Single-Sign-On mit SAML 2.0
Mit dem Erweiterungsmodul “Single-Sign-On mit SAML 2.0“ können Sie Ihre Prozessplattform direkt an das zentrale Identitätsmanagementsystem (IDM) Ihrer Organisation anbinden:
Die Nutzer/-innen können ihre bekannten Anmeldedaten vom IDM auch für die Prozessplattform benutzen und müssen sich keine separaten Benutzernamen und Passwörter mehr merken.
Sicherheitsmechanismen, die Sie für ihr zentrales IDM umgesetzt haben (z.B. Zwei-Faktor-Authentifizierung), können auch für die Prozessplattform zur Anwendung kommen.
Für Fachadministrator/-innen wird die Erstellung und Pflege von Prozessplattform-Benutzerkonten deutlich einfacher. Nach erfolgreichem Login im zentralen IDM erstellt bzw. aktualisiert die Prozessplattform das zugehörige Prozessplattform-Benutzerkonto automatisch und berücksichtigt hierbei auf Wunsch benutzerdefinierte Regeln zur Vergabe von Zugriffsberechtigungen.
Die Schnittstelle ist nutzbar mit allen IDM-Systemen, die kompatibel zum Standard "SAML 2.0" sind (z.B. Microsoft Active Directory Federation Services, Keycloak, Shibboleth).
Dieses Erweiterungsmodul ist aufpreispflichtig. Wenden Sie sich für eine individuelle Preisauskunft oder ein Angebot gerne an unsere Kundenbetreuung (kundenbetreuung@picture-gmbh.de).
Inhaltsverzeichnis
- 1 Was ist die SAML-Schnittstelle?
- 2 Was ändert sich in der Nutzerverwaltung der PICTURE-Prozessplattform, wenn die SAML-Schnittstelle aktiviert ist?
- 3 Wie kann die Schnittstelle aktiviert und konfiguriert werden?
- 4 Was passiert, wenn die Prozessplattform mit einer fehlerhaften SAML-Konfiguration betrieben wird?
- 4.1 Technische Konfigurationsfehler (z.B. durch die Angabe fehlerhafter URLs oder Zertifikate)
- 4.2 Fehler in der Zuordnung von Informationen, die vom Identity-Provider übertragen werden, zu Prozessplattform Informationen (z.B. durch die Angabe fehlerhafter Identity-Provider Attribut- oder Gruppenbezeichnungen)
Was ist die SAML-Schnittstelle?
Die SAML-Schnittstelle ermöglicht es Ihnen für Ihre PICTURE-Prozessplattform Single-Sign-On-Funktionalität zu aktivieren. Dabei authentifizieren sich Nutzer der Prozessplattform gegen ein Drittsystem (einen sogenannten Identity-Provider), d.h. Anwender, die ein Benutzerkonto bei dem Identity-Provider haben, können sich ganz einfach über dessen Login-Mechanismus einloggen, um die Prozessplattform zu nutzen. Die Anwender müssen sich dadurch bei Ihrer täglichen Arbeit ggf. nur in einem einzigen System, dem Identity-Provider, anmelden. Ein zusätzlicher Login in die Prozessplattform entfällt. Daraus resultiert, dass die Anwender sich keine zusätzlichen Zugangsdaten speziell für die Prozessplattform merken müssen. Für Administratoren Ihrer Prozessplattform entfällt außerdem die zusätzliche Arbeit, die mit der manuellen Pflege "doppelter" Benutzerkonten verbunden ist (z.B. Zugangsdaten verteilen, vergessene Passwörter zurücksetzen etc.).
Außerdem bietet die SAML-Schnittstelle eine Single-Sign-Out-Funktionalität, d.h. Anwender, die per Single-Sign-On eingeloggt sind können sich durch einen Logout aus der Prozessplattform automatisch auch bei dem genutzten Identity-Provider abmelden. Umgekehrt ist dies genauso möglich, d.h. bei einem Logout aus dem Identity-Provider kann der jeweilige Anwender automatisch auch aus der Prozessplattform ausgeloggt werden.
Die flexiblen Mechanismen zur Steuerung der Zugriffsberechtigungen auf die Inhalte der Prozessplattform (z.B. funktionale Rechte und Rollen, Zugriffsrechte auf Ordner und Sichten) stehen auch bei Nutzung der SAML-Schnittstelle weiterhin zur Verfügung. Der Administrationsaufwand hinsichtlich der Zugriffsberechtigungen lässt sich durch eine optionale Zuordnung von Identity-Provider-Gruppen, Rollen o.Ä. zu Prozessplattform-Berechtigungen (Nutzertyp und Gruppen-Mitgliedschaften) weiterhin auf ein Minimum reduzieren.
Was ändert sich in der Nutzerverwaltung der PICTURE-Prozessplattform, wenn die SAML-Schnittstelle aktiviert ist?
Bei aktivierter SAML-Schnittstelle müssen Sie keine Benutzerkonten mehr manuell in der PPP anlegen. Diese werden automatisch beim ersten Single-Sign-On-Login eines Anwenders erstellt (vorausgesetzt der Anwender gehört einer Gruppe/ Rolle Ihres Identity-Providers an, welcher in der Schnittstellenkonfiguration Prozessplattform-Berechtigungen zugeordnet sind).
Bei den automatisch angelegten Benutzerkonten handelt es sich dabei um sogenannte Schattennutzer. Sie werden in der Datenbank der Prozessplattform gespeichert, um dort alle Informationen vorzuhalten, welche die Prozessplattform über einen Nutzer benötigt und um Benutzerkonten mit Elementen des Datenmodells der Prozessplattform verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.).Der Nutzername der o.g. Schattennutzer entspricht immer der Name-Id des Nutzers bei dem Identity-Provider. Erhaltene Informationen vom Identity-Provider über einen Nutzer werden über die Name-Id bzw. den Benutzernamen einem Schattennutzer zugeordnet.
Die Stammdaten der o.g. Schattennutzer (Vorname, Nachname, akademischer Titel, E-Mail-Adresse etc.) werden beim Erstlogin per Single-Sign-On vom Identity-Provider übernommen. In der Schnittstellen-Konfiguration können Sie die vom Identity-Provider übertragenen Nutzerinformationen den entsprechenden Prozessplattform-Nutzerinformationen zuordnen.
Bei jedem darauf folgenden Login eines Anwenders über Single-Sign-On werden die o.g. Nutzerinformationen am Schattennutzer immer mit den aktuellsten vom Identity-Provider erhaltenen Daten überschrieben.
Die Prozessplattform-Berechtigungen der Schattennutzer werden beim Erstlogin per Single-Sign-On entsprechend der Gruppe bzw. Rolle des Anwenders im Identity-Provider übernommen. In der Schnittstellenkonfiguration können Sie einer Identity-Provider-Gruppe/ -Rolle einen Prozessplattform-Nutzertypen ("Administrator", "Betrachter", etc.) und beliebig viele Prozessplattform-Gruppen-Zugehörigkeiten zuordnen.
Bei allen weiteren Logins eines Schattennutzers werden die Prozessplattform-Berechtigungen auf die folgende Art und Weise aktualisiert: Bereits bestehende Rechte werden niemals entzogen. Zusätzliche Berechtigungen werden hinzugefügt, falls einem Schattennutzer aufgrund einer angepassten SAML-Konfiguration in der Prozessplattform oder einer Änderung der Gruppe/ Rolle beim Identity-Provider andere bzw. mehr Rechte zustehen.
Für die Schattennutzer wird kein Passwort in der Datenbank der Prozessplattform angelegt, d.h. sofern Sie den Schattennutzern über die bekannten Funktionen der Nutzerverwaltung kein gesondertes Passwort zuweisen, können sich diese ausschließlich per Single-Sign-On bei der Prozessplattform authentifizieren.
Als Administrator stehen Ihnen in der Nutzerverwaltung weiterhin alle bekannten Funktionen für Schattennutzer zur Verfügung (Stammdaten eines Nutzers ändern, Passwort zurücksetzen etc).
Schattennutzer selber können sowohl Ihre vom Identity-Provider übernommenen Nutzerinformationen (Anrede, Nachname, etc) als auch Ihr Passwort in der Prozessplattform nicht mehr ändern, sobald Sie sich per Single-Sign-On eingeloggt haben.
Schattennutzer können die "Passwort vergessen"-Funktion der Prozessplattform nicht nutzen.
Wie kann die Schnittstelle aktiviert und konfiguriert werden?
Die SAML-Schnittstelle können Sie als Administrator Ihrer PICTURE-Prozessplattform im Verwaltungsmodul unter "Single-Sign-On-Konfiguration (SAML)" pflegen. Eine Schritt-für-Schritt-Anleitung zur Erstellung einer Konfiguration, sowie detaillierte Erläuterungen zu den verschiedenen Einstellungsmöglichkeiten finden Sie auf folgender Seite und den dort verlinkten Unterseiten: Single-Sign-On-Konfiguration pflegen.
Wir empfehlen Ihnen die Schritt-für-Schritt-Anleitung parallel zur Bearbeitung der Konfiguration zu nutzen und die einzelnen Schritte im Detail nachzuvollziehen. So halten Sie den Konfigurationsaufwand und Aufwände für eventuelle Nacharbeiten möglichst gering.
Was passiert, wenn die Prozessplattform mit einer fehlerhaften SAML-Konfiguration betrieben wird?
Fehler in der SAML-Konfiguration wirken sich grundsätzlich nur auf die Single-Sign-On-Mechanismen und die darüber erstellten Schattennutzer aus. Der Login von Nutzern mit einem separaten Prozessplattform-Nutzerkonto und sämtliche Nutzerverwaltungs-Funktionen werden durch Fehler in der SAML-Konfiguration zu keinem Zeitpunkt beeinträchtigt.
Zwei Fehlerarten können bei der Konfiguration der SAML-Schnittstelle eintreten:
Technische Konfigurationsfehler (z.B. durch die Angabe fehlerhafter URLs oder Zertifikate)
Technische Konfigurationsfehler wirken sich auf den gesamten Single-Sign-On- bzw. Single-Sign-Out-Mechanismus aus. Durch Fehler dieser Art können sich Anwender ggf. nicht mehr in der Prozessplattform anmelden oder nicht mehr gleichzeitig aus der Prozessplattform und dem Identity-Provider ausloggen.
Fehler in der Zuordnung von Informationen, die vom Identity-Provider übertragen werden, zu Prozessplattform Informationen (z.B. durch die Angabe fehlerhafter Identity-Provider Attribut- oder Gruppenbezeichnungen)
Zuordnungsfehler wirken sich auf die Erstellung und Aktualisierung von Schattennutzern aus. Bei Fehlern dieser Art werden einzelne Informationen an den Schattennutzerkonten nicht richtig gesetzt. Im schlimmsten Fall bedeutet dies, dass sich ein Schattennutzer nicht in die Prozessplattform einloggen kann, weil keine Berechtigungen zugeordnet werden konnten.