Sie möchten den Nutzern Ihrer PICTURE-Prozessplattform den Komfort bieten, sich bei Ihrer täglichen Arbeit über ein bereits von Ihnen genutztes Drittsystem in die Prozessplattform einzuloggen, ohne sich zusätzliche Zugangsdaten für die Prozessplattform merken zu müssen und nutzen bereits ein solches Drittsystem welches als (SAML-) Identity-Provider fungieren kann? Dann informieren Sie sich im Folgenden, wie Sie Ihren Identity-Provider auch zur Authentifizierung bei der PICTURE-Prozessplattform nutzen können.
Inhaltsverzeichnis
Was ist die SAML-Schnittstelle?
Die SAML-Schnittstelle ermöglicht es Ihnen für Ihre PICTURE-Prozessplattform Single-Sign-On-Funktionalität zu aktivieren. Dabei Authentifizieren sich Nutzer der Prozessplattform gegen ein Drittsystem (einen sogenannten Identity-Provider), d.h. Anwender, die ein Benutzerkonto bei dem Identity-Provider haben, können sich ganz einfach über dessen Login-Mechanismus einloggen, um die Prozessplattform zu nutzen. Die Anwender müssen sich dadurch bei Ihrerer täglichen Arbeit ggf. nur in einem einzigen System, dem Identity-Provider, anmelden. Ein zusätzlicher Login in die Prozessplattform entfällt. Daraus resultiert, dass die Anwender sich keine zusätzlichen Zugangsdaten speziell für die Prozessplattform merken müssen. Für Administratoren Ihrer Prozessplattform entfällt außerdem die zusätzliche Arbeit, die mit der manuellen Pflege "doppelter" Benutzerkonten verbunden ist (z.B. Zugangsdaten verteilen, vergessene Passwörter zurücksetzen etc.).
Außerdem bietet die SAML-Schnittstelle eine Single-Sign-Out-Funktionalität, d.h. Anwender, die per Single-Sign-On eingeloggt sind können sich durch einen Logout aus der Prozessplattform automatisch auch bei dem genutzten Identity-Provider abmelden. Umgekehrt ist dies genauso möglich, d.h. bei einem Logout aus dem Identity-Provider kann der jeweilige Anwender automatisch auch aus der Prozessplattform ausgeloggt werden.
Die flexiblen Mechanismen zur Steuerung der Zugriffsberechtigungen auf die Inhalte der Prozessplattform (z.B. funktionale Rechte und Rollen, Zugriffsrechte auf Ordner und Sichten) stehen auch bei Nutzung der SAML-Schnittstelle weiterhin zur Verfügung. Der Administrationsaufwand hinsichtlich der Zugriffsberechtigungen lässt sich durch eine optionale Zuordnung von Identity-Provider-Gruppen, Rollen o.Ä. zu Prozessplattform-Berechtigungen (Nutzertyp und Gruppen-Mitgliedschaften) weiterhin auf ein Minimum reduzieren.
Was ändert sich in der Nutzerverwaltung der PICTURE-Prozessplattform, wenn die SAML-Schnittstelle aktiviert ist?
- Bei aktivierter SAML-Schnittstelle müssen Sie keine Benutzerkonten mehr manuell in der PPP anlegen. Diese werden automatisch beim ersten Single-Sign-On-Login eines Anwenders erstellt (vorausgesetzt der Anwender gehört einer Gruppe/ Rolle Ihres Identity-Providers an, welcher in der Schnittstellenkonfiguration Prozessplattform-Berechtigungen zugeordnet sind).
Bei den automatisch angelegten Benutzerkonten handelt es sich dabei um sogenannte Schattennutzer. Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform über einen Nutzer benötigt und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.). - Der Nutzername der o.g. Schattennutzer entspricht immer der Name-Id des Nutzers bei dem Identity-Provider. Erhaltene Daten vom Identity-Provider werden daher über die Name-Id bzw. den Benutzernamen einem Schattennutzer zugeordnet.
- Die Stammdaten der o.g. Schattennutzer (Vorname, Nachname, akademischer Titel, E-Mail-Adresse etc.) werden beim Erstlogin per Single-Sign-On vom Identity-Provider übernommen. In der Schnittstellen-Konfiguration können Sie die vom Identity-Provider übertragenen Nutzerinformationen den entsprechenden Prozessplattform-Nutzerinformationen zuordnen.
- Bei allen weiteren Single-Sign-On-Logins eines Schattennutzers werden die o.g. Nutzerinformationen immer mit den vom Identity-Provider erhaltenen Daten überschrieben.
- Die Prozessplattform-Berechtigungen der Schattennutzer werden beim Erstlogin per Single-Sign-On entsprechend der Gruppe/ -Rolle des Anwenders bei dem Identity-Provider übernommen. In der Schnittstellenkonfiguration können Sie einer Identity-Provider-Gruppe/ -Rolle einen Prozessplattform-Nutzertyp ("Administrator", "Betrachter", etc.) und beliebig viele Prozessplattform-Gruppen zuordnen.
- Bei allen weiteren Single-Sign-On-Logins eines Schattennutzers werden die Prozessplattform-Berechtigungen aktualisiert. Dabei werden niemals bestehende Rechte entzogen, es werden nur zusätzliche Berechtigungen hinzugefügt, falls sich die Gruppe/ Rolle des Schattennutzers bei dem Identity-Provider oder die Berechtigungszuordnungen in der Prozessplattform geändert haben.
- Für die Schattennutzer wird kein Passwort in der Datenbank der Prozessplattform gespeichert, d.h. sofern Sie den Schattennutzern über die bekannten Funktionen der Nutzerverwaltung kein Passwort zuweisen, können sich diese ausschließlich per Single-Sign-On bei der Prozessplattform authentifizieren.
- Als Administrator stehen Ihnen in der Nutzerverwaltung weiterhin alle bekannten Funktionen für Schattennutzer zur Verfügung (Stammdaten eines Nutzers ändern, Passwort zurücksetzen etc).
- Schattennutzer selber können sowohl Ihre Nutzerinformationen (Anrede, Nachname, etc) als auch Ihr Passwort in der Prozessplattform nicht mehr ändern, sobald Sie sich per Single-Sign-On eingeloggt haben.
- Schattennutzer können die "Passwort vergessen"-Funktion der Prozessplattform nicht nutzen.
Wie kann die Schnittstelle aktiviert und konfiguriert werden?
Die SAML-Schnittstelle können Sie als Administrator Ihrer PICTURE-Prozessplattform im Verwaltungsmodul unter "Single-Sign-On-Konfiguration (SAML)" pflegen. Eine Schritt-für-Schritt-Anleitung zur Erstellung einer Konfiguration, sowie detaillierte Erläuterungen zu den verschiedenen Einstellungsmöglichkeiten finden Sie auf folgender Seite und den dort verlinkten Unterseiten: Single-Sign-On-Konfiguration pflegen.
Wir empfehlen Ihnen mindestens die Schritt-für-Schritt-Anleitung parallel zur Bearbeitung der Konfiguration zu nutzen und nachzuvollziehen, um den Konfigurationsaufwand und Nacharbeiten möglichst gering zu halten.
Was passiert, wenn die Prozessplattform mit einer fehlerhaften SAML-Konfiguration betrieben wird?
Fehler in der SAML-Konfiguration wirken sich grundsätzlich nur auf die Single-Sign-On-Mechanismen und die darüber erstellen Schattennutzer aus. "Normale" Prozessplattform-Nutzer, die sich über die Prozessplattform-Datenbank authentifizieren und Nutzerverwaltungs-Funktionen sind durch Fehler in der SAML-Konfiguration zu keinem Zeitpunkt beeinträchtig.
In Ihrer SAML-Konfiguration können zwei Fehlerarten auftreten:
- Technische Konfigurationsfehler (z.B. durch die Angabe fehlerhafter URLs oder Zertifikate)
- Fehler in der Zuordnung von Informationen, die vom Identity-Provider übertragen werden, zu Prozessplattform Informationen (z.B. durch die Angabe fehlerhafter Identity-Provider Attribut- oder Gruppenbezeichnungen)
Technische Konfigurationsfehler wirken sich auf den Single-Sign-On oder Single-Sign-Out-Mechanismus aus. Durch Fehler dieser Art können sich Anwender also ggf. nicht mehr in der Prozessplattform anmelden oder nicht mehr gleichzeitig aus beiden System ausloggen.
Zuordnungsfehler wirken sich auf die Erstellung und Aktualisierung von Schattennutzern aus. Durch Fehler dieser Art werden Informationen an den Schattennutzern ggf. nicht richtig gesetzt. Im schlimmsten Fall bedeutet dies, dass sich ein Schattennutzer nicht in die Prozessplattform einloggen kann, wenn keine Berechtigungen zugeordnet werden konnten.