Identity Provider / Zugriffsverwaltung

Das BPC verwendet externe Identity Provider (IdP). Die Authentifizierung und Autorisierung geschieht immer gegen diesen.

Welche IdP unterstützt werden erfahren Sie unter Identity Provider anlegen, konfigurieren und verwenden.

Zugriffsverwaltung

Die Zugriffsverwaltung wird im BPC über die Zuordnung der einzelnen Benutzer zu Organisationen, Rollen und Rechte organisiert.

Die Zuordnung der Benutzer wird üblicher Weise in Ihrem Identity Provider vorgenommen. In Ausnahmefällen kann dies auch über die Einstellung IdentityProvider_Mappings durch Zuordnungen von Organisationen, Rollen und Rechten ergänzt werden.

Angemeldete Benutzer haben im BPC Kontext eine sogenannte Session, die alle Informationen zu zugeordneten Organisationen, Rollen und Rechten enthält. Die BPC Module können auf diese Informationen zugreifen und den Zugriff auf Daten und Funktionen abhängig davon gestalten.

Benutzer können über das Account-Modul die ihnen zugeordneten Organisationen, Rollen und Rechte einsehen.

Im BPC wird die Groß- und Kleinschreibung von Organisationen, Rollen und Rechten ignoriert. Das bedeutet, dass die Rolle MITARBEITER, mitarbeiter und weitere Varianten der Groß-/Kleinschreibung intern als dieselbe Rolle behandelt werden.

Organisationen

Eine Organisation ist im BPC ein Gruppierungsmerkmal für Benutzer, das meistens der Organisationsstruktur im eingesetzten Unternehmen entspricht.

Je nach eingesetzten IdP können dort andere Begriffe wie z.B. Gruppe oder Benutzergruppe verwendet werden.

Wie Sie diese Gruppierungsmerkmale auf BPC Organisationen übertragen, erfahren Sie in der jeweiligen IdP Konfiguration.

Aktive und Inaktive Organisationen

Es besteht optional die Möglichkeit zwischen aktiven und inaktiven Organisationen zu unterscheiden. Dabei können dem Anwender vom IdP bei der Anmeldung zusätzlich inaktive Organisationen zugeordnet werden. Inaktive Organisationen haben zunächst keine Auswirkung auf Sichtbarkeiten oder Berechtigungen. Jedoch hat der Anwender die Möglichkeit über das Plugin Wechseln der aktiven Organisation oder der Benutzerinformationsseite eine Organisation als aktive Organisation zu setzen. In dem Fall wird BPC die Benutzer Session neu aufgebaut, die aktive Organisation gesetzt und alle anderen Organisationen als inaktive Organisationen geführt. Dies kann sich anschließend auf Sichtbarkeiten und Berechtigungen des Benutzers auswirken.

Rollen

Rollen sind ein weiteres Gruppierungsmerkmal. Dieses wird in der Regel dazu genutzt verschiedene Rechte zu bündeln und darüber Benutzern zuzuweisen. Die Rollen eines Benutzers werden über den IdP den einzelnen Benutzern zugeordnet.

Spezialrolle bpcuser

Diese Rolle wird jedem Benutzer zugeordnet, der sich erfolgreich am BPC anmelden kann. Über diese Rolle lassen sich z.B. via IdentityProvider_Mappings allen Benutzern Rechte zuordnen.

Spezialrolle bpcadmin

Diese Rolle enthält implizit alle Rechte. Dadurch ist diese Rolle sehr mächtig und sollte sparsam eingesetzt werden.

Diese Rolle enthält implizit keine weiteren Organisationen oder Rollen. Sollten Sie also eine Zugriffsbeschränkung auf Ebene von Organisationen oder Rollen vornehmen, so erhalten Benutzer mit der Rolle bpcadmin nicht automatisch Zugriff.

Rechte

Die Rechte eines Benutzers werden ebenfalls durch den Identity Provider definiert. Analog zu den Rollen und Organisationen werden diese dem Benutzer direkt zugewiesen oder implizit über die Zuordnung zu einer Rolle oder Organisation des Benutzers vergeben.

Welche Rechte wie berücksichtigt werden, können Sie der Beschreibung im jeweiligen Modul entnehmen.

Vergabe zusätzlicher Rollen und Rechte durch den BPC Core

Das BPC bietet die Möglichkeit, ergänzend zu den Rechteobjekten des externen IdP einem Benutzer zusätzliche Rollen und Rechte zu vergeben. Dies erfolgt über Zuordnung (Mapping) zu vorhandenen Organisationen, Rollen und Rechten. Es kann vor allem für die Vergabe von BPC-internen Applikationsrechten eingesetzt werden.

Im BPC Core hinterlegtes Verzeichnis der verfügbaren Organisationen/Rollen/Rechte, wenn der IdP dies nicht unterstützt

Wenn man als Identity Provider einen OIDC Provider wie Microsoft Azure AD, AWS Cognito oder Keycloak (ohne Admin Client Anbindung) verwendet, dann steht im BPC-Frontend kein Verzeichnis über Rollen, Rechte und Organisationen bereit. In dem Fall kann man diese über das IdP Mapping der jeweiligen IdP Backend Connection bereitstellen.

Für die JAAS basierten Identity Provider können auf diesem Weg Rechte zur Verfügung gestellt werden.

Im BPC Core hinterlegte Organisationen/Rollen/Rechte von Benutzern, wenn der IdP dies nicht unterstützt

Manche IdP sind in ihrer Funktion eingeschränkt und bieten z.B. keine Rechte an (Karaf) oder man kann keine neuen Rollen/Rechte hinzufügen (INUBIT). In diesem Fall hinterlegt der BPC Core diese Zuordnungen im IdP Mapping der jeweiligen IdP Backend Connection.


Keywords: