Zum Hauptinhalt gehen
Deutsch' English

Rollen und Rechte für Single Sign-on (SSO) erstellen

Sabine Hanneforth
  • Aktualisiert

Sie können für Ihr AEB-Produkt Rollen konfigurieren. Bei der Rollenvergabe haben Sie drei verschiedene Möglichkeiten:

  • Möglichkeit 1: Die Rollenvergabe findet in Ihrem Identity Provider statt.
  • Möglichkeit 2: Die Rollenvergabe findet im AEB-Produkt statt.
  • Möglichkeit 3: Sie verwenden eine Standardrolle bei der Anmeldung.

Darüber hinaus ist auch ein Mischbetrieb dieser Lösungen möglich. Weitere Informationen hierzu finden Sie im Abschnitt "Mischbetriebe".

Möglichkeit 1: Die Rollenvergabe findet in Ihrem Identity Provider statt

Diese Möglichkeit bietet Ihnen die größtmögliche Flexibilität, Rollen im System zuzuweisen. In welcher Form das stattfindet, liegt in Ihrer Hand (Gruppen, Attribute). Bei der Anmeldung an den AEB-Produkten werden die Rollen im Token übergeben und es findet ein Mapping statt.

Vorteil: Sie haben die volle Kontrolle über die Rollenvergabe und sind flexibler in der Zuordnung der Rollen für Ihre Mitarbeiter, da nicht jeder Benutzer manuell im AEB-Produkt angelegt und verknüpft werden muss. Eine größere Anzahl an Benutzern lässt sich somit leichter verwalten.

Nachteil: Der Applikationsverantwortliche muss die technische Möglichkeit haben, die Rollenvergabe umsetzen zu können.

In der folgenden Grafik erhalten Sie einen Überblick über die technischen Zusammenhänge:

Möglichkeit 2: Die Rollenvergabe findet im AEB-Produkt statt

Bei dieser Option verwalten Sie Ihre Rollen im AEB-Produkt und ordnen sie verknüpften Benutzern zu. In Ihrem AEB-Produkt muss der Benutzer hierfür bereits als verknüpfter Account angelegt sein oder bei Nutzung von nEXt zuvor durch eine Erstanmeldung erzeugt werden.

Vorteil: Der Applikationsverantwortliche hat die Möglichkeit, die Rollenvergabe im AEB-Produkt selbst zu vergeben.

Nachteil: Dem Applikationsverantwortlichen obliegt die Aufgabe, zuvor jeden Benutzer manuell als verknüpften Account anzulegen. Bei vielen Benutzern wird die manuelle Zuordnung daher unter Umständen sehr unpraktikabel.

In der folgenden Grafik erhalten Sie einen Überblick über die technischen Zusammenhänge:

Möglichkeit 3: Verwendung einer Standard-Rolle bei der Anmeldung

Bei der Anmeldung wird allen Benutzern dieselbe Rolle zugeordnet. Dies ist eine Standard-Rolle, die grundsätzlichen Zugang gewährt. Die weitere Steuerung, welcher Benutzer Zugriff auf die Anwendung hat, erfolgt in Ihrem Identity Provider.

Vorteil: Sie müssen keine Rollen konfigurieren. Diese Möglichkeit eignet sich, wenn der Großteil der Benutzer dieselbe Rolle benötigt und auf eigener Seite keine Rollen konfiguriert werden sollen.

Nachteil: Eine statische Zuordnung ist recht unflexibel.

Mischbetriebe

Sie können auch einem Großteil der Benutzer eine Standard-Rolle vergeben und gewissen Benutzern lokal Rollen zuweisen.

Beispiel:

  • Sie haben 100 Mitarbeiter im Bereich Compliance.
  • 95 Mitarbeiter benötigen dieselben Rechte.
  • 5 Mitarbeiter benötigen administrative Rechte.

Lösung:

  • AEB vergibt im IAM der AEB an alle Mitarbeiter eine Standard-Rolle.
  • Mitarbeiter mit abweichenden Rollen legen Sie als verknüpfte Objekte im AEB-Produkt an und ordnen ihnen die notwendigen Rollen zu.

Wie richte ich Single Sign-on (SSO) ein?

Für die Einrichtung des Single Sign-on ist anschließend der folgende Einrichtungsschritt nötig:

  1. Single Sign-on über ein Identity and Access Management System einrichten. Beispiele zur Konfiguration finden Sie in den folgenden Artikeln:
    Single Sign-On (SSO) über Microsoft Azure Active Directory via OpenID Connect einrichten
    Single Sign-On (SSO) über Microsoft AD FS einrichten

Vorherige Schritte beim Einrichten des Single Sign-on (SSO)

  1. Single Sign-on (SSO) über ein Identity and Access Management System realisieren
  2. Endpunkt für Single Sign-on (SSO) einrichten

Verwandte Beiträge

Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.