Bevor Sie beginnen Single-Sign-On in Ihrer Prozessplattform einzurichten sollten Sie folgenden Daten bereithalten:

1. URI, über welche Ihr Identity-Provider eindeutig zu identifizieren ist (auch genannt Entity-Id, Provider-Id, Entity-Identity)

2. URL, unter welcher sich ein Nutzer bei Ihrem Identity-Provider authentifizieren muss

3. URL, unter der ein Nutzer bei Ihrem Identity-Provider ausgeloggt werden muss

4. X.509-Zertifikat des Identity Providers über welches der Absender einer SAML-Nachrichten eindeutig als der genutzte Identity-Provider identifiziert werden kann
   Dieses Zertifikat können Sie beim Administrator des anzubindenden Identity Providers in Erfahrung bringen.

5. PKCS#8-Schlüssel und ein zugehöriges X.509-Zertifikat für die digitale Signatur und ggf. Verschlüsselung der SAML-Nachrichten, welche Ihr Prozessplattform-Mandant in seiner Rolle als “Service Provider” an den Identity Provider sendet.
   Tipp: Gerne können Sie einen zufällig generierten Schlüssel und sowie ein zugehöriges (selbstsigniertes) Zertifikat von der Prozessplattform automatisch “auf Knopfdruck” an der entsprechenden Stelle der Konfigurationsseite generieren lassen. Sofern ein solches Zertifikat von Ihrem Identity Provider akzeptiert wird, empfehlen wir Ihnen diesen Weg.
   Sollten Sie die volle Kontrolle über die Erstellung von Schlüssel und Zertifikat benötigen und/oder ein bereits vorhandenes Schlüssel/Zertifikat-Paar nutzen wollen, können Sie dieses ggf. außerhalb der der Prozessplattform erzeugen (z.B. mittels der Software OpenSSL https://www.openssl.org/) und anschließend in der Prozessplattform hinterlegen.

6. Bezeichnung des Attributes, in welchem die E-Mail-Adresse der Nutzer Ihres Identity-Providers übertragen wird

7. Bezeichnungen der Attribute, in welchen der Titel, Akademischer Titel, Vorname, Nachname und die Abteilung der Nutzer Ihres Identity-Providers übertragen werden
   (Optional, nur falls Sie die Nutzerinformationen in die Prozessplattform übernehmen möchten) 

8. Bezeichnung des Attributes, in welchem die Gruppenmitgliedschaften, Rollen o.Ä. der Nutzer Nutzer Ihres Identity-Providers übertragen wird
   (Optional, nur falls Sie den Identity-Provider Gruppen, Rollen o.Ä. Prozessplattform-Berechtigungen zuweisen möchten)

9. Gruppen- bzw. Rollenbezeichnungen, die in dem in Punkt 6 genannten Attribut übertragen werden können
   (Optional, nur für die Gruppen / Rollen notwendig, denen Sie Prozessplattform-Berechtigungen zuweisen möchten)

Optimal wäre es, wenn Sie selber Zugriff auf den zu verwenden Identity-Provider haben. Falls dies nicht der Fall ist, informieren Sie Ihren dafür zuständigen Kollegen, dass dieser einige Einstellung am Identity-Provider vornehmen muss (s. Schritt 3 und Schritt 4).

Für den Beispiel-Identity-Provider "Mein IdP" werden die folgenden Pflicht-Daten bereitgehalten:

1. Eindeutiger Identifikator des Identity-Providers: https://meinidp.com/saml/metadata

2. URL für die Authentifizierung eines Nutzers: https://meinidp.com/saml/sso

3. URL für die Abmeldung eines Nutzers: https://meinidp.com/saml/sls

4. Das benötigte X.509-Zertifikat des Identity Providers wird in einer Datei bereitgehalten.

5. PKCS#8-Schlüssel und das zugehörige X.509-Zertifikat des Service Providers (Prozessplattform) werden in eigenen Dateien bereitgehalten.

6. Attribut für die E-Mail-Adresse eines Nutzers: Email

Zusätzlich zur E-Mail-Adresse sollen der Vor- und Nachname eines Nutzer vom Identity-Provider übernommen werden, daher werden zu Punkt 5 folgende weitere Daten bereitgehalten:

7.1 Attribut für den Vornamen eines Nutzers: FirstName
7.2 Attribut für den Nachnamen eines Nutzers: LastName

Außerdem möchten wir den Identity-Provider-Gruppen "Orga" und "Bauverwaltung" bestimmte Prozessplattform-Berechtigungen zuweisen, daher werden zu Punkt 6 und 7 folgende weitere Daten bereitgehalten:

8. Attribut für die Gruppen eines Nutzers: UserGroups
9. Gruppen, denen explizit Berechtigungen zugewiesen werden sollen: Orga, Bauverwaltung

Nun können Sie beginnen die notwendigen Einstellungen in der Prozessplattform zu treffen. Dazu wechseln Sie im Verwaltungsmodul in den Bereich mit dem Schlüssel-Symbol "Single-Sign-On-Konfiguration (SAML)". Im ersten Schritten füllen Sie zunächst den Bereich "Stammdaten der SAML-Konfiguration" aus. Klicken Sie auf den Link für weitere Informationen inkl. weiterer Screenshots.

Die erste Checkbox "Single-Sign-On aktivieren?" sollten Sie zu diesem Zeitpunkt noch leer lassen. Die Single-Sign-On-Konfiguration sollte erst aktiviert werden, wenn Sie alle notwendigen Einstellungen für einen zuverlässigen Single-Sign-On-Betrieb getroffen haben.

Für die nächste Checkbox "Single Logout aktivieren?" sollten Sie sich überlegen, ob ein Logout aus der Prozessplattform auch zu einem Logout aus dem Identity-Provider führen soll. Dies würde je nach den Einstellungen am genutzten Identity-Provider ggf. bedeuten, dass Ihre Nutzer dann auch aus anderen Anwendungen, die für die Authentifizierung auf denselben Identity-Provider zurückgreifen ausgeloggt werden. Falls Sie dies wünschen, lassen Sie den Haken in der o.g. Checkbox gesetzt. Falls Sie dies nicht möchten, leeren Sie die Checkbox per Klick auf den Haken.

Nun können Sie noch festlegen, wie der zusätzliche Single-Sign-On-Login-Knopf und der PICTURE-Prozessplattform-Login-Knopf auf der Login-Seite der Prozessplattform beschriftet sein soll. Falls Sie Single-Sign-On bereits an anderen Stellen nutzen, verwenden Sie hier am besten die Beschriftung, die Sie auch in anderen Anwendungen verwenden.

Als letztes haben Sie die Möglichkeit optional eine Individuelle Fehlermeldung festzulegen, die ein Anwender erhalten soll, wenn dieser ein neues Passwort über die Login-Maske anfordert, aber bisher kein eigenes Passwort für die Prozessplattform hat,da er sich über Single-Sign-On bei dieser authentifiziert. Falls Sie keine individuelle Fehlermeldung festlegen möchten, können Sie das Feld einfach leer lassen, dann wird im Fehlerfall eine Standard-Fehlermeldung der Prozessplattform festgelegt.

Da vermieden werden soll, dass ein Nutzer, der sich aus der Prozessplattform ausloggt auch aus dem Identity-Provider "Mein IdP" ausgeloggt wird, wurde der Haken unter "Single-Logout aktivieren?" leer gelassen. Außerdem wurde die Login-Knopf-Beschriftung und eine individuelle Fehlermeldung für die "Passwort vergessen"-Funktion festgelegt:

Als nächstes sollten Sie festlegen, zu welchen Seiten Nutzer, die sich per Single-Sign-On in Ihre Prozessplattform authentifiziert haben, nach bestimmten Ereignissen weitergeleitet werden sollen.

Die Festlegung der Startseite (Weiterleitung nach erfolgreichem Login) ist optional. Wird hier kein Wert eingetragen, verhält sich die PICTURE-Prozessplattform wie bei einem Standard-Login (Weiterleitung auf die Startseite des zuletzt genutzten Arbeitsbereichs).

Es kann allerdings, in einer Single-Sign-On-Umgebung, sinnvoll sein den angemeldeten Nutzer direkt auf einen fachlich relevanten Bereich der Plattform weiterzuleiten. Daher sollten Sie zunächst einmal folgende Fragen beantworten:

• Auf welcher Hauptseite der Prozessplattform (Startseite, Prozessregister, Prozesskontexte, etc.) sollen die Nutzer landen?

• In welchem Arbeitsbereich sollen die Nutzer arbeiten?

• Falls sie das Prozessregister gewählt haben: Sollen die Nutzer nach dem Login eine bestimmte Trefferliste/ Ansicht (z.B. Filter nach eigenen Prozessen, Ansicht zum Filtern nach erbrachter Leistung, etc.) sehen?

Nachdem Sie nun wissen, auf welcher Prozessplattform-Seite Ihre Nutzer nach erfolgreichem Login landen sollen, können Sie diese als Startseite festlegen.

Wenn Sie Nutzer auch bei den Ereignissen fehlgeschlagener Login und Logout weiterleiten wollen, können Sie in den entsprechenden Feldern die Weiterleitungsziele eintragen.

Zum Ausfüllen der einzelnen Felder empfehlen wir Ihnen dazu an folgender Stelle weiterzulesen und danach wieder zur Schritt-für-Schritt-Anleitung zurückzukehren: Weiterleitungen für SAML-Authentifizierte Nutzer festlegen.

Alle Nutzer, die sich erfolgreich über den Identity-Provider "Mein IdP" authentifiziert haben, sollen im Prozessregister des Arbeitsbereichs "Basis-Arbeitsbereich" landen. Außerdem soll dann bereits die Filter-Ansicht nach erbrachter Leistung angezeigt werden, sodass sich die Nutzer an dieser Hierarchie orientieren können. Mit Hilfe der Infoportalseite "Prozessregister mithilfe von Filtern durchsuchen" wurde daher folgende URL erstellt: 

https://www.prozessplattform.de/musterhausen/apps/v3.3.0/register.html?workspace=de20c00c-dc23-4069-a01b-5beb1e70f6a0&usageFilter=Product

Nutzer, die sich zwar erfolgreich über den Identity-Provider "Mein IdP" authentifiziert haben, die aber vom Zugang zur Plattform ausgeschlossen sind, sollen zu einem Infoportal-Artikel weitergeleitet werden, der erklärt, welche Mitarbeiter Zugriff auf die Plattform haben und warum.

Nach dem Logout soll keine Weiterleitung stattfinden, weshalb dieses Feld leer gelassen wurde. Es greift nun der Standard Logout-Mechanismus der Plattform.

Diese URLs wurden dann in das entsprechende Eingabefeld übernommen. Beim festlegen der Startseite muss dabei der Teil der URL, der bereits in der vorherigen Zeile steht, weggelassen werden.

Um die Kommunikation zwischen dem Identity-Provider und der Prozessplattform (Service-Provider) möglich zu machen, müssen in der Prozessplattform bestimmte Adressen/Identifikatoren des Identity-Providers hinterlegt werden und bei dem Identity-Provider müssen umgekehrt auch bestimmte Adressen/Identifikatoren der Prozessplattform hinterlegt werden. 

Die in der Prozessplattform zu hinterlegenden Adressen/Identifikatoren haben Sie bereits in der Vorbereitung gesammelt (Punkte 1. - 3.). Tragen Sie diese nun einfach in den entsprechenden Eingabefeldern im Abschnitt "Identity-Provider-Adressen" ein.

Die bei Ihrem Identity-Provider zu hinterlegenden Adressen/Identifikatoren können Sie dem Abschnitt "Prozessplattform bzw. Service-Provider-Adressen" entnehmen. 

Dank der Vorbereitung können die Adressen/ Identifikatoren des Identity-Providers direkt in die entsprechenden Eingabefelder übernommen werden:

Die am Identity-Provider zu hinterlegenden Adressen konnten der Prozessplattform entnommen und direkt in den Identity-Provider übertragen werden:

Um eine sichere Kommunikation zwischen Identity-Provider und Prozessplattform gewährleisten zu können, müssen Sie ein Zertifikat, anhand dessen Nachrichten des Identity-Providers als solche identifiziert werden können, sowie ein Schlüsselpaar, welches genutzt wird um SAML-Nachrichten der Prozessplattform als solche identifizierbar zu machen, in der Single-Sign-On-Konfiguration hinterlegen. Alle zu hinterlegenden Daten haben Sie bereits in der Vorbereitung gesammelt.

Tragen Sie das Identity-Provider-Zertifikat (Vorbereitung - Punkt 4) in das Eingabefeld im Abschnitt "Identity-Provider-Zertifikat" ein.

Das Schlüsselpaar für die Prozessplattform (Vorbereitung - Punkt 5) können Sie im Abschnitt "Prozessplattform bzw. Service-Provider-Schlüsselpaar" in den entsprechenden Eingabefelder hinterlegen. Berücksichtigen Sie, dass das X.509-Zertifikat des Prozessplattform-Schlüsselpaars auch bei Ihrem Identity-Provider hinterlegt werden muss, damit dieser über das Zertifikat SAML-Nachrichten von der Prozessplattform eindeutig als solche identifizieren kann.

Eine Signierung oder Verschlüsselung der SAML-Nachrichten wird nicht bei allen SAML-Nachrichten erwartet oder durchgeführt, bei denen dies theoretisch möglich wäre. Lesen Sie an folgender Stelle im Informationsportal weiter, um zu erfahren bei welchen SAML-Nachrichten die Prozessplattform eine Signatur oder Verschlüsselung erwartet und bei welchen SAML-Nachrichten die Prozessplattform diese Mechanismen selber anwendet: Handhabung von Signierung und Verschlüsselung.

Nach diesem Schritt haben Sie die Basis-Konfiguration Ihrer Single-Sign-On-Konfiguration vollständig ausgefüllt. In den letzten beiden Schritten müssen Sie Ihre Single-Sign-On-Konfiguration nur noch um die Konfiguration zur automatischen Nutzererstellung ergänzen.

Dank der Vorbereitung kann das Zertifikat einfach aus der vorbereiteten Datei in das entsprechende Eingabefeld kopiert werden:

Tipp: Per Klick auf das Symbol “Zertifikatsdetails anzeigen“ (Lupe-Symbol) können Sie die wichtigsten im Zertifikat codierten Angaben (z.B. Aussteller, Inhaber, Gültigkeitszeitraum) im Klartext anzeigen lassen.

Auch das Schlüsselpaar für die Prozessplattform kann aus den vorbereiteten Dateien in die entsprechenden Eingabefelder übernommen werden:

Tipp: Per Klick auf das Symbol “Zertifikatsdetails anzeigen“ (Lupe-Symbol) können Sie die wichtigsten im Zertifikat codierten Angaben (z.B. Aussteller, Inhaber, Gültigkeitszeitraum) im Klartext anzeigen lassen.

Die letzten beiden Konfigurations-Schritte führen Sie auf dem zweiten Reiter der Single-Sign-On-Konfiguration aus. Als erstes legen Sie im Abschnitt "Zuordnung von Identity-Provider-Nutzerinformationen zu Prozessplattform-Nutzerinformationen" fest, welche (einfachen) Nutzerinformation vom Identity-Provider übernommen werden sollen.

Hier müssen Sie in jedem Fall das Attribut für die E-Mail-Adresse zuordnen, ansonsten ist ein erfolgreicher Betrieb von Single-Sign-On nicht möchlich. Den im Eingabefeld E-Mail einzutragenen Wert haben Sie bereits in der Vorbereitung (Punkt 6) aufgeschrieben. Alle weiteren in der Vorbereitung gesammelten Attribut-Bezeichnungen (Punkt 7), die zu übernehmende Nutzerinformationen enthalten, können Sie ebenfalls einfach in die entsprechenden Eingabefelder eintragen.

Die Nutzerinformationen, denen Sie hier eine Attribut-Bezeichnung zugeordnet haben, werden sowohl bei dem ersten Single-Sign-On-Login eines Nutzers, als auch bei allen weiteren Single-Sign-On-Logins in die Prozessplattform übernommen. Klicken Sie auf die Links, um nachzuvollziehen, wie die Übernahme der Nutzerinformationen in die Prozessplattform abläuft.

Für alle Nutzer, die sich über den Identity-Provider "Mein IdP" bei der Prozessplattform authentifizieren, sollen neben der E-Mail-Adresse auch der Vor- und Nachname in die Prozessplattform übernommen werden. Da die notwendigen Daten bereits in der Vorbereitung gesammelt wurden, können diese einfach in die entsprechenden Eingabefelder eingetragen werden:

Als letzten Konfigurationsschritt müssen Sie noch festlegen, welche Berechtigungen die Nutzer, die sich über den genutzten Identity-Provider bei der Prozessplattform authentifizieren, in der Prozessplattform erhalten sollen. Diese Einstellungen können Sie im Abschnitt "Zuordnung von PPP-Berechtigungen" treffen.

In jedem Fall müssen Sie in der zu sehenden Tabelle Default-Berechtigungen festlegen. Informieren Sie sich über den Link, wann diese greifen, bevor Sie entscheiden welche Berechtigungen Sie zuordnen möchten. Bei der Festlegung der Default-Berechtigungen können folgende Fragen hilfreich sein:

• Sollen alle Nutzer, die sich per Single-Sign-On in die Prozessplattform einloggen, dieselben Berechtigungen erhalten?
  (Falls Sie diese Frage mit "Ja" beantworten müssen Sie später keine expliziten Berechtigungszuordnungen hinzufügen)

• Sollen Nutzer, denen explizit (über deren Gruppe/ Rolle) keine Berechtigungen zugeordnet werden konnten, Zugriff auf die Prozessplattform erhalten? 
  (Wird der Nutzertyp "keine Lizenz" zugeordnet erhalten die betroffenen Nutzer keinen Zugriff auf die Prozessplattform)

• Sind für alle Nutzer, bei denen die Default-Berechtigungen greifen sollen, genügend Lizenzen für den gewählten Nutzertyp verfügbar?
  (Alle verfügbaren Lizenzen werden im Verwaltungsbereich "Rechtliches und Datenschutz" aufgelistet)

• Müssen ggf. neue Gruppen erstellt werden, um die gewünschten Berechtigungen abzubilden? Berücksichtigen Sie, dass eine Gruppe zugeordnet werden muss, wenn als Nutzertyp nicht "keine Lizenz" oder "Administrator" gewählt wurde.

Lesen Sie hier weiter, um zu erfahren, wie Sie die Default-Berechtigungen Ihren Wünschen entsprechend anpassen können: Berechtigungszuordnungen bearbeiten.

Als nächstes können Sie nun, falls gewünscht, weitere, explizite Berechtigungszuordnungen zur Tabelle hinzufügen. Dazu können Sie auf Punkt 8 und Punkt 9 aus der Vorbereitung zurückgreifen. Die Bezeichnung des Attributes, in welchem die Gruppenmitgliedschaften, Rollen o.Ä. der Nutzer Ihres Identity-Providers übertragen werden (Punkt 8) können Sie einfach in das Eingabefeld "Identity-Provider-Gruppen / -Rollen" eintragen. 

Danach können Sie für die Gruppen, die Sie in der Vorbereitung (Punkt 9) gesammelt haben neue Berechtigungszuordnungen hinzufügen. Informieren Sie sich über den Link, wie Sie diese hinzufügen können. Bei der Festlegung der Berechtigungen können folgende Fragen hilfreich sein:

• Sollen Nutzer, die Mitglieder der angegebenen Gruppe/Rolle sind, Zugriff auf die Prozessplattform erhalten? 
  (Wird der Nutzertyp "keine Lizenz" zugeordnet erhalten die betroffenen Nutzer keinen Zugriff auf die Prozessplattform)

• Sollen Nutzer, die Mitglieder der angegebenen Gruppe/Rolle sind, Schreib- oder Lesezugriffe erhalten?
  (Nutzertyp Betrachter oder Modellierer/ Administrator?)

• Sind genügend Lizenzen für den gewählten Nutzertyp verfügbar?
  (Alle verfügbaren Lizenzen werden im Verwaltungsbereich "Rechtliches und Datenschutz" aufgelistet)

• Müssen ggf. neue Gruppen erstellt werden, um die gewünschten Berechtigungen abzubilden? Berücksichtigen Sie, dass eine Gruppe zugeordnet werden muss, wenn als Nutzertyp nicht "keine Lizenz" oder "Administrator" gewählt wurde.

Lesen Sie hier weiter, um zu erfahren, wie Sie die Berechtigungszuordnungen Ihren Wünschen entsprechend anpassen können: Berechtigungszuordnungen bearbeiten.

Nutzer, denen explizit (über deren Gruppe/ Rolle) keine Berechtigungen zugeordnet werden konnten sollen keinen Zugriff auf die Prozessplattform erhalten. Aus diesem Grund wurde in den Default-Berechtigungen über den Nutzertyp festgelegt, dass solche Nutzer keine Lizenz in der Prozesplattform erhalten sollen und somit ausgesperrt werden:

Dank der Vorbereitung konnte die Bezeichnung des Attributes, in welchem die Gruppenmitgliedschaften, Rollen o.Ä. der Nutzer des Identity-Providers "Mein IdP" übertragen werden, einfach in das entsprechende Eingabefeld eintragen werden:

Für die in der Vorbereitung gesammelten Gruppen, denen explizite Berechtigungen zugeordnet werden sollen, wurden folgende Festlegungen getroffen:

• Gruppe "Orga": Mitglieder dieser Gruppe sollen Schreibrechte sowie Konfigurationsrechte in der Prozessplattform erhalten. Daher wurden dieser Gruppe der Nutzertyp "Modellierer" und die Gruppen "Content-Redakteure" (Schreibrechte) und "Konfiguratoren" (Konfigurationsrechte) zugeordnet

• Gruppe "Bauverwaltung": Mitglieder dieser Gruppe sollen nur Leserechte erhalten und auch nur auf bestimmt Ordner zugreifen können. Daher wurden dieser Gruppe der Nutzertyp "Betrachter" (nur Leserechte) und die Gruppe "Betrachter-Bauverwaltung" (Zugriffsbeschränkung auf bestimmte Ordner) zugeordnet

In der Prozessplattform wurden diese Festlegungen wie folgt abgebildet:

Da Sie nun alle notwendigen Einstellungen für eine erfolgreiche Inbetriebnahme von Single-Sign-On getroffen haben, können Sie Single-Sign-On nun aktivieren. Dazu setzten Sie auf dem Reiter "Basis-Konfiguration" ganz oben einen Haken in die Checkbox "Single-Sign-On aktivieren?". Danach speichern Sie Ihre Konfiguration (s.u.), um diese sofort zu aktivieren. 

Wenn Sie nun zur Login-Seite der Prozessplattform wechseln, sollten Sie dort einen neuen Login-Button finden. Sofern Sie in der SAML-Konfiguration die Beschriftung eines oder beiden Login-Knöpfe geändert haben, wird Ihnen diese Beschriftung angezeigt.

Wir empfehlen Ihnen nun einmal auszuprobieren, ob Sie einen Login per Single-Sign-On erfolgreich durchführen können. Falls dieser Test fehlgeschlagen ist, überprüfen Sie nochmals Ihre Eingaben und stellen Sie sicher, dass sich an keiner Stelle Tippfehler eingeschlichen haben. Probieren Sie nach der Korrektur von Fehlern (falls vorhanden) nochmals aus, ob ein Login per Single-Sign-On möglich ist. 

Falls Sie den Login auch nach der Fehlerkorrektur nicht erfolgreich durchführen konnten, wenden Sie sich an support@picture-gmbh.de. Wir helfen Ihnen gerne dabei, Single-Sign-On in Ihrer PICTURE-Prozessplattform erfolgreich in Betrieb zu nehmen.

Die erstellte Konfiguration wurde nachdem alle notwendigen Einstellungen getroffen wurden aktiviert:

Auf der Login-Seite ist nun der zusätzliche Login-Knopf sichtbar: