Falls Sie Single-Sign-On bereits jetzt nutzen möchten, bewerben Sie sich gerne für die Teilnahme am Pilot-Programm. Wenden Sie sich dazu über den technischen Ansprechpartner für Ihren Mandanten per E-Mail an support@picture-gmbh.de.  

Inhaltsverzeichnis

Inhalt
excludeInhaltsverzeichnis

...

In dem oben zu sehenden Eingabefeld können Sie festlegen, zu welcher Seite der PICTURE-Prozessplattform Nutzer, die sich erfolgreich bei dem Identity-Provider authentifiziert haben, weitergeleitet werden sollen. Die Festlegung der Startseite (Weiterleitung nach erfolgreichem Login) ist optional. Wird hier kein Wert eingetragen, verhält sich die PICTURE-Prozessplattform wie bei einem Standard-Login (Weiterleitung auf die Startseite des zuletzt genutzten Arbeitsbereichs).

Falls Sie als Startseite das Prozessregister eines bestimmten Arbeitsbereiches festlegen möchten, besteht zudem die Möglichkeit bestimmte Filter über die URL einzustellen, sodass neu eingeloggte Nutzer zunächst eine vordefinierte Prozess- und Prozesslandkarten-Menge sehen können. Wie Sie eine URL erstellen können, die auf das Prozessregister verweist und ggf. sogar auf eine bestimmte Filteransicht erfahren Sie auf folgender Seite des Informationsportals: Prozessregister mithilfe von Filtern durchsuchen

...

Um Single-Sign-On sicher und zuverlässig nutzen zu können, müssen Sie in dem oben zu sehenden Eingabefeld das X.509-Zertifikat hinterlegen, über welches SAML-Nachrichten Ihres Identity-Providers eindeutig als solche identifiziert werden können. Das hier zu hinterlegende Zertifikat können Sie im Normalfall von Ihrem Identity-Provider übernehmen, da dies dort bereits vorliegen sollte.

Prozessplattform- bzw. Service-Provider-Schlüsselpaar hinterlegen

Info

Handhabung von Signierung und Verschlüsselung

Die Handhabung von Signierung und Verschlüsselung können Sie vollständig steuern indem Sie die erweitere Konfiguration der PICTURE-SAML-Schnittstelle vornehmen (Erweiterte Konfiguration verwalten 3.20). Im Auslieferungszustand werden folgenden Voreinstellungen vorgenommen:

Erwartungen bzgl. Signierung und Verschlüsselung:

  1. Die vom Identity-Provider übertragenen Assertions sind signiert.

  2. Die vom Identity-Provider übertragenen Assertions sind nicht verschlüsselt.

  3. Die vom Identity-Provider übertragene Name-ID ist nicht verschlüsselt.

Umgang mit Signierung und Verschlüsselung:

  1. Die übertragene Name-ID in einer Logout-Anfrage an den Identity-Provider wird nicht verschlüsselt.

  2. Die Login-Anfragen an den Identity-Provider werden signiert.

  3. Die Logout-Anfragen an den Identity-Provider werden signiert.

  4. Die Logout-Antworten an den Identity-Provider werden signiert.

  5. Die Metadaten, die bei Anfrage an den Identity-Provider versendet werden, werden signiert.

...