Versionen im Vergleich

Version Alte Version 77 Neue Version Aktuell
Änderungen wurden vorgenommen von

Malte Stockmann

Vivian Tan

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Info

Auf dieser Seite erfahren Sie, wie bei der Erstellung und Aktualisierung der Schattennutzer (Nutzer, die sich per Single-Sign-On in die Prozessplattform eingeloggt haben) vorgegangen wird. Außerdem wird auf dieser Seite erläutert, wie Sie sowohl Nutzerinformationen, als auch individuelle Prozessplattform-Berechtigungen für jeden erstellten Schattennutzer festlegen können.

Hinweis

Zur Zeit befindet sich die Single-Sign-On-Funktion im Pilot-Betrieb bei ausgewählten Kunden, d.h. Single-Sign-On ist standardmäßig nicht in der PICTURE-Prozessplattform konfigurierbar. Falls Sie Single-Sign-On bereits jetzt nutzen möchten, bewerben Sie sich gerne für die Teilnahme am Pilot-Programm. Wenden Sie sich dazu über den technischen Ansprechpartner für Ihren Mandanten per E-Mail an support@picture-gmbh.de

Inhaltsverzeichnis 

...

Inhaltsverzeichnis 

Inhalt
minLevel1
maxLevel1
excludeInhaltsverzeichnis

...

Standardmäßig werden die aus den (IDP-)Gruppenmitgliedschaften abgeleiteten (PPP-)Gruppenmitgliedschaften zusätzlich zu den Berechtigungen erteilt, die dem Schattennutzer im Modul Nutzer- und Gruppenverwaltung der Prozessplattform regulär bereits zugewiesen wurden. Somit können Sie z.B. einem per SAML-Login automatisch angelegten Schattennutzer später manuell weitere individuell Berechtigungen zuweisen. Beim nächsten SAML-Login bleiben diese erhalten. Evtl. darüber hinausgehende Berechtigungen, die sich aus den o.g. Regeln zum Gruppen-Matching ergeben, werden zusätzlich beim nächsten Login automatisch erteilt.

Benutzer-Gruppen Berechtigungen vollständig synchronisieren

Wünschen Sie die vollständige Verwaltung der Benutzergruppen Berechtigungen über Ihren Identity-Provider, aktivieren Sie die OptionBenutzer-Gruppen Berechtigungen erzwingen.

Mit dieser Einstellung werden die Identity-Provider-Gruppen bzw. -Rollen bei jedem Login vollständig übernommen. Abweichende Gruppenmitgliedschaften und ggf. individuelle Berechtigungen, die

  1. auf Grund vorangegangener SAML-Logins mit anderen Einstellungen und/oder auf Basis anderer IDP-Daten sowie ggf.

  2. nach manuellen Anpassungen

für den Schattennutzer gespeichert waren, werden zuvor von der Schnittstelle automatisch gelöscht.

...

Hinweis

In welchem Fall werden die Default-Berechtigungen angewandt?

Die Default-Berechtigungen werden bei dem Anlegen oder der Aktualisierung eines Prozessplattform-Nutzers immer dann angewandt, wenn der PICTURE-Prozessplattform bei dem Login des Nutzers vom Identity-Provider keine Identity-Provider-Gruppe / -Rolle übergeben wird oder wenn zu der Identity-Provider-Gruppe / -Rolle des Nutzers kein Gruppen-Mapping explizit konfiguriert wurde. 

Tipp

Wie kann ich sinnvolle Default-Berechtigungen festlegen?

Nutzen Sie folgende Fragen, um sinnvolle Default-Berechtigungen für Ihre Prozessplattform festlegen zu können:

  • Sollen alle Nutzer, die sich per Single-Sign-On in die Prozessplattform einloggen, dieselben Berechtigungen erhalten?
    (Falls Sie diese Frage mit "Ja" beantworten müssen Sie später keine expliziten Berechtigungszuordnungen hinzufügen)

  • Sollen Nutzer, denen (über deren Gruppe/ Rolle) keine expliziten Berechtigungen zugeordnet werden konnten, Zugriff auf die Prozessplattform erhalten? 
    (Wird der Nutzertyp "keine Lizenz" zugeordnet erhalten die oben genannten Nutzer keinen Zugriff auf die Prozessplattform)

  • Sind für alle Nutzer, bei denen die Default-Berechtigungen greifen sollen, genügend Lizenzen für den gewählten Nutzertyp verfügbar?
    (Alle verfügbaren Lizenzen werden im Verwaltungsbereich "Rechtliches und Datenschutz" aufgelistet)

  • Müssen ggf. neue Gruppen erstellt werden, um die gewünschten Berechtigungen abzubilden? Berücksichtigen Sie, dass eine Gruppe zugeordnet werden muss, wenn als Nutzertyp etwas anderes als "keine Lizenz" oder "Administrator" gewählt wird.

Falls Sie keine expliziten Zuordnungen von Prozessplattform-Berechtigungen konfigurieren möchten, müssen Sie für eine erfolgreiche Inbetriebnahme der Single-Sign-On-Konfiguration Zugriffsberechtigungen auf (mindestens) einen Arbeitsbereich über die Default-Berechtigungen festlegen, ansonsten ist ein Login per Single-Sign-On für keinen Anwender möglich. Zugriff auf mindestens einen Arbeitsbereich können Sie entweder über den Nutzertyp Administrator oder einen anderen Nutzertyp (Betrachter oder Modellierer) in Verbindung mit einer entsprechend konfigurierten Gruppe festlegen. Wie Sie die Default-Berechtigungen bearbeiten können erfahren Sie weiter unten im Abschnitt "Automatische (Schatten-) Nutzererstellung konfigurieren#bearbeiten".

Anker
explizit
explizit

(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren

...

Tipp

Wie kann ich sinnvolle Berechtigungszuordnungen festlegen?

Nutzen Sie folgende Fragen, um sinnvolle Berechtigungszuordnungen für Ihre Prozessplattform festlegen zu können:

  • Sollen Nutzer, die Mitglieder der angegebenen Gruppe/Rolle sind, Zugriff auf die Prozessplattform erhalten? 
    (Wird der Nutzertyp "keine Lizenz" zugeordnet erhalten die betroffenen Nutzer keinen Zugriff auf die Prozessplattform)

  • Sollen Nutzer, die Mitglieder der angegebenen Gruppe/Rolle sind, Schreib- oder Lesezugriffe erhalten?
    (Nutzertyp Betrachter oder Modellierer/Administrator?)

  • Sind genügend Lizenzen für den gewählten Nutzertyp verfügbar?
    (Alle verfügbaren Lizenzen werden im Verwaltungsbereich "Rechtliches und Datenschutz" aufgelistet)

  • Müssen ggf. neue Gruppen erstellt werden, um die gewünschten Berechtigungen abzubilden? Berücksichtigen Sie, dass eine Gruppe zugeordnet werden muss, wenn als Nutzertyp etwas anderes als "keine Lizenz" oder "Administrator" gewählt wird.

In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Sie Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertypen und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen finden Sie im Abschnitt "Automatische (Schatten-) Nutzererstellung konfigurieren#bearbeiten".

Falls Sie eine hinzugefügte Berechtigungszuordnung wieder entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das Radiergummi-Symbol.

...

Sofern Sie die Einstellung “Benutzer-Gruppen “Berechtigungen erzwingen“ aktiviert haben, wird hierdurch das o.g. Standard-Verhalten übersteuert. In diesem Fall werden bei einem erfolgreichen SAML-Login zunächst die bestehenden Berechtigungen zurückgesetzt und anschließend die neuen Berechtigungen anhand der hinterlegten Regeln für das Gruppen-Mapping neu vergeben.

...

Auszug

Kann ich Single-Sign-On aktivieren, wenn es bereits bestehende "normale" Nutzerkonten gibt?

Ja, in der Prozessplattform können "normale" Prozessplattform-Nutzer neben Schattennutzern existieren und ganz normal weiter genutzt werden. Wenn Sie Anwendern, die bereits ein normales Nutzerkonto haben einen Login per Single-Sign-On ermöglichen möchten, ohne dass jeweils ein neuer Schattennutzer für den Anwender angelegt wird, stellen Sie sicher, dass der Nutzername des Anwenders in der Prozessplattform identisch mit der Name-ID desselben Anwenders beim Identity-Provider ist. Ist dem der Fall, dann werden die bestehenden Nutzer bei einem Login per Single-Sign-On entsprechend aktualisiert. Ein "normaler" Login über die Prozessplattform ist für diese Nutzer weiterhin möglich. Bei der Aktualisierung werden die auf folgender Seite beschriebenen Regeln angewandt: Automatische (Schatten-) Nutzererstellung konfigurieren#Aktualisierung.

Haben Schattennutzer weiterhin Zugriff auf die Prozessplattform, wenn Single-Sign-On abgeschaltet ist?

Schattennutzer können sich, nachdem Single-Sign-On abgeschaltet wurde, ohne weiteres erstmal nicht mehr in die Prozessplattform einloggen. Um einen Login für diese Nutzerkonten zu ermöglichen, müssen Sie den Nutzern zuerst ein Passwort zuweisen und zukommen lassen. Weitere Informationen dazu finden Sie im Kapitel Nutzer verwalten.