Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 63 Nächste Version anzeigen »

Auf dieser Seite erfahren Sie, wie bei der Erstellung und Aktualisierung der Schattennutzer (Nutzer, die sich per Single-Sign-On in die Prozessplattform eingeloggt haben) vorgegangen wird. Außerdem wird auf dieser Seite erläutert, wie Sie sowohl Nutzerinfomationen, als auch individuelle Prozessplattform-Berechtigungen für jeden erstellten Schattennutzer festlegen können.

Inhaltsverzeichnis 

Erstellung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On

Sobald sich ein Nutzer das erste Mal per Single-Sign-On über SAML in die PICTURE-Prozessplattform einloggt, wird ein neues Benutzerkonto für diesen in der Plattform angelegt. Dabei werden die vom Identity-Provider übertragenen Gruppen / Rollen bzw. Nutzerinformationen in der Prozessplattform Berechtigungen zugeordnet und die konfigurierten Nutzerinformationen übernommen. Als Nutzername wird immer die vom Identity-Provider übertragene Name-ID verwendet. Die auf diese Art und Weise erstellten Prozessplattform Nutzer heißen "Schattennutzer". Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.).

Wie verhindere ich, dass für bereits bestehende Nutzer ein neues Benutzerkonto bei einem Login per Single-Sign-On angelegt wird?

Falls Sie bereits bestehende Nutzerkonten in der PICTURE-Prozessplattform verwalten und möchten nicht, dass für diese Nutzer bei einem Login per Single-Sign-On über SAML ein neues (zweites) Benutzerkonto angelegt wird, stellen Sie sicher, dass der Nutzername der betroffenen Nutzerkonten mit der jeweiligen Name-ID desselben Nutzers in Ihrem Identity-Provider übereinstimmt. 

Sobald Sie dies für alle betroffenen Nutzerkonten sichergestellt bzw. angepasst haben, werden die bestehende Benutzerkonto bei dem Login eines Nutzers per Single-Sign-On über SAML lediglich nach den unten beschriebenen Regeln aktualisiert, es wird aber kein zusätzliches Benutzerkonto angelegt.

Nutzerinformationen vom Identity-Provider übernehmen

Über die oben zu sehenden Eingabefelder haben Sie die Möglichkeit die folgenden Nutzerinformationen eines Schattennutzers automatisch vom Identity-Provider zu übernehmen:

  • E-Mail-Adresse
  • Anrede
  • Akademischer Titel
  • Vorname
  • Nachname
  • Abteilung

Pflichteingabe

Bitte berücksichtigen Sie, dass die E-Mail-Adresse eine Pflichtangabe in der Prozessplattform ist und daher zwangsweise einem Identity-Provider-Attribut zugeordnet werden muss, welches eine E-Mail-Adresse enthält. Falls einem Schattennutzerkonto bei seiner Erstellung keine E-Mail-Adresse zugeordnet werden kann, kann dieses Konto nicht angelegt werden und der Anwender sich somit nicht in die Prozessplattform einloggen.

Um die gewünschten Nutzer-Informationen aus ihrem Identity-Provider in die PICTURE-Prozessplattform zu übernehmen, tragen Sie jeweils die Bezeichnung für das Attribut ein, dessen Wert bei der jeweiligen Nutzerinformation gesetzt werden soll. Die einzutragenden Bezeichnungen können Sie Ihrem Identity-Provider entnehmen. Falls Sie einzelne Nutzerinformationen nicht vom Identity-Provider übernehmen möchten oder können (z.B. falls diese dort nicht gepflegt werden) können Sie das entsprechende Eingabefeld einfach leer lassen.

Automatische Zuweisung von Berechtigungen für SAML authentifizierte Nutzer

Über das oben zu sehende Eingabefeld und die zugehörige Tabelle haben Sie die Möglichkeit neben den oben beschriebenen einfachen Nutzerinformationen auch PICTURE-Prozessplattform-Berechtigungen zu den Schattennutzern zuzuordnen. Die Berechtigungen werden in Form eines Nutzertyps und beliebig vielen Gruppenmitgliedschaften abgebildet.

Default-Berechtigungen festlegen

In welchem Fall werden die Default-Berechtigungen angewandt?

Die Default-Berechtigungen werden bei dem Anlegen oder der Aktualisierung eines Prozessplattform-Nutzers immer dann angewandt, wenn der PICTURE-Prozessplattform bei dem Login des Nutzers keine Identity-Provider-Gruppe / -Rolle übergeben wird oder zu der Identity-Provider-Gruppe / -Rolle des Nutzers keine explizite Zuordnung von Prozessplattform-Berechtigungen konfiguriert wurde. 

Wie kann ich sinnvolle Default-Berechtigungen festlegen?

Nutzen Sie folgende Fragen, um sinnvolle Default-Berechtigungen für Ihre Prozessplattform festlegen zu können. 

  • Sollen alle Nutzer, die sich per Single-Sign-On in die Prozessplattform einloggen, dieselben Berechtigungen erhalten?
    (Falls Sie diese Frage mit "Ja" beantworten müssen Sie später keine expliziten Berechtigungszuordnungen hinzufügen)
  • Sollen Nutzer, denen explizit (über deren Gruppe/ Rolle) keine Berechtigungen zugeordnet werden konnten, Zugriff auf die Prozessplattform erhalten? 
    (Wird der Nutzertyp "keine Lizenz" zugeordnet erhalten die betroffenen Nutzer keinen Zugriff auf die Prozessplattform)
  • Sind für alle Nutzer, bei denen die Default-Berechtigungen greifen sollen, genügend Lizenzen für den gewählten Nutzertyp verfügbar?
    (Alle verfügbaren Lizenzen werden im Verwaltungsbereich "Rechtliches und Datenschutz" aufgelistet)
  • Müssen ggf. neue Gruppen erstellt werden, um die gewünschten Berechtigungen abzubilden? Berücksichtigen Sie, dass eine Gruppe zugeordnet werden muss, wenn als Nutzertyp nicht "keine Lizenz" oder "Administrator" gewählt wurde.

Falls Sie keine expliziten Zuordnungen von Prozessplattform-Berechtigungen konfigurieren möchten, müssen Sie für eine erfolgreiche Inbetriebnahme der Single-Sign-On-Konfiguration Zugriffsberechtigungen auf (mindestens) einen Arbeitsbereich über die Default-Berechtigungen festlegen, ansonsten ist ein Login per Single-Sign-On für keinen Anwender möglich. Zugriff auf mindestens einen Arbeitsbereich können Sie entweder über den Nutzertyp Administrator oder einen anderen Nutzertyp (Betrachter oder Modellierer) in Verbindung mit einer entsprechend konfigurierten Gruppe festlegen. Wie Sie die Default-Berechtigungen bearbeiten können erfahren Sie weiter unten im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".

(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren

Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. An diesem Feld müssen Sie die Bezeichnung des Attributes, welches die Gruppen/ Rollen o.Ä. eines Nutzers in einer Nachricht Ihres Identity-Providers enthält, hinterlegen. Die Zuordnung der Nutzer zu den Berechtigungen wird später über die Gruppe/ Rolle o.Ä., welche die jeweiligen Nutzer in dem von Ihnen genutzten Identity-Provider haben, vorgenommen.

Um einer Nutzergruppe / Rolle Ihres Identity-Providers explizit bestimmte Berechtigungen zuzuordnen müssen Sie zunächst eine neue Berechtigungszuordnung (Zeile) in der zu sehenden Tabelle hinzufügen. Dazu klicken Sie auf den Knopf "Neue Berechtigungszuordnung hinzufügen" unterhalb der Tabelle.

In der neuen Zeile der Tabelle müssen Sie nun in der ersten Spalte die Gruppen- / Rollenbezeichnungen Ihres Identity-Providers eintragen, der Sie Prozessplattform-Berechtigungen zuordnen möchten. Die gewünschten Berechtigungen, d.h. einen Nutzertyp und beliebig viele Gruppen können Sie in den übrigen Tabellenspalten eintragen. Hinweise zur Bearbeitung der Berechtigungen und Bestätigung Ihrer Eingabe finden Sie im Abschnitt "Zuordnungen von Berechtigungen bearbeiten".

Falls Sie eine Berechtigungszuordnung entfernen möchten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie dann auf das erschienene Radiergummi-Symbol.

Zuordnungen von Berechtigungen bearbeiten

Um eine bestehende Zuordnung von Berechtigungen zu bearbeiten, fahren Sie mit der Maus über die entsprechende Tabellenzeile und klicken Sie auf das Stift-Symbol. Falls Sie die Default-Berechtigungen ausgewählt haben können Sie nun den gewünschten Nutzertyp sowie die gewünschten Gruppen zuordnen. Falls Sie eine explizite Zuordnung von Berechtigungen ausgewählt haben können Sie zusätzlich noch die Gruppe / Rolle des Identity-Providers angeben, für die die angegebenen Berechtigungen gelten sollen.

Den gewünschten Nutzertyp können Sie einfach in der angezeigten Drop-Down-Box auswählen. Berücksichtigen Sie dabei, dass der Nutzertyp "keine Lizenz" dafür sorgen wird, dass sich ein Nutzer, dem dieser Nutzertyp zugeordnet wurde nicht in die Prozessplattform einloggen kann. In diesem Fall wird auch kein Benutzerkonto in der Prozessplattform für diesen Nutzer angelegt. Sie können den Nutzertyp "keine Lizenz" also nutzen, wenn Sie Personen, die einen Zugang in Ihrem Identity-Provider haben aus der Prozessplattform "aussperren" möchten. Außerdem sollten Sie berücksichtigen, dass der Nutzertyp "Administrator" uneingeschränkten Zugriff auf alle Funktionen der Prozessplattform (inkl. Verwaltungfunktionen!) freigibt. Diese Zugriffsberechtigungen können auch durch Gruppen nicht mehr eingeschränkt werden. 

Die gewünschten Gruppen können Sie hinzufügen, indem Sie die gewünschte Gruppe in der angezeigten Drop-Down-Box auswählen. Bestätigen Sie Ihre Eingabe über das "+"-Symbol. Falls Sie eine Gruppe wieder entfernen möchten, fahren Sie mit der Maus über die entsprechende Gruppe und klicken Sie auf das Radiergummi-Symbol.

Sobald Sie die gewünschten Einstellungen vorgenommen haben, können Sie den Bearbeitungsmodus per Klick auf das Stift-Symbol wieder verlassen.

Aktualisierung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On

Aktualisiert werden Schattennutzer immer dann, wenn diese sich bei einem erneuten Login per Single-Sign-On über SAML authentifizieren und die vom Identity-Provider übertragene Name-ID mit dem Nutzernamen des Schattennutzers übereinstimmt. Das heißt, dass geänderte Nutzerinformationen am Identity-Provider oder eine Änderungen der SAML-Konfiguration im Bezug auf die zu übernehmenden Nutzerinformationen und Berechtigungen, erst dann in Effekt treten. 

Bei der Aktualisierung der "einfachen" Nutzerinformationen eines Schattennutzers werden, die in der Prozessplattform hinterlegten Werte, immer mit den vom Identity-Provider erhaltenen Werten überschrieben. D.h., wenn für einen Schattennutzer in der Prozessplattform der Nachname "Meier" hinterlegt ist und sich dieser Schattennutzer nun per Single-Sign-On authentifiziert und der Identity-Provider als Nachnamen "Müller" überträgt, wird der Nachname des Schattennutzers in der Plattform automatisch auf den Wert "Müller" geändert.

Bei der Aktualisierung von Prozessplattform-Berechtigungen eines Schattennutzers werden niemals bestehende Rechte entzogen, es werden nur zusätzliche Berechtigungen hinzugefügt, falls sich die Gruppe/ Rolle des Nutzers bei dem Identity-Provider oder die Berechtigungszuordnungen in der Prozessplattform geändert haben.

D.h., wenn ein  Schattennutzer in der Prozessplattform den Nutzertyp "Betrachter" hat und sich dieser Nutzer nun per Single-Sign-On authentifiziert und der Identity-Provider eine Gruppe für den  Schattennutzer überträgt, welcher der Nutzertyp "Modellierer" zugeordnet ist, wird der Nutzertyp des Nutzers zu "Modellierer" geändert. Wenn dies aber genau umgekehrt wäre, d.h. der Nutzer hat bereits den Nutzertyp "Modellierer" und über die Berechtigungszuordnung wird "Betrachter" festgelegt, behält der Schattennutzer weiterhin den Nutzertyp "Modellierer".

Wenn ein Schattennutzer in der Prozessplattform Mitglied in den Gruppen "Content-Redakteure" und "Konfiguratoren" ist und sich dieser Schattennutzer nun per Single-Sign-On authentifiziert und der Identity-Provider eine Gruppe für den Schattennutzer überträgt, welcher die Gruppen "Content-Redakteure" und "Demo-Nutzer" zugeordnet ist, werden die Gruppenmitgliedschaften des Schattennutzer zu "Content-Redakteure", "Konfiguratoren" und "Demo-Nutzer" geändert. Die Gruppen "Demo-Nutzer" wurde hinzugefügt, aber die Gruppe "Konfiguratoren" wurde nicht entfernt.

FAQ - Automatische Nutzererstellung

Kann ich Single-Sign-On aktivieren, wenn es bereits bestehende "normale" Nutzerkonten gibt?

Ja, in der Prozessplattform können "normale" Prozessplattform-Nutzer neben Schattennutzern existieren und ganz normal weiter genutzt werden. Wenn Sie Anwendern, die bereits ein normales Nutzerkonto haben einen Login per Single-Sign-On ermöglichen möchten, ohne dass jeweils ein neuer Schattennutzer für den Anwender angelegt wird, stellen Sie einfach sicher, dass der Nutzername des Andwenders in der Prozessplattform identisch mit der Name-ID desselben Anwenders beim Identity-Provider ist. Ist dies der Fall werden die bestehenden Nutzer als Schattennutzer weiter geführt und bei einem Login per Single-Sign-On entsprechend aktualisiert. Bei der Aktualisierung werden die auf folgender Seite beschriebenen Regeln angewandt: Aktualisierung eines Prozessplattform-Nutzers bei einem Login über Single-Sign-On.

Haben Schattennutzer weiterhin Zugriff auf die Prozessplattform, wenn Single-Sign-On abgeschaltet ist?

Schattennutzer können sich, nachdem Single-Sign-On abgeschaltet wurde, ohne weiteres erstmal nicht mehr in die Prozessplattform einloggen. Um ein Login für diese Nutzer wieder zu ermöglichen, müssen Sie den Nutzern zuerst ein Passwort zuweisen und zukommen lassen. Weitere Informationen dazu finden Sie im Kapitel Nutzer verwalten).



  • Keine Stichwörter