Externer IDP (Erklärung)
IDP ist ein Akronym für Identity Provider. Ein externer IDP ist eine externe Anwendung und ein Dienst, in dem Sie Angaben zur Identität der Benutzer speichern und verwalten und Dienste zur Benutzerauthentifizierung für andere Systeme bereitstellen können. Sie können einen externen IDP mit dem XProtect VMS verknüpfen.
XProtect VMS unterstützt externe IDPs, die mit OpenID Connect kompatibel sind (OIDC).
Ansprüche (Erklärung)
Ansprüche sind das Bindeglied zwischen dem externen IDP und dem XProtect VMS.
Ein Anspruch ist eine Aussage, die eine Entität wie ein Nutzer oder eine Anwendung über sich selbst macht. Im XProtect VMS kann ein Anspruch mit einer Rolle verknüpft werden, die die XProtect Berechtigungen der Benutzer bestimmt.
Der Anspruch ist ein Schlüsselwert, der aus Namen des Anspruchs und seinem Wert besteht. Der Name des Anspruchs könnte z.B. ein Standardname sein, der den Inhalt des Anspruchswertes beschreibt, und der Anspruchswert könnte der Name einer Gruppe sein. Beispiel für Ansprüche von einem externen IDP. Beispiel für Ansprüche von einem externen IDP.
Lassen Sie die Benutzer sich von einem externen IDP am XProtect VMS anmelden
-
Legen Sie vom externen IDP die Benutzer an. Außerdem müssen Sie die XProtect und die Interaktion zwischen XProtect und dem externen IDP identifizieren. Schließlich erstellen Sie die Ansprüche, um die Benutzer als externe IDP-Benutzer in der XProtect VMS zu identifizieren.
-
Erstellen Sie in der XProtect VMS eine Konfiguration, die es dem Identity Provider ermöglicht, den externen IDP zu kontaktieren. Weitere Informationen zum Erstellen einer Konfiguration für einen externen IDP finden Sie unter Hinzufügen und Konfigurieren eines externen IDP.
-
Richten Sie vom XProtect VMS aus die Authentifizierung der Benutzer ein, indem Sie die Benutzeransprüche aus dem externen IDP zu den XProtect Rollen zuordnen. Weitere Informationen zum Zuordnen von Ansprüchen zu Rollen finden Sie unter Ansprüche von einem externen IDP zu Rollen in XProtect zuordnen.
Weiterleitung URIen
Die Weiterleitung URI gibt die Seite an, zu der der Benutzer nach einer erfolgreichen Authentifizierung weitergeleitet wird. In Ihrem externen IDP müssen Sie die Adresse des Management-Servers hinzufügen, gefolgt von dem Rückrufpfad, der in XProtect Management Client definiert wurde. Zum Beispiel https://management-server-computer.company.com/idp/signin-oidc
Eindeutige Benutzernamen für Benutzer des externen IDP
Die Benutzernamen werden automatisch für Benutzer erstellt, die sich über einen externen IDP an Milestone XProtect anmelden.
Der externe IDP stellt eine Reihe von Ansprüchen bereit, um in XProtect automatisch einen Namen für den Benutzer zu erstellen, und in XProtect wird mit Hilfe eines Algorithmus ein Name aus dem externen IDP ausgewählt, der in der VMS-Datenbank eindeutig ist.
Beispiel für Ansprüche von einem externen IDP
Die Ansprüche bestehen aus einem Anspruchsnamen und einem Anspruchswert. Beispielsweise:
|
Name der Forderung |
Wert der Forderung |
|---|---|
| Name | Raz Van |
| 123@domain.com | |
| amr | pwd |
| idp | 00o2ghkgazGgi9BIE5d7 |
| preferred_username | 321@domain.com |
| vmsRole | Bediener |
| locale | en-US |
| given_name | Raz |
| family_name | Lindberg |
| zoneinfo | America/Los_Angeles |
| email_verified | Wahr |
Verwendung der laufenden Nummer des Anspruchs zum Erstellen von Benutzernamen in XProtect
In XProtect wird die Suchpriorität beim Anlegen eines Benutzers im XProtect VMS durch die laufende Nummer der Ansprüche in der folgenden Tabelle gesteuert. Der erste verfügbare Anspruchsname wird im XProtect VMS verwendet:
|
Name der Forderung |
Laufende Nummer |
Beschreibung |
|---|---|---|
| UserNameClaimType | 1 | Das Mapping wurde mit einem Anspruch konfiguriert, um den Benutzernamen festzulegen. Der Anspruch wird im Feld Anspruch zum Anlegen des Benutzernamens auf der Registerkarte externer IDP unter Werkzeuge > Optionen definiert. |
| preferred_username | 2 | Anspruch, der von dem externen IDP ausgehen kann. Ein Standardanspruch, der in der Regel dafür in Oidc verwendet wird (OpenID Connect). |
| Name | 3 | |
| given_name family_name | 4 | Vorname und Familienname in einer Kombination wie Bob Johnson. |
| 5 | ||
| Erster verfügbarer Anspruch + #(erste verfügbare Nummer) | 6 | Z.B. Bob#1 |
Definition spezifischer Ansprüche zur Erstellung von Benutzernamen in XProtect
Die XProtect Administratoren können einen bestimmten Anspruch aus dem externen IDP definieren, der zur Erstellung eines Benutzernamens im XProtect VMS verwendet werden soll. Wenn ein Administrator einen Anspruch definiert, der für die Erstellung des Benutzernamens im XProtect VMS verwendet werden soll, muss der Name des Anspruchs genau so geschrieben werden, wie der Name des Anspruchs, der aus dem externen IDP stammt.
-
Den für den Benutzernamen zu verwendenden Anspruch können Sie im Feld Anspruch zum Erstellen des Benutzernamens auf der Registerkarte externer IDP unter Extras > Optionen festlegen.
Löschen externer IDP-Benutzer
In XProtect von einem externen IDP-Login erstellten Benutzer werden auf die gleiche Weise gelöscht wie ein normaler Benutzer, und der Benutzer kann jederzeit nach seiner Erstellung gelöscht werden.
Wenn ein Benutzer in XProtect gelöscht wird und sich der Benutzer erneut aus dem externen IDP anmeldet, wird in XProtect ein neuer Benutzer angelegt. Allerdings gehen die mit dem Benutzer in XProtect verbundenen Daten, z.B. private Ansichten und Rollen, verloren, und diese Informationen müssen für den Benutzer in XProtect neu erstellt werden.
Wenn ein externer IDP in der Management Client gelöscht wird, werden auch alle Benutzer gelöscht, die über den externen IDP mit dem VMS verbunden sind.