Keycloak Rollen und Mandantentrennung

Rollen in keycloak

Diese Dokumentation ist für B2B Administratoren vorgesehen

Rollen-Management

Das Rollenmanagement in keycloak kann über die Seite Rollen durchgeführt werden. Sie können die Rollen über das Menü auf der linken Seite aufrufen, wie Sie in der Abbildung unten sehen können. Bitte stellen Sie sicher, dass Sie sich im richtigen Realm (hier b2b-qa) befinden.

Abbildung 1.1

Standard-Rollen

Die Registerkarte Default Roles kann verwendet werden, um Rollen zur Liste der Realm-Standardrollen hinzuzufügen, wie im Screenshot unten gezeigt. Sobald sich eine Rolle in der Liste der Realm-Standardrollen befindet, wird sie automatisch jedem neuen Benutzer zugewiesen, der in diesem Realm angelegt wird.

Abbildung 1.2

Ansichts- und Suchrollen

Die Liste der verfügbaren Rollen ist weiter unten auf dieser Seite zu sehen.

Abbildung 1.3

Der Benutzer kann Rollen anhand des Rollennamens suchen, wie in der Abbildung unten gezeigt.

Abbildung 1.4

Rollen hinzufügen

Der Benutzer kann neue Rollen hinzufügen, indem er auf die Schaltfläche Add Role (Rolle hinzufügen) in der oberen rechten Ecke der Rollentabelle klickt. Siehe Screenshot unten.

Abbildung 1.5

Rolle hinzufügen: Der Benutzer kann den Rollennamen und seine Beschreibung hinzufügen und auf die Schaltfläche “Speichern” klicken, wie im Screenshot unten gezeigt.

Abbildung 1.6

Rollen bearbeiten

Der Benutzer kann Rollen bearbeiten, indem er auf die Schaltfläche Edit rechts unter den Aktionsspalten in der Rollentabelle klickt. Siehe Screenshot unten.

Abbildung 1.7

Der Benutzer kann die Rollenbeschreibung bearbeiten. (Die Funktion “Composite Roles” wird nicht verwendet)

Abbildung 1.8

Der Benutzer kann auch die an diese Rolle gebundenen Benutzer anzeigen. Siehe Screenshot unten.

Abbildung 1.9

Rollen löschen

Der Benutzer kann jede beliebige Rolle löschen, indem er in der Rollentabelle in der Spalte Aktionen auf die Schaltfläche Delete klickt, wie in der Abbildung unten dargestellt.

Abbildung 1.10

Wenn Sie auf Löschen klicken, wird ein Bestätigungsdialogfeld angezeigt, um das Löschen zu bestätigen. Der Benutzer kann auf “Delete” klicken, um die Rolle zu löschen, oder auf “Cancel”, um zurückzugehen.

Abbildung 1.11

Liste der verfügbaren Rollen

Dies sind die verfügbaren Rollen im B2B-, und FSS-Bereich mit ihren kurzen Beschreibungen

Button Description
B2B-Dashboard So greifen Sie auf die Dashboard-Seite in der B2B-UI zu
B2B-Errors So greifen Sie auf die Fehlerliste in der Navigationsleiste zu
B2B-ManualMarketCommunication So greifen Sie auf das Modul Manuelle Marktkommunikation in der B2B-UI zu
B2B-MessageMonitor-Read So greifen Sie auf den B2B Messagemonitor in B2B-UI zu
B2B-MessageMonitor-TechnicalDetails So greifen Sie auf die technischen Details einer Nachricht im B2B Messagemonitor zu
B2B-MessageMonitor-Write Um auf die Schaltflächen zum Herunterladen zuzugreifen
B2B-MpidEditor-Read Um lesen Zugriff auf den MPID Editor zu erhalten
B2B-MpidEditor-Write Um auf die Schaltflächen zum Erstellen, Löschen, Herunterladen, Ändern von E-Mails und Synchronisieren von Daten im MPID Editor zuzugreifen
B2B-SystemInfo So erhalten Sie Zugang um Systeminformationen anzuzeigen
B2B-General Bereitstellung des Zugriffs auf alle Funktionen in B2B-UI, die nicht durch eine andere spezifische Rolle geschützt sind
B2B-SystemSwitch So erhalten Sie Zugriff auf das Systemweichen-Modul in der B2B-UI
B2B-SystemSwitch-Admin Um Kanalfilter zu haben und die Kanalspalte im Systemweichen-Modul anzuzeigen
B2BAdmin-Customizing Für Admin UI, um die Administrationsseite sichtbar zu machen
FSS-CertificateManager-Read Um Zertifikate im Fastlane Security Server anzuzeigen
FSS-CRL Um Zugang zum Herunter-, oder Hochladen von Sperrlsiten im Fastlane Security Server zu erhalten
FSS-Message Zum Schutz des Zugriffs auf Prozesse wie Ver-/Entschlüsselung/Signieren/Verifizieren auf die E-Mail-Nachrichten, AS/2-Nachrichten und AS/4-Nachrichten im Fastlane Security Server
FSS-CertificateManager-Write Um zusätzliche Aktionen wie Hinzufügen, Aktualisieren und Löschen im Fastlane Security Server durchzuführen
FSS-ClientManager-Read Um alle Daten zu sehen und zu welchem Mandant das Zertifikat gehört
FSS-RuleManager-Read So zeigen Sie sich das Regelwerk im Fastlane Security Server an
FSS-RuleManager-Write Um zusätzliche Aktionen wie Hinzufügen, Aktualisieren und Löschen im Rregelwerk des Fastlane Security Servers durchzuführen

Benutzerbindung mit Rollen

Die Benutzer in keycloak können an eine bestimmte Rolle oder mehrere Rollen gebunden sein. Der Benutzer kann auf die Benutzerliste über das Menü auf der linken Seite zugreifen, wie in der Abbildung unten dargestellt.

Abbildung 1.12

Der Benutzer kann nach einem bestimmten Benutzer suchen oder auf “View all users” klicken, um Benutzer in der Tabelle anzuzeigen. Bitte sehen Sie sich den untenstehenden Screenshot an, um ein Beispiel zu sehen.

Abbildung 1.13

Der Benutzer kann auf die Schaltfläche “Edit” unter der Spalte Actions in der Benutzertabelle klicken, um eine Rolle für diesen Benutzer hinzuzufügen oder zu entfernen. Siehe Screenshot unten.

Abbildung 1.14

Rolle zum Benutzer hinzufügen: Der Benutzer kann zur Registerkarte “Role mappings” gehen (wie im Screenshot unten gezeigt) und in der Registerkarte Available Roles die Rolle auswählen, die hinzugefügt werden muss, und auf die Schaltfläche “Add selected” klicken, um sie hinzuzufügen.

Abbildung 1.15

Rolle vom Benutzer entfernen: In ähnlicher Weise kann ein Benutzer die Rolle von dem Benutzer entfernen, indem er eine Rolle in den Assigned Roles auswählt und dann auf die Schaltfläche “Remove selected” klickt. Siehe Bildschirmfoto unten.

Abbildung 1.16

Gruppen

Die verfügbaren Rollen können gruppiert werden, und es kann eine Rollengruppe erstellt werden, die einem Benutzer zugewiesen wird. Dies ist nützlich, um Zeit zu sparen, wenn die gleichen Rollen mehreren Benutzern wiederholt zugewiesen werden.

Der Benutzer kann auf die Gruppenseite über das Menü auf der linken Seite zugreifen, wie in der Abbildung unten gezeigt. Der Benutzer kann dann auf die Schaltfläche “New” klicken, um eine Gruppe mit der/den darin enthaltenen Rolle(n) zu erstellen.

Abbildung 1.17

Gruppe erstellen: Der Benutzer kann den Namen der Gruppe festlegen und auf “Save” klicken.

Abbildung 1.18

Der Benutzer wird zu diesem Bildschirm umgeleitet, wo er dann zur Registerkarte “Role Mappings” navigieren und die Rollen zur Gruppe hinzufügen kann.

Abbildung 1.19

Gruppe löschen: Der Benutzer kann jede beliebige Gruppe auf der Seite Gruppenliste löschen. Siehe Screenshot unten. Bitte beachten Sie, dass jeder Benutzer, der an diese Gruppe gebunden ist, automatisch freigegeben wird.

Abbildung 1.20

Binden der Rollengruppe an den Benutzer: Ein Benutzer kann an eine beliebige Gruppe gebunden werden, indem er auf die Seite Benutzer geht und zur Registerkarte “Groups” wechselt, um die Gruppe wie in der Abbildung unten gezeigt, einzustellen.

Abbildung 1.21

Mandanten in Keycloak

Die Mandanten können in der keycloak Benutzerkonfiguration als Attribut festgelegt werden. Die Mandantentrennung kann verwendet werden, um den Zugriff auf Systeme einzuschränken, auf die der Benutzer zugreifen kann. Die Mandantentrennung kann in Modulen vorgenommen werden, indem das Benutzerattribut in der eycloak Benutzerkonfiguration als Attribut eingerichtet wird.

Wenn das Attribut tenants vorhanden ist, werden die Daten im Modul auf das System beschränkt, das an diesen Mandant gebunden ist. Die Zuordnung von Mandant zu System wird in den B2B Extensions vorgenommen.

Der Name der Extension lautet TENANTS und die Konfiguration erfolgt im Inhalt.

Beispielwerte der Zuordnung von Mieter zu System in der Erweiterung:

  • NETZBETREIBER=99007700000002
  • LIEFERANT=9912345678798094,9912345678798095,991234567878798096

Wie Sie oben sehen können, können einem Mandant mehrere Systeme Kommagetrennt zugeordnet werden. Schauen wir uns nun die Anwendungsfälle an.

Mit tenants = all können Benutzer auf alle Systeme zugreifen. Wenn der Benutzer ein Attribut als Tenants = all gesetzt hat, kann er also alle Nachrichten in der B2B-UI für alle Systeme sehen. Ein Beispiel finden Sie im folgenden Screenshot.

Abbildung 1.22

In ähnlicher Weise kann das Attribut tenants auf einen einzigen Mandanten gesetzt werden, um den Datenzugriff für diesen Benutzer nur für diesen Mandanten einzuschränken.

B2B-UI: Der Datenzugriff für den Benutzer kann für Nachrichten den MPID Editor eingeschränkt werden. Beispiel für das Setzen eines Mandantenattributs: Dadurch werden die Daten im Nachrichtenmonitor auf das System beschränkt, das zu NETZBETREIBER gehört.

Abbildung 1.22

Einige Richtlinien:

  • Wenn der Benutzer keinen Mandanten zugewiesen hat, aber die Mandantentrennung aktiv ist (die Extension TENANTS existiert), kann der Benutzer nichts sehen
  • Wenn (der Benutzer keinen Mandanten hat und) die Mandantentrennung nicht aktiv ist (die Extension TENANTS existiert nicht), kann der Benutzer alles sehen
  • Wenn der Benutzer einen Mandanten hat, der nicht Teil der Extension TENANTS ist, kann der Benutzer nichts sehen.

FSS-UI: Beispiel für das Setzen eines FSS-Mandantenattributs: Dadurch werden die Daten der Zertifikate beschränkt.

Abbildung 1.22

Einige Richtlinien:

  • Wenn der Benutzer die Rolle eines Administrators hat, kann er jedes Zertifikat unabhängig vom Attribut der Mandanten sehen.
  • Wenn das tenants-Attribut undefiniert ist oder kein tenants-Attribut vorhanden ist, kann der Benutzer nur “undefinierte” Zertifikate sehen.
View Me   Edit Me