Grober Überblick über mögliche Einstellungen: Nutzerinformationen und Berechtigungen zuordnen
Inhaltsverzeichnis
Nutzerinformationen vom Identity-Provider übernehmen
Aus welchem Grund müssen Nutzerkonten in der PPP persitiert werden?
Welche Nutzerinformationen kann die PPP vom IdP übernehmen?
Folgende Nutzerinformationen kann die PICTURE-Prozessplattform von Ihrem Identity-Provider übernehmen:
| Email-Adresse | Der Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als E-Mail hinterlegt. |
|---|---|
| (optional) Anrede | Der Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Anrede hinterlegt. |
| (optional) Akademischer Titel | Der Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Akademischer Titel hinterlegt. |
| (optional) Vorname | Der Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Vorname hinterlegt. |
| (optional) Nachname | Der Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Nachname hinterlegt. |
| (optional) Abteilung | Der Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Abteilung hinterlegt. |
| Gruppen | Die Bezeichnung für das Attribut des IdPs aus dem die Gruppenzugehörigkeiten eines Nutzers ausgelesen werden können. Wie die einzelnen Gruppenzugehörigkeiten aus Ihrem IdP in der PPP zugeordnet werden können, erfahren Sie unten. |
Wie muss ich die PPP konfigurieren, damit die von mir gewünschten Informationen in der PPP sichtbar sind?
Um die gewünschten Nutzer-Informationen aus ihrem Identity-Provider in die PICTURE-Prozessplattform zu übernehmen, tragen Sie in der SAML-Konfiguration der PPP jeweils die Bezeichnung für das Attribut ein, dessen Wert übernommen werden soll.
Wie die jeweiligen Bezeichnungen lauten erfahren Sie in den Einstellungen, die Sie an ihrem IdP vorgenommen haben.
TODO Bild mit Beispiel einfügen
TODO Recherchieren ob die Einstellungen bei allen IdPs jeweils für ein SP vorgenommen werden können oder ob es auch IdPs mit globale Konfigurationen gibt
Werden einzelne Informationen zu Nutzerkonten in ihrem Identity-Provider nicht gepflegt, dann kann das entsprechende Feld in der PPP einfach unausgefüllt gelassen werden. In diesem Fall bleibt die entsprechende Information in der PPP leer.
Wie werden Nutzerinformationen in der PPP gespeichert und aktualisiert?
Sobald sich ein Nutzer das erste Mal per SAML in der PPP einloggt, wird ein neues Konto anhand der akutellen Konfiguration angeleget und unabhängig vom IdP in der Datenbank der PPP abgespeichert.
Akualisiert werden bestehende Nutzerinformationen in der PPP erst beim erneuten Login des Nutzers. Das heißt unter anderem auch, dass geänderte Nutzerinformationen am IdP oder eine Änderungen der SAML-Konfiguration, erst dann in Effekt treten.
Automatische Zuweisung von Berechtigungen
Welche Berechtigungen kann ich automatisch zuweisen? Wann/ Wie werden die Nutzer aktualisiert?
Default-Berechtigungen
Wann greifen die Default-Berechtigungen? Wo kann ich diese festlegen?
Explizit zugewiesene Berechtigungen
Wie kann ich IdP-Gruppenzugehörigkeiten explizit auf PPP-Berechtigungen mappen?
TODO, folgenden vermerken: Um IdP-Gruppenzugehörigkeiten zuzuordnen, muss in der PPP die Einstellung für die Bezeichnung des SAML-Gruppen-Parameters hinterlegt werden.