Benutzer verwalten / Authentication and Authorisation Tool
Allgemeines
Benutzer können in Gruppen organisiert werden. Jeder Benutzer kann in mehreren Gruppen enthalten sein. Jeder Gruppe können mehrere Rollen zugeordnet sein. Ein Benutzer kann mit einem Windows Domänenbenutzer verknüpft werden.
Gruppen haben einen eindeutigen Schlüssel, der vor dem Anwender versteckt wird. Auch Rollen haben einen eindeutigen Schlüssel, der aus Gründen der Abwärtskompatibilität beim Anlegen einer neuen Rolle einmalig manuell angegeben werden kann. Ansonsten wird auch der Schlüssel der Rollen vor dem Anwender versteckt.
Durch die Verwendung von eindeutigen Schlüsseln für Gruppen und Rollen können diese umbenannt werden, ohne dass Zuordnungen verloren gehen.
Wenn eine Endanwendung dem Authentication Service mehrere Geschäftseinheiten (Units) mitteilt, so können Benutzerrechte für jede Geschäftseinheit individuell vergeben werden.
Wenn Sie das Authentication and Authorisation Tool starten, sehen Sie folgendes Fenster.
Bedienkonzept:
Es gibt drei Hauptregisterkarten Users, Groups und Roles (siehe 1 in obigem Screenshot), die alle nach dem gleichen System aufgebaut sind:
Im linken Bereich (siehe 2 im Screenshot) wird das Element ausgewählt, welches konfiguriert werden soll (hier: Benutzer „Admin“).
Im mittleren Bereich (siehe 3) befinden sich zwei weitere Registerkarten, auf denen jeweils die Verknüpfungen des links ausgewählten Elements mit den anderen Elementen definiert werden (hier Gruppen und Rollen).
Im rechten Bereich (4) werden Eigenschaften des links ausgewählten Elements angezeigt.
Im Screenshot können durch Setzen der Checkboxen im Bereich 3 dem links ausgewählten Benutzer „Admin“ Rollen zugeordnet werden. Durch Wechseln der Registerkarte im mittleren Bereich können Sie definieren, welchen Gruppen der Benutzer „Admin“ zugeordnet sein soll.
In allen Listendarstellungen gibt es einen Tooltip, der Details zu dem Element anzeigt, sowie die Maus für mehr als 5 Sekunden darüber still gehalten wird.
Außerdem kann durch Doppelklick auf ein Element in einer Listendarstellung in Bereich 3 die Sichtweise gewechselt werden: Das geklickte Element wird im Auswahlbereich (2) geöffnet.
Über jeder Listenansicht gibt es ein Eingabefeld mit der Bezeichnung Filter. In der Listenansicht werden nur die Elemente angezeigt, die den als Filter eingegebenen Text enthalten. Ob ein Buchstabe groß oder klein geschrieben wird, ist dabei unerheblich. So ist ein schnelles Finden von Elementen möglich.
Folgende Sonderzeichen können in Filter-Eingabefeldern allein oder vor dem eigentlichen Filtertext angegeben werden:
| + | Nur neu angelegte Elemente anzeigen |
| - | Nur gelöschte Elemente anzeigen (diese werden sonst ausgeblendet) |
| * | Nur geänderte Elemente anzeigen |
| ! | Nur zugeordnete Elemente anzeigen (dieses Sonderzeichen macht nur bei Listenansichten mit Checkbox Sinn) |
Die Filter-Eingabefelder zeigen die jeweils gültigen Sonderzeichen im Tooltip an.
Beispiel:
Filter „!Lo“ bedeutet, alle Elemente, deren Checkbox gesetzt ist und welche die Zeichen „Lo“ enthalten.
Wenn Änderungen an einem Benutzer durchgeführt werden und diese Änderungen noch nicht gespeichert wurden, wird der Benutzer mit einem Sternchen in Klammern (*) gekennzeichnet. Neu hinzugefügte Benutzer, die noch nicht gespeichert wurden, werden mit einem Plus in Klammern (+) gekennzeichnet.
Mit dem Button Save All werden alle Änderungen gespeichert.
Mit dem Button Reload All werden alle aktuellen Änderungen verworfen und alle Daten neu vom Authentifizierungsdienst geladen.
Note
Das neue Einlesen der Daten mit dem Button Reload All ist auch dann notwendig, wenn Sie im Role Management Tool relevante Änderungen an Rollen durchgeführt haben, also beispielsweise neue Rollen angelegt oder die Bezeichnung geändert haben.
Allgemeine Hinweise:
Note
Der Authentifizierungsdienst selbst wird unter der Bezeichnung AuthenticationService mit den Rollen ManageUsers und ManageRoles aufgeführt. Jedem Benutzer, der das Authentication and Authorisation Tool starten will, muss die Rolle ManageUsers zugeordnet sein, jedem Benutzer, der das Role Management Tool starten will, muss die Rolle ManageRoles zugeordnet sein!
Note
Dem Benutzer Admin werden beim Start des Authentifizierungsdienstes automatisch die Rollen ManageUsers und ManageRoles zugeordnet.
Benutzer verwalten (Registerkarte Users)
Mit dem Button New auf der Hauptregisterkarte Users wird ein neuer Benutzer angelegt. Es öffnet sich der Dialog New User.
Mit dem Button Delete wird der aktuell ausgewählte Benutzer gelöscht.
Mit dem Button Edit werden die Eigenschaften des aktuell ausgewählten Benutzers geändert. Es öffnet sich der Dialog Edit User.
Mit dem Button Copy kann ein neuer Benutzer angelegt werden, der bis auf den Namen und das Passwort die gleichen Eigenschaften wie der aktuell ausgewählte Benutzer erhält.
Gruppen Verwalten (Registerkarte Groups)
Mit dem Button New auf der Registerkarte Groups wird eine neue Gruppe angelegt, mit dem Button Edit kann die ausgewählte Gruppe bearbeitet werden. Mit beiden Buttons öffnet sich ein Dialog, in dem der Name der Gruppe und eine Beschreibung eingegeben werden kann.
Mit dem Button Delete wird die aktuell ausgewählte Gruppe gelöscht.
Rollen Verwalten (Registerkarte Roles)
In der Combobox Service wird der Service ausgewählt, dessen Rollen verwaltet werden sollen.
Auf dieser Registerkarte können nur die Zuordnungen zu Gruppen und Benutzern verwaltet werden (siehe 3.1). Zum Anlegen, Umbenennen und Löschen von Rollen wird das Role Management Tool (siehe 4) verwendet.
Services Verwalten (Registerkarte Services)
Die Registerkarte Services ist in vier Spalten organisiert. Analog zu den anderen Registerkarten wird in der ersten Spalte das Element ausgewählt, welches konfiguriert werden soll. In diesem Fall der gewünschte Service.
In der zweiten Spalte werden die Eigenschaften des ausgewählten Services angezeigt.
Die Spalten drei und vier sind nicht von Interesse, wenn der ausgewählte Service keine Geschäftseinheiten (Units) besitzt. In diesem Fall enthalten die Spalten keinerlei Daten.
Wenn der ausgewählte Service bei der Registrierung am Authentifizierungsdienst Geschäftseinheiten mitgeteilt hat, so werden in der dritten Spalte alle Geschäftseinheiten aufgelistet. In diesem Fall wird zu der in der dritten Spalte ausgewählten Geschäftseinheit deren Eigenschaften in der vierten Spalte angezeigt. Dort kann außerdem eine Geschäftseinheit, die als veraltet (obsolete) markiert ist (siehe 0), mit dem Button Delete Obsolete Unit gelöscht werden.
Note
Wenn für diese Unit Rollen zu Benutzern oder Gruppen zugeordnet waren, gehen diese Zuordnungen dabei unwiderruflich verloren!
Mit dem Button Delete Service wird der aktuell ausgewählte Service am Authentifizierungsdienst vollständig entfernt.
Note
Wenn Rollen von diesem Service Benutzern oder Gruppen zugeordnet waren, gehen diese Zuordnungen unwiderruflich verloren!
Mit dem Button Copy mappings from… können für den ausgewählten Service Rollen-Zuordnungen von einem anderen Service übernommen werden. Bestehende Zuordnungen werden dabei überschrieben. Dazu muss der Service ausgewählt werden, von dem die Rollen-Zuordnungen kopiert werden sollen. Hat der ausgewählte Service mehrere Geschäftseinheiten, so können auch aus diesem Service selbst Rollen-Zuordnungen von einer Geschäftseinheit in eine andere kopiert werden.
Nach der Auswahl des Services, aus dem kopiert werden soll, erscheint der Dialog Copy role mappings from…, in dem die genauen Optionen für den Kopiervorgang festgelegt werden.
Mit den Checkboxen User-Role mappings und Group-Role mappings wird festgelegt, ob Benutzer-Rollen Zuordnungen und Gruppen-Rollen Zuordnungen kopiert werden sollen.
Der Bereich Units ist komplett deaktiviert, falls weder der als Quelle noch der als Ziel ausgewählte Service über mehrere Geschäftseinheiten verfügt. Andernfalls gibt es zwei Kopiermodi zur Auswahl:
- All Units: In diesem Modus werden für alle Units, die in beiden Versionen existieren, die Zuordnungen eins zu eins übertragen. Achtung: Alle Zuordnungen (egal für welche Unit), die vorher im Ziel existiert haben, werden dabei gelöscht. Dieser Modus steht nur zur Auswahl, wenn sowohl der als Quelle, als auch der als Ziel ausgewählte Service mehrere Mandanten enthält.
- One Unit: In diesem Modus werden Zuordnungen aus der Geschäftseinheit Source Unit in die Geschäftseinheit Target Unit kopiert. Alle zuvor existierenden Zuordnungen zur Target Unit werden dabei gelöscht. Alle anderen Geschäftseinheiten im Ziel Service werden dabei nicht verändert. Die Geschäftseinheiten Source Unit und Target Unit müssen ggf. über die entsprechenden Buttons Select ausgewählt werden. Erst dann wird der Button Start aktiviert.
Mit dem Button Start wird der Vorgang gestartet. Gegebenenfalls erhalten Sie Hinweismeldungen, wenn Rollen oder Geschäftseinheiten aus dem als Quelle ausgewählten Service im Ziel Service nicht existieren. Mit dem Button Cancel wird die Konfiguration der Kopieroptionen und damit auch der Kopiervorgang abgebrochen.
Arbeiten mit mehreren Geschäftseinheiten (Units)
Seit Framework Studio 3.7 kann eine Framework Studio Endanwendung dem Authentifizierungsdienst Geschäftseinheiten (Units) mitteilen. Diese werden im Authentication and Authorization Tool auf der Registerkarte Services für den ausgewählten Service angezeigt (siehe 3.5).
Wird eine Unit beim Start eines Services dem Authentifizierungsdienst nicht mehr mitgeteilt, so wird diese als veraltet (obsolete) markiert. Erst dann kann eine Unit endgültig (mit den Button Delete Obsolete Unit, siehe 3.5) aus dem Authentifizierungsdienst gelöscht werden. Bis dahin bleiben alle Zuordnungen zu dieser Unit erhalten.
Note
Im Broker werden die Geschäftseinheiten nicht bei jedem Anwendungsstart geprüft und an den Authentifizierungsdienst übermittelt, sondern nur beim ersten Start der Anwendung. Sollen diese erneut geprüft und der Authentifizierungsdienst über Änderungen informiert werden, muss daher ggf. der genutzte Application Pool im IIS neu gestartet werden.
Note
Als veraltet gekennzeichnete Units werden in der Vorbelegung der Unit Filter für die Rollenzuordnung ausgeblendet. Über den Button Filter Units ist ein Einblenden jederzeit möglich. In diesem Fall wird der Name der Unit in Spaltenüberschriften in Klammern gesetzt.
Wenn ein Service mehrere Units hat, werden in allen Ansichten, in denen Rollen mit Benutzern oder Rollen mit Gruppen verknüpft werden, aus den Listenansichten mit Checkboxen Tabellen mit Checkboxen.
In der ersten Spalte wird immer der Name des zu verknüpfenden Elements (im obigen Screenshot der Name der Rolle) angezeigt. Darauf folgen Spalten für alle Units, die im Dialog Select Units ausgewählt wurden. Voreingestellt werden alle Units angezeigt, die nicht als veraltet (obsolete) gekennzeichnet sind. Der Dialog wird mit dem Button Filter Units geöffnet.
Eine Sonderstellung hat die (immer als erste Unit dargestellt) vom System automatisch generierte Unit mit der Bezeichnung General. Ist für einen Benutzer oder ein Gruppenmitglied bei dieser Unit für eine Rolle ein Haken gesetzt, so bedeutet dies, dass ihm an allen Units diese Rolle zugewiesen ist, an denen ihm irgend eine Rolle explizit zugeordnet ist.
Beispiel:
| Rollen | O.General | 1. Unit A | 2. Unit B | 3. Unit C | 4. Unit D |
|---|---|---|---|---|---|
| General Usage | x | x | |||
| Buyer | x | ||||
| Administrator | x |
Der Benutzer kann sich an Unit 1, Unit 3 und Unit 4 anmelden, da er für diese Units explizit einer Rolle zugewiesen ist. An diesen Units ist ihm durch die Zuordnung der General Unit auch die Rolle Buyer zugeordnet. Die Rechte bei der Anmeldung sind also:
- Unit 1: General Usage, Buyer
- Unit 2: Keine Rechte
- Unit 3: General Usage, Buyer
- Unit 4: Buyer, Administrator
In den Tabellenansichten werden die Units von 0. bis 9. durchnummeriert dargestellt. Diese Nummer stellt die Ziffer dar, mit der Sie, in der aktuell ausgewählten Zeile, den Wert der Checkbox in der durch die Nummer identifizierten Unit wechseln können. Mit der Taste Leertaste werden alle angezeigten Units, außer der General Unit, geschaltet.
Beispiel:
| Rollen | O.General | 1. Unit A | 2. Unit B | 3. Unit C | 4. Unit D |
|---|---|---|---|---|---|
| General Usage | x | x | |||
| Buyer | x | ||||
| Administrator | x |
- Zeile „General Usage“: Taste 4 wird gedrückt => Unit D ist zusätzlich ausgewählt
- Zeile „Buyer“: Taste 0 wird gedrückt => General ist nicht mehr ausgewählt
- Zeile „Administrator“: Leertaste wird gedrückt => Alle Units (außer General) sind ausgewählt
Note
Diese Shortcuts ermöglichen es im Zusammenspiel mit der Unit-Filterfunktion, für ausgewählte Units die gleichen Einstellungen zu vorzunehmen.
Beispiel:
Ein Benutzer hat grundsätzlich Rechte an den Units A, B, C und D. Ihm sollen viele Rollen zugeordnet werden. Diese Rollen sollen genau gleich an den Units A, B und D gesetzt werden, also nicht an Unit C. Nun können Sie mit dem Button Filter Units die Units A, B, und D zur Darstellung auswählen. Nun selektieren Sie nach und nach die gewünschten Rollen und drücken die Leertaste. Auf diese Weise werden jeweils die Checkboxen für die Units A, B, und D gesetzt. Unit C bleibt unberührt, da diese nicht angezeigt wird.