Organisationsverwaltung

Die Benutzerverwaltung kann im Administrationsbereich () im Reiter Übersicht > Benutzer > Organisationen erreicht werden.

Sie listet alle verfügbaren Organisationen des Identity Providers auf. Es werden außerdem die Funktionen angeboten

Organisationen zu erstellen und zu löschen,
Rollenzuweisungen der Organisationen anzupassen, und
Nutzer von Organisationen zu bearbeiten.

Die Organisationsverwaltung steht für die Identity Provider Karaf und Keycloak zur Verfügung. Bei einem OIDC-Identity Provider oder einer Datenbank als IdP ist diese nicht verfügbar.

Bei Keycloak als Identity Provider verwenden wir Keycloak-Gruppen als BPC-Organisationen. Entsprechend sollte die Keycloak-Einstellung identityProvider_oidc_claimNameOrganisations so gesetzt werden, dass die Gruppen aus dem JWT extrahiert werden können.

Keycloak-Gruppen sind hierarchisch organisiert. In der Organisationsliste sind diese entsprechend gruppiert und es lassen sich explizit Unterorganisationen erstellen. Für Karaf als Identity Provider ist dies nicht möglich.

Eine Unterorganisation erbt alle Eigenschaften von ihrer Eltern-Organisation (Keycloak-Properties und Rollenzuweisungen).

Abbildung 1. Organisationsverwaltung

In dem abgebildeten Screenshot sieht man fünf Organisationen. Die Organisationen Fertigungsleiter und Qualitaetssicherung sind Teil der Organisation Produktion. Die selektierte Organisation admins enthält die zugeordnete Rolle bpcadmin. Die Nutzer Anna und bpcadmin gehören zu dieser Organisation.

Die Ziffern im Screenshot bezeichnen folgende Funktionen:

1	Organisation erstellen
2	Unterorganisation erstellen
3	Organisation Löschen
4	Rollenzuordnung hinzufügen
5	Rollenzuordnung entfernen
6	Nutzer in die Organisation aufnehmen
7	Nutzer aus der Organisation entfernen

In der Übersicht werden nur direkte Rollenzuweisungen und Nutzer angezeigt. Ein Nutzer in einer Organisation kann durch Überorganisationen mehr Rollen erhalten, als in der Rollenzuordnung angezeigt wird.

Es können implizit mehr Nutzer die Eigenschaften einer Organisation besitzen, als Mitglieder angezeigt werden, wenn in einer Unterorganisation Nutzer sind, die nicht direkte Mitglieder der Überorganisation sind.

Funktionen

Im Folgenden werden die einzelnen Funktionen und die benötigten Berechtigungen (im BPC), damit diese verwendet werden können, genauer beschrieben. Werden mehrere benötigte Berechtigungen aufgezählt, so ist immer nur mindestens eine davon nötig, nicht alle zusammen.

Es kann sein, dass Sie in ihrem Identity Provider zusätzliche Berechtigungen hinterlegen müssen. Dies ist insbesondere bei Keycloak nötig. Siehe Keycloak-Berechtigungen.

Die beschriebenen Funktionen sind auch per API verfügbar, siehe Identity Management API.

Auflisten von Organisationen des Identity Providers

Listet alle Organisationen, die im Identity Provider hinterlegt sind.

Bei Keycloak als Identity Provider werden, falls die Einstellung identityProvider_keycloak_onlyShowBpcGroups aktiviert ist, nur Organisationen (Keycloak-Gruppen) gelistet, die das Attribut bpcgroup auf true gesetzt haben. Dies gilt für alle Organisationen, die über das BPC erstellt werden.