Externer IDP (Erklärung)
IDP ist ein Akronym für Identity Provider. Ein externer IDP ist eine externe Anwendung und ein Dienst, in dem Sie Angaben zur Identität der Benutzer speichern und verwalten und Dienste zur Benutzerauthentifizierung für andere Systeme bereitstellen können. Sie können einen externen IDP mit dem XProtect VMS verknüpfen.
XProtect unterstützt externe IDPs, die mit OpenID Connect kompatibel sind (OIDC).
Benutzerauthentifizierung
Wenn ein externer IDP konfiguriert ist, unterstützen die XProtect Clients die Verwendung externer IDPs als zusätzliche Authentifizierungsoption.
Wenn die Computeradresse im Client-Anmeldebildschirm auf einr XProtect VMS mit konfiguriertem externen IDP verweist, wird ein API-Aufruf ausgelöst und die Authentifizierungsoption für den externen IDP wird auf dem Anmeldebildschirm verfügbar. Der API-Aufruf wird beim Start des Clients und bei jeder Adressänderung aktiviert.
Die spezielle API, die der Client abfragt, ist eine öffentliche API, die keine Benutzerauthentifizierung erfordert, sodass diese Informationen immer vom Client gelesen werden können.
Forderungen
Ein Anspruch ist eine Aussage, die eine Entität wie ein Nutzer oder eine Anwendung über sich selbst macht.
Der Anspruch besteht aus einem Anspruchsnamen und einem Anspruchswert. Der Name des Anspruchs könnte z.B. ein Standardname sein, der den Inhalt des Anspruchswertes beschreibt, und der Anspruchswert könnte der Name einer Gruppe sein. Beispiel für Ansprüche von einem externen IDP. Beispiel für Ansprüche von einem externen IDP.
Ansprüche sind nicht verpflichtend. Sie sind jedoch erforderlich, um externe IDP-Benutzer automatisch mit Rollen in der XProtect VMS zu verknüpfen und so die Berechtigungen der Benutzer zu ermitteln. Die Ansprüche sind im ID-Token des Benutzers des externen IDP enthalten und bestimmen durch die Zuordnung zu Rollen die Berechtigungen des Benutzers in XProtect.
Wenn für die externen IDP-Benutzer keine Ansprüche im Zusammenhang mit den XProtect VMS-Rollen bereitgestellt werden, können die externen IDP-Benutzer bei der ersten Anmeldung in der XProtect VMS erstellt werden. In diesem Fall sind die externen IDP-Benutzer mit keinen Rollen verknüpft. Der XProtect VMS-Administrator muss die Benutzer dann manuell zu Rollen hinzufügen.
Voraussetzungen für externe IDPs
Die folgenden Schritte sollten im externen IDP ausgeführt werden, bevor die Konfiguration in der VMS erfolgen kann.
-
Die Client-ID und das Geheimnis zur Verwendung mit der XProtect VMS müssen im externen IDP erstellt worden sein. Weitere Informationen finden Sie unter Eindeutige Benutzernamen für Benutzer des externen IDP .
-
Die Zulassungsstelle für den externen IDP muss bekannt sein. Weitere Informationen finden Sie in den Angaben zur Zulassungsstelle für den externen IDP im Dialogfeld Optionen. Muss bekannt sein.
-
Die Umleitungs-URIs zur XProtect VMS müssen im IDP konfiguriert worden sein. Weitere Informationen finden Sie unter Umleitungs-URIs für Web-Clients.
-
Optional müssen VMS-bezogene Ansprüche für die Benutzer oder Gruppen im IDP konfiguriert worden sein.
-
Die XProtect VMS muss vollständig mit Zertifikaten konfiguriert sein, um sicherzustellen, dass die gesamte Kommunikation über verschlüsseltes https erfolgt. Andernfalls akzeptieren die meisten externen IDPs keine Anfragen von der XProtect VMS und ihren Clients, oder ein Teil des Kommunikationsflusses und der Austausch von Sicherheitstoken schlagen fehl.
-
Es muss für die XProtect VMS und alle Client-Computer oder Smartphones, die den externen IDP verwenden sollen, möglich sein, die Anmeldeadresse des externen IDP zu kontaktieren
Lassen Sie die Benutzer sich von einem externen IDP am XProtect VMS anmelden
-
Erstellen Sie vom externen IDP aus die Benutzer und erstellen Sie Ansprüche, um Benutzer als externe IDP-Benutzer in der XProtect VMS zu identifizieren. Das Erstellen von Ansprüchen ist kein erforderlicher Schritt, aber auf diese Weise ermöglichen Sie die automatische Verknüpfung von Benutzern mit Rollen. Weitere Informationen finden Sie unter Forderungen.
-
Erstellen Sie in der XProtect VMS eine Konfiguration, die es dem Identity Provider ermöglicht, den externen IDP zu kontaktieren. Weitere Informationen zum Erstellen einer Konfiguration für einen externen IDP finden Sie unter Hinzufügen und Konfigurieren eines externen IDP.
-
Richten Sie vom XProtect VMS aus die Authentifizierung der Benutzer ein, indem Sie die Benutzeransprüche aus dem externen IDP zu den XProtect Rollen zuordnen. Weitere Informationen zum Zuordnen von Ansprüchen zu Rollen finden Sie unter Ansprüche von einem externen IDP zu Rollen in XProtect zuordnen.
-
Melden Sie sich mit einem XProtect externen IDP zur Benutzerauthentifizierung bei einem Client an, siehe Anmeldung über einen externen IDP.
Weiterleitung URIen
Die Weiterleitung URI gibt die Seite an, zu der der Benutzer nach einer erfolgreichen Authentifizierung weitergeleitet wird. In Ihrem externen IDP müssen Sie die Adresse des Management-Servers hinzufügen, gefolgt von dem Rückrufpfad, der in XProtect Management Client definiert wurde. Zum Beispiel https://management-server-computer.company.com/idp/signin-oidc
Je nachdem, wie auf die XProtect VMS zugegriffen wird, wie das Netzwerk, die Server und Microsoft Active Directory konfiguriert sind, können mehrere Umleitungs-URIs erforderlich sein. Nachfolgend finden Sie einige Beispiele:
Beispiele
Management-Server mit ohder ohne die Domain in der URL:
-
“https://[server_name]/idp/signin-oidc”
-
“https://[server_name].[domain_name]/idp/signin-oidc”
Mobiler Server mit ohder ohne die Domain in der URL:
-
“https://[server_name]:[mobile_port]/idp/signin-oidc”
-
“https://[server_name].[domain_name]:[mobile_port]/idp/signin-oidc”
Wenn der mobile Server für den Zugriff über das Internet eingerichtet ist, müssen Sie auch die öffentliche Adresse und Ports hinzufügen.
Eindeutige Benutzernamen für Benutzer des externen IDP
Die Benutzernamen werden automatisch für Benutzer erstellt, die sich über einen externen IDP an Milestone XProtect anmelden.
Der externe IDP stellt eine Reihe von Ansprüchen bereit, um in XProtect automatisch einen Namen für den Benutzer zu erstellen, und in XProtect wird mit Hilfe eines Algorithmus ein Name aus dem externen IDP ausgewählt, der in der VMS-Datenbank eindeutig ist.
Beispiel für Ansprüche von einem externen IDP
Die Ansprüche bestehen aus einem Anspruchsnamen und einem Anspruchswert. Beispielsweise:
Name der Forderung | Wert der Forderung |
|---|---|
| Name | Raz Van |
| 123@domain.com | |
| amr | pwd |
| idp | 00o2ghkgazGgi9BIE5d7 |
| preferred_username | 321@domain.com |
| vmsRole | Bediener |
| locale | en-US |
| given_name | Raz |
| family_name | Lindberg |
| zoneinfo | America/Los_Angeles |
| email_verified | Wahr |
Verwendung der laufenden Nummer des Anspruchs zum Erstellen von Benutzernamen in XProtect
In XProtect wird die Suchpriorität beim Anlegen eines Benutzers im XProtect VMS durch die laufende Nummer der Ansprüche in der folgenden Tabelle gesteuert. Der erste verfügbare Anspruchsname wird im XProtect VMS verwendet:
Name der Forderung | Laufende Nummer | Beschreibung |
|---|---|---|
| UserNameClaimType | 1 | Das Mapping wurde mit einem Anspruch konfiguriert, um den Benutzernamen festzulegen. Der Anspruch wird im Feld Anspruch zum Anlegen des Benutzernamens auf der Registerkarte externer IDP unter Werkzeuge > Optionen definiert. |
| preferred_username | 2 | Anspruch, der von dem externen IDP ausgehen kann. Ein Standardanspruch, der in der Regel dafür in Oidc verwendet wird (OpenID Connect). |
| Name | 3 | |
| given_name family_name | 4 | Vorname und Familienname in einer Kombination wie Bob Johnson. |
| 5 | ||
| Erster verfügbarer Anspruch + #(erste verfügbare Nummer) | 6 | Z.B. Bob#1 |
Definition spezifischer Ansprüche zur Erstellung von Benutzernamen in XProtect
Die XProtect Administratoren können einen bestimmten Anspruch aus dem externen IDP definieren, der zur Erstellung eines Benutzernamens im XProtect VMS verwendet werden soll. Wenn ein Administrator einen Anspruch definiert, der für die Erstellung des Benutzernamens im XProtect VMS verwendet werden soll, muss der Name des Anspruchs genau so geschrieben werden, wie der Name des Anspruchs, der aus dem externen IDP stammt.
-
Den für den Benutzernamen zu verwendenden Anspruch können Sie im Feld Anspruch zum Erstellen des Benutzernamens auf der Registerkarte externer IDP unter Extras > Optionen festlegen.
Löschen externer IDP-Benutzer
In XProtect von einem externen IDP-Login erstellten Benutzer werden auf die gleiche Weise gelöscht wie ein normaler Benutzer, und der Benutzer kann jederzeit nach seiner Erstellung gelöscht werden.
Wenn ein Benutzer in XProtect gelöscht wird und sich der Benutzer erneut aus dem externen IDP anmeldet, wird in XProtect ein neuer Benutzer angelegt. Allerdings gehen die mit dem Benutzer in XProtect verbundenen Daten, z.B. private Ansichten und Rollen, verloren, und diese Informationen müssen für den Benutzer in XProtect neu erstellt werden.
Wenn ein externer IDP in der Management Client gelöscht wird, werden auch alle Benutzer gelöscht, die über den externen IDP mit dem VMS verbunden sind.