Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 18 Nächste Version anzeigen »

Grober Überblick über mögliche Einstellungen: Nutzerinformationen und Berechtigungen zuordnen

Inhaltsverzeichnis 

Nutzerinformationen vom Identity-Provider übernehmen

Aus welchem Grund müssen Nutzerkonten in der PPP persitiert werden?

Welche Nutzerinformationen kann die PPP vom IdP übernehmen?

Folgende Nutzerinformationen kann die PICTURE-Prozessplattform von Ihrem Identity-Provider (IdP) übernehmen:

Email-AdresseDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als E-Mail hinterlegt.
(optional) AnredeDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Anrede hinterlegt.
(optional) Akademischer TitelDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Akademischer Titel hinterlegt.
(optional) VornameDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Vorname hinterlegt.
(optional) NachnameDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Nachname hinterlegt.
(optional) AbteilungDer Wert des Attributs mit dieser Bezeichnung wird im PPP-Nutzerkonto als Abteilung hinterlegt.

Wie muss ich die PPP konfigurieren, damit die von mir gewünschten Informationen in der PPP sichtbar sind?

Um die gewünschten Nutzer-Informationen aus ihrem Identity-Provider in die PICTURE-Prozessplattform zu übernehmen, tragen Sie in der SAML-Konfiguration der PPP jeweils die Bezeichnung für das Attribut ein, dessen Wert übernommen werden soll.
Wie die jeweiligen Bezeichnungen lauten erfahren Sie in den Einstellungen, die Sie an ihrem IdP vorgenommen haben.

TODO Bild mit Beispiel einfügen

TODO Recherchieren ob die Einstellungen bei allen IdPs jeweils für ein SP vorgenommen werden können oder ob es auch IdPs mit globale Konfigurationen gibt

Werden einzelne Informationen zu Nutzerkonten in ihrem Identity-Provider nicht gepflegt, dann kann das entsprechende Feld in der PPP einfach unausgefüllt gelassen werden. In diesem Fall bleibt die entsprechende Information in der PPP leer.

Automatische Zuweisung von Berechtigungen für SAML authentifizierte Nutzer

Über die SAML-Konfiguration haben Sie die Möglichkeit neben den oben beschriebenen einfachen Nutzerinformationen auch PICTURE-Prozessplattform-Berechtigungen zu den per SAML authentifizierten Nutzern zuzuordnen. Die Berechtigungen werden in Form eines Nutzertyps und beliebig vielen Gruppenmitgliedschaften abgebildet. Die Zuordnung der Nutzer zu den Berechtigungen wird über die Gruppe/ Rolle o.Ä., welche die jeweiligen Nutzer in dem von Ihnen genutzten Identity-Provider haben, vorgenommen.

Screenshot Abschnitt "Zuordnung von PPP-Berechtigungen"

Pflichteinstellungen

Um die erstellte SAML-Konfiguration erfolgreich in Betrieb nehmen zu können, müssen Sie mindestens die Default-Berechtigungen in der zu sehenden Tabelle ausfüllen. Die Default-Berechtigungen werden, wie bereits oben beschrieben, in Form eines Nutzertyps und beliebig vielen Gruppenmitgliedschaften abgebildet. Wie Sie die Default-Berechtigungen bearbeiten können erfahren Sie im nächsten Abschnitt "Zuordnungen von Berechtigungen bearbeiten".

In welchem Fall werden die Default-Berechtigungen angewandt?

Die Default-Berechtigungen werden bei dem Anlegen oder der Aktualisierung eines Prozessplattform-Nutzers immer dann angewandt, wenn der PICTURE-Prozessplattform bei dem Login des Nutzers keine Identity-Provider-Gruppe / -Rolle bekannt gemacht wird oder zu der Identity-Provider-Gruppe / -Rolle des Nutzers keine explizite Zuordnung von Prozessplattform-Berechtigungen konfiguriert wurde. Bei der Aktualisierung eines Nutzers wird wie im Abschnitt "Aktualisierung eines Prozessplattform-Nutzer bei einem Login über SSO" beschrieben vorgegangen. Es werden keine zuvor für den Nutzer festgelegten Berechtigungen entfernt. Ggf. werden allerdings neue Berechtigungen hinzugefügt.

Screenshot Default-Berechtigungen

Zuordnungen von Berechtigungen bearbeiten

Nutzertyp für eine Berechtigungszuordnung festlegen + Besonderheit Nutzertyp "keine Lizenz" und "Admin"

Gruppenmitgliedschaften für eine Berechtigungszuordnung festlegen (Hinzufügen + Entfernen)


Was passiert, wenn eine zugeordnete Gruppe gelöscht wird?


(Optional) Explizite Zuordnungen von Prozessplattform-Berechtigungen konfigurieren

Zusätzlich zu den Default-Berechtigungen haben Sie die Möglichkeit Prozessplattform-Berechtigungen explizit für eine bestimmte Nutzergruppe/ -Rolle Ihres Identity-Providers festzulegen. Dazu müssen Sie das Feld "Identity-Provider-Gruppen / -Rollen" in der Benutzeroberfläche ausfüllen. An diesem Feld müssen Sie die Bezeichnung des Attributes, welches die Gruppen/ Rollen o.Ä. in einer Nachricht Ihres Identity-Providers enthält, hinterlegen. 

Screenshot  Feld "Identity-Provider-Gruppen / -Rollen"

TODO: Beschreibung im Zusammenhang mit der UI (Wo muss ich klicken?): Berechtigungszuordnung hinzufügen & wieder entfernen + Bezeichnung der IdP-Gruppe angeben

Zu den Gruppen- / Rollenbezeichnungen können Sie dann in der unten stehenden Tabelle jeweils Prozessplattform-Berechtigungen in Form eines Nutzertyps und mehreren Nutzergruppen zuordnen. Wie das funktioniert erfahren Sie im im Abschnitt "Berechtigungszuordnung bearbeiten".

Aktualisierung eines Prozessplattform-Nutzer bei einem Login über SSO

Sobald sich ein Nutzer das erste Mal per SAML in der PPP einloggt, wird ein neues Konto anhand der aktuellen Konfiguration angelegt und unabhängig vom IdP in der Datenbank der PPP abgespeichert.
Akualisiert werden bestehende Nutzerinformationen in der PPP erst beim erneuten Login des Nutzers. Das heißt unter anderem auch, dass geänderte Nutzerinformationen am IdP oder eine Änderungen der SAML-Konfiguration, erst dann in Effekt treten.





  • Keine Stichwörter