| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:scmrollenundanmeldung [2023/09/12 17:30] – Juergen Brauckmann | de:dfnpki:tcs:scmrollenundanmeldung [2024/05/13 12:33] (aktuell) – [Anmeldung mit SAML] Reimer Karlsen-Masur |
|---|
| =====Admins, Rollen & Privilegien===== | =====Admins, Rollen & Privilegien===== |
| |
| Im linken Seitenmenü können unter ☰->Settings->Admins weitere Accounts angelegt werden. Standard (D)RAO-Accounts mit Login via Account-Name/Passwort werden dort über das grüne "+"-Symbol angelegt. | Im linken Seitenmenü können unter ☰->Settings->Admins weitere (D)RAO-Accounts über das grüne "+"-Symbol angelegt werden: |
| | |
| | * Standard-Accounts mit Login via Benutzername/Passwort |
| | |
| | * IdP-Accounts mit Login via SAML/AAI |
| | |
| | * reine API-Accounts mit Login via Benutzername/Passwort und optional auch via API Key für den OAuth 2.0 "Client Credentials Flow" |
| |
| Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können. | Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können. |
| |
| Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM. | Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM. |
| |
| |
| ====Passworte==== | ====Passworte==== |
| Weitere Voraussetzungen finden Sie unter [[de:dfnpki:tcs:zugriffperaai|Zugriff per AAI]] | Weitere Voraussetzungen finden Sie unter [[de:dfnpki:tcs:zugriffperaai|Zugriff per AAI]] |
| |
| Um einen Account für das Einloggen vorzubereiten, gibt es zwei verschiedene Wege: | Um einen Account für das Einloggen mittels SAML/AAI vorzubereiten, gibt es zwei verschiedene Wege: |
| - Bei einem per ☰->Settings->Admins, Button "Add", manuell angelegten Account mit Passwort kann zusätzlich das Feld "Identity Provider" auf "Your Institution" gesetzt werden, und "EPPN" auf den Wert des Attributes eduPersonPrincipalName. Anschließend kann sich dieser Account per Nutzername/Password und alternativ auch per SAML über den einrichtungseigenen IdP einloggen. | - Bei einem per ☰->Settings->Admins, Button "Add", manuell angelegten Standard-Account mit Passwort kann zusätzlich das Feld "Identity Provider" auf "Your Institution" gesetzt werden, und "EPPN" auf den Wert des Attributes eduPersonPrincipalName. Anschließend kann sich dieser Account per Nutzername/Password und alternativ auch per SAML über den einrichtungseigenen IdP einloggen. |
| - Mit dem Weg ☰->Settings->Admins, Button "Add IdP User", kann ein Account ohne Passwort angelegt werden, der sich nur über den IdP einloggen kann. Ein neu angelegter Account muss von einem anderen Admin freigeschaltet werden. Ohne Freischaltung ist kein Login möglich. | - Mit dem Weg ☰->Settings->Admins, grünes "+"-Symbol, kann ein IdP-Account ohne Passwort angelegt werden, der sich nur über den IdP einloggen kann. |
| * Ein neu angelegter IdP User in der Organisation muss von der DFN-PCA freigeschaltet werden. Beauftragen Sie die Freischaltung bitte einfach per E-Mail an [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. | |
| * Ein von einem RAO neue angelegter IdP User in einem Department kann von einem zweiten RAO direkt freigeschaltet werden. | |
| |
| Ihr IdP muss mindestens ''schacHomeOrganization'', ''eduPersonPrincipalName'' (''ePPN'') und ''mail'' an Sectigo übertragen. Die übertragenen Attribute können Sie einsehen unter: https://cert-manager.com/customer/DFN/ssocheck/ | Ihr IdP muss mindestens ''schacHomeOrganization'', ''eduPersonPrincipalName'' (''ePPN'') und ''mail'' an Sectigo übertragen. Die übertragenen Attribute können Sie einsehen unter: https://cert-manager.com/customer/DFN/ssocheck/ |
| |
| |
| =====Departments===== | =====Departments===== |