Inhaltsverzeichnis 

...

Erstellung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On

Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden die vom Identity-Provider übertragenen Gruppen / Rollen bzw. Nutzerinformationen in der Prozessplattform Berechtigungen und die Nutzerinformationen übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Die auf diese Art und Weise erstellten Prozessplattform Nutzer heißen "Schattennutzer". Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.).

...

Nutzerinformationen vom Identity-Provider übernehmen

...

Über die oben zu sehenden Eingabefelder haben Sie die Möglichkeit die folgenden Nutzerinformationen eines Schattennutzers automatisch vom Identity-Provider zu übernehmen:

• E-Mail-Adresse

• Anrede

• Akademischer Titel

• Vorname

• Nachname

• Abteilung

Um die gewünschten Nutzer-Informationen aus ihrem Identity-Provider in die PICTURE-Prozessplattform zu übernehmen, tragen Sie jeweils die Bezeichnung für das Attribut ein, dessen Wert bei der jeweiligen Nutzerinformation gesetzt werden soll. Die einzutragenden Bezeichnungen können Sie Ihrem Identity-Provider entnehmen. Falls Sie einzelne Nutzerinformationen nicht vom Identity-Provider übernehmen möchten oder können (z.B. falls diese dort nicht gepflegt werden) können Sie das entsprechende Eingabefeld einfach leer lassen.

...

Automatische Zuweisung von Berechtigungen für SAML-authentifizierte Nutzer

...

Inhaltsverzeichnis 

...

Erstellung eines Prozessplattform-Nutzers bei einem Login per Single-Sign-On

Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird von der SSO-Schnittstelle automatisch ein neues Benutzerkonto für diesen in der Plattform angelegt.

Die auf diese Art und Weise erstellten Prozessplattform Nutzer heißen "Schattennutzer". Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.).

Bei der Erstellung der Schattennutzer werden die vom Identity-Provider (IDP) übertragenen Nutzerinformationen in die Prozessplattform übernommen. Auf Wunsch können dabei auch Informationen über Gruppenmitgliedschaften bzw. zugeordnete Rollen berücksichtigt werden, um dem Schatten-Benutzerkonto innerhalb der Prozessplattform automatisch bestimmte Berechtigungen zuzuweisen.

Als Nutzername des Schatten-Benutzerkontos wird immer die vom Identity-Provider übertragene NameID verwendet. Das erwartete NameID-Format können Sie durch Anpassung der erweiterten Konfiguration (https://picture.atlassian.net/wiki/spaces/pppdoc320/pages/3369205767/Erweiterte+Konfiguration+verwalten+3.20#NameID-Format) steuern.

Nutzerinformationen vom Identity-Provider übernehmen

...

Über die oben zu sehenden Eingabefelder haben Sie die Möglichkeit, die folgenden Nutzerinformationen eines Schattennutzers automatisch vom Identity-Provider zu übernehmen:

• E-Mail-Adresse

• Anrede

• Akademischer Titel

• Vorname

• Nachname

• Abteilung

Um die gewünschten Nutzer-Informationen aus ihrem Identity-Provider in die PICTURE-Prozessplattform zu übernehmen, tragen Sie jeweils die Bezeichnung für das Attribut ein, dessen Wert bei der jeweiligen Nutzerinformation gesetzt werden soll. Die einzutragenden Bezeichnungen können Sie Ihrem Identity-Provider entnehmen. Falls Sie einzelne Nutzerinformationen nicht vom Identity-Provider übernehmen möchten oder können (z.B. falls diese dort nicht gepflegt werden) können Sie das entsprechende Eingabefeld einfach leer lassen.

Automatische Zuweisung von Berechtigungen für SAML-authentifizierte Nutzer

...

Die Berechtigungen, über welche die Schatten-Nutzerkonten innerhalb der Prozessplattform (automatisch) verfügen sollen, können Sie ebenfalls über die Konfiguration der SAML-Schnittstelle beeinflussen. Hierzu kann die Prozessplattform optional die vom Identity-Provider übermittelten Angaben über Gruppenmitgliedschaften des (IDP-)Nutzers auswerten.

Geben Sie dazu auf dem im o.g. Screenshot abgebildeten Eingabefeld “Identity-Provider-Gruppen / -Rollen“ den Namen des Attributs an, in welchem der IDP in den von ihm verschickten SAML-Nachrichten die Angaben über Gruppen-Mitgliedschaften der IDP-Nutzers übermittelt.

In der untenstehenden Tabelle können Sie dann Regeln festlegen, anhand derer die Prozessplattform beim SAML-Login entscheidet, welchen Nutzertyp ein PPP-Schattennutzerkonto in Abhängigkeit von der übermittelten Gruppe erhalten soll und welcher bzw. welchen (PPP-)Gruppe(n) es zugeordnet werden soll (sog. “Gruppen-Mapping”).

Standardmäßig werden die aus den (IDP-)Gruppenmitgliedschaften abgeleiteten (PPP-)Gruppenmitgliedschaften zusätzlich zu den Berechtigungen erteilt, die dem Schattennutzer im Modul Nutzer- und Gruppenverwaltung der Prozessplattform regulär bereits zugewiesen wurden. Somit können Sie z.B. einem per SAML-Login automatisch angelegten Schattennutzer später manuell weitere individuell Berechtigungen zuweisen. Beim nächsten SAML-Login bleiben diese erhalten. Evtl. darüber hinausgehende Berechtigungen, die sich aus den o.g. Regeln zum Gruppen-Matching ergeben, werden zusätzlich beim nächsten Login automatisch erteilt.

Default-Berechtigungen festlegen

...

Falls Sie keine expliziten Zuordnungen von Prozessplattform-Berechtigungen konfigurieren möchten, müssen Sie für eine erfolgreiche Inbetriebnahme der Single-Sign-On-Konfiguration Zugriffsberechtigungen auf (mindestens) einen Arbeitsbereich über die Default-Berechtigungen festlegen, ansonsten ist ein Login per Single-Sign-On für keinen Anwender möglich. Zugriff auf mindestens einen Arbeitsbereich können Sie entweder über den Nutzertyp Administrator oder einen anderen Nutzertyp (Betrachter oder Modellierer) in Verbindung mit einer entsprechend konfigurierten Gruppe festlegen. Wie Sie die Default-Berechtigungen bearbeiten können erfahren Sie weiter unten im Abschnitt "Automatische (Schatten-) Nutzererstellung konfigurieren#bearbeiten".

(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren

Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit, Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. Hinterlegen Sie an diesem Feld die Bezeichnung des Attributes aus dem Identity-Provider, welches die Rollen, Gruppen o.ä. eines Nutzers enthält. Die Zuordnung der Nutzer zu den Berechtigungen wird später über die Rollen bzw. Gruppenmitgliedschaften, der jeweiligen Nutzer im Identity-Provider besitzt, vorgenommen.

...

Um einer Nutzergruppe / Rolle Ihres Identity-Providers explizit bestimmte Berechtigungen zuzuordnen, müssen Sie zunächst eine neue Zeile in der zu sehenden Tabelle anlegen. Dazu klicken Sie auf den Knopf "Neue Berechtigungszuordnung hinzufügen" unterhalb der Tabelle.

...

In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Sie Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertypen und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen finden Sie im Abschnitt "Automatische (Schatten-) Nutzererstellung konfigurieren#bearbeiten".

Falls Sie eine hinzugefügte Berechtigungszuordnung wieder entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das Radiergummi-Symbol.

...

...

Den gewünschten Nutzertyp können Sie einfach in der angezeigten Drop-Down-Box auswählen. Berücksichtigen Sie dabei, dass der Nutzertyp "keine Lizenz" dafür sorgt, dass sich ein Nutzer, dem dieser Nutzertyp zugeordnet wurde, nicht in die Prozessplattform einloggen kann. In diesem Fall wird für diesen Nutzer kein Benutzerkonto in der Prozessplattform angelegt. Sie können den Nutzertyp "keine Lizenz" also nutzen, wenn Personen, die zwar einen Zugang in Ihrem Identity-Provider haben, aber keinen Zugriff zu der Prozessplattform erhalten sollen. Berücksichtigen Sie außerdem, dass der Nutzertyp "Administrator" uneingeschränkten Zugriff auf alle Funktionen der Prozessplattform (inkl. VerwaltungfunktionenVerwaltungsfunktionen!) freigibt. Diese Zugriffsberechtigungen können auch durch zugeordnete Gruppenmitgliedschaften nicht eingeschränkt werden. 

...

Gruppen können Sie hinzufügen, indem Sie die gewünschte Gruppe in der angezeigten Drop-Down-Box auswählen. Bestätigen Sie Ihre Eingabe über das "+"-Symbol. Falls Sie eine Gruppe wieder entfernen möchten, fahren Sie mit der Maus über die entsprechende Gruppe und klicken Sie auf das Radiergummi-Symbol.

...

Sobald Sie die gewünschten Einstellungen vorgenommen haben, können Sie den Bearbeitungsmodus per Klick auf das Stift-Symbol wieder verlassen.

...

...

Aktualisiert werden Schattennutzer immer dann, wenn diese sich bei einem erneuten Login per Single-Sign-On über SAML authentifizieren. Dabei wird jeweils das (Schatten-)Nutzerkonto aktualisiert, bei dem die vom Identity-Provider übertragene Name-ID mit dem Nutzernamen des PPP-Nutzerkontos übereinstimmt. Das heißt, dass geänderte Nutzerinformationen am Identity-Provider oder Änderungen der SAML-Konfiguration in Bezug auf die zu übernehmenden Nutzerinformationen und Berechtigungen auch erst dann in der Prozessplattform in Effekt treten. 

Aktualisierung der Profilinformationen

Bei der Aktualisierung der "einfachen" Nutzerinformationen Profilinformationen eines Schattennutzers werden , die bisher in der Prozessplattform hinterlegten Werte , immer mit den vom Identity-Provider erhaltenen Werten überschrieben.

Das bedeutet, wenn für einen Schattennutzer in der Prozessplattform z.B. der Nachname "Meier" hinterlegt ist und sich dieser Schattennutzer nun per Single-Sign-On authentifiziert und der Identity-Provider als Nachnamen "Müller" überträgt, wird der Nachname des Schattennutzers in der Plattform automatisch zu "Müller" geändert.

Standard-Verhalten für die Aktualisierung der Berechtigungen

Bei der Aktualisierung von Prozessplattform-Berechtigungen eines Schattennutzers werden niemals standardmäßig keine bestehende Rechte entzogen, es werden nur zusätzliche Berechtigungen hinzugefügt.

Dies kann geschehen, falls sich die Gruppe/Rolle des Nutzers beim Identity-Provider oder die Berechtigungszuordnungen in der Prozessplattform geändert haben.

Wenn also ein Schattennutzer in der Prozessplattform bisher den Nutzertypen "Betrachter" hat und der Identity-Provider bei einem Login des Nutzers in die Prozessplattform eine Gruppenmitgliedschaft für den Schattennutzer überträgt, welcher der Nutzertyp "Modellierer" zugeordnet ist, wird der Nutzertyp zu "Modellierer" geändert. Wäre dies genau umgekehrt, d.h. der Nutzer hat bereits den Nutzertypen "Modellierer" und über die Berechtigungszuordnung wird "Betrachter" festgelegt, behält der Schattennutzer trotzdem weiterhin den Nutzertypen "Modellierer".

Wenn ein Schattennutzer in der Prozessplattform Mitglied in den Gruppen "Content-Redakteure" und "Konfiguratoren" ist und sich dieser Schattennutzer nun per Single-Sign-On authentifiziert und der Identity-Provider eine Gruppe für den Schattennutzer überträgt, welcher die Gruppen "Content-Redakteure" und "Demo-Nutzer" zugeordnet ist, werden die Gruppenmitgliedschaften des Schattennutzer zu "Content-Redakteure", "Konfiguratoren" und "Demo-Nutzer" geändert. Die Gruppe "Demo-Nutzer" wurde hinzugefügt, aber die Gruppe "Konfiguratoren" wurde nicht entfernt.

...

des Schattennutzer zu "Content-Redakteure", "Konfiguratoren" und "Demo-Nutzer" geändert. Die Gruppe "Demo-Nutzer" wurde hinzugefügt, aber die Gruppe "Konfiguratoren" wurde nicht entfernt.

Abweichendes Verhalten für die Aktualisierung der Berechtigungen bei Aktivierung der Einstellung “Benutzer-Gruppen erzwingen“

Sofern Sie die Einstellung “Berechtigungen erzwingen“ aktiviert haben, wird hierdurch das o.g. Standard-Verhalten übersteuert. In diesem Fall werden bei einem erfolgreichen SAML-Login zunächst die bestehenden Berechtigungen zurückgesetzt und anschließend die neuen Berechtigungen anhand der hinterlegten Regeln für das Gruppen-Mapping neu vergeben.

FAQ - Automatische (Schatten-)Nutzererstellung konfigurieren