1. Um Gruppen aus dem Verzeichnis in ESM abzurufen, nehmen Sie bitte die richtige Zuordnung zur EPE-Konfiguration „ memberOf“ vor.
   
   
   
   
2. Überprüfen Sie, ob „memberOf“ derselbe Code ist, der in den Plattformeinstellungen in „servlet.auth.person.groups.attribute.code“ definiert ist.
   
   
   
   
3. Um ESM-Rollen mit Gruppen zu verbinden, verwenden Sie die externe Kennung auf dem Rollenkonfigurationsbildschirm von ESM:
   
   
   
   
4. Beim Anmelden werden die einer Person zugewiesenen Gruppen durchlaufen. Der Eigenschaftsname wird in „servlet.auth.person.groups.attribute.code“ festgelegt, Standardwert: „entitlements“.
   - Wenn auch nur eine Gruppe gleich „servlet.auth.admin.ad.group“ ist, gewährt sie Zugriff auf ROOT-Ebene
   - Wenn auch nur eine Gruppe gleich „servlet.auth.user.ad.group“ ist, gewährt sie Zugriff auf NORMAL-Ebene

1. Melden Sie sich mit ESA Admin (main.admin) bei der URL https://example.efectecloud.com/auth/admin an.
   
2. Wählen Sie den richtigen Bereich aus dem oberen Menü aus
   
   
   
3. Öffnen Sie die Client-Einstellungen im linken Seitenbereich
   
   
   
4. Wählen Sie Client-Konfiguration (endet mit Shibboleth) https://example.efectecloud.com/shibboleth
   
   
   
   
5. Wählen Sie die Registerkarte „Clientbereiche“ und wählen Sie den Shibboleth-Link
   
   
6. Wählen Sie die Schaltfläche „Mapper hinzufügen“ und wählen Sie „Nach Konfiguration“ aus der Dropdown-Liste
   
   
   
7. Wählen Sie die Option SAML Efecte ESM userLevel Mapper“ und fügen Sie Namen und SAML Attributnamenformat wie im Bild unten hinzu (com:efecte:esm:userLevel & Unspecified). Speichern Sie die Änderungen.
   
   Beachten Sie: Wenn der Kunde nicht die standardmäßigen Basisgruppennamen ESMAdmins, ESMUsers, ESMreaders verwendet, können die Gruppennamen im ESA Host geändert werden. Mapper werden im ESA-Container unter „/opt/esa/ keycloak -scripts/[TENANT/REALM]“ gespeichert ESA
   
   

Standard-Mapper im Host:

// Root, Normal, Readonly, NoAccess
var
adminGroup = "ESMadmins";
var
normalGroup = "ESMusers";
var
readOnlyGroup = "ESMreaders";
var
userLevelDefault = "NoAccess";
var
userLevelIndex = 0;
 

7. Konfigurieren Sie den Mapper „com:efecte:esm:roles“, indem Sie einen neuen Mapper hinzufügen . Nach Konfiguration
   
   

1. Wählen Sie die Option SAML Efecte ESM-Rollenmapper [Realmname]“ und fügen Sie Namen und SAML Attributnamenformat wie im Bild unten hinzu (com:efecte:esm:roles & Unspecified). Speichern Sie die Änderungen.
   
   
2. Gehen Sie zu ESM. In der Berechtigung des ESM hat jede Berechtigung ein Attribut „Externe Kennung“ – es sollte auf den Namen der Verzeichnisgruppe gesetzt werden.
   
   

Voraussetzung: Der Gruppenanspruch ist für Azure konfiguriert Azure Gruppen werden von Azure an ESA gesendet), sowohl SAML als auch OIDC werden unterstützt.

1. Melden Sie sich mit ESA Admin (main.admin) bei der URL https://example.efectecloud.com/auth/admin an

2. Wählen Sie den richtigen Bereich aus dem oberen Menü

3. Fügen Sie den Gruppen -Mapper zu den Einstellungen des Identitätsanbieters hinzu (Sie müssen je nach Authentifizierungstyp SAML oder OIDC unterschiedliche Attributnamen hinzufügen. Gehen Sie zu Ihrem Identitätsanbieter und zur Registerkarte „Mapper“. Dieser Gruppenanspruch (Informationen) kommt nicht standardmäßig von Entra , überprüfen Sie daher, ob der Kunde diesen Gruppenanspruch gegenüber Entra gemäß den uid konfiguriert hat. Für OIDC : OIDC Kundenanweisungen und für SAML SAML Kundenanweisungen

3A. Verwenden Sie für SAML den Attributnamen: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups Synchronisierungsmodus-Überschreibung: Force, Claim: groups


3B. Verwenden Sie für OIDC den Attributnamen: Gruppensynchronisierungsmodus-Überschreibung: Erzwingen, Anspruch: Gruppen

4. Öffnen Sie anschließend die Client-Einstellungen im linken Seitenbereich

5. Wählen Sie Client-Konfiguration (endet mit Shibboleth) https://example.efectecloud.com/shibboleth

6. Wählen Sie die Registerkarte Clientbereiche und wählen Sie den Shibboleth-Link

7. Wählen Sie die Schaltfläche Mapper hinzufügen und wählen Sie aus der Dropdown-Liste Nach Konfiguration

8. Wählen Sie die Option SAML Efecte ESM userLevel Mapper“ und fügen Sie Namen und SAML Attributnamenformat wie im Bild unten hinzu (com:efecte:esm:userLevel & Unspecified). Speichern Sie die Änderungen.

Beachten Sie: Wenn der Kunde nicht die Standardgruppen ESMAdmins, ESMUsers und ESMreaders verwendet, müssen die Gruppennamen im ESA Host geändert werden. Mapper werden in „/opt/esa/ keycloak -scripts/[TENANT/REALM]“ gespeichert.

Standard-Mapper im Host:

// Root, Normal, Readonly, NoAccess
var
adminGroup = "ESMadmins";
var
normalGroup = "ESMusers";
var
readOnlyGroup = "ESMreaders";
var
userLevelDefault = "NoAccess";
var
userLevelIndex = 0;

Beachten Sie, dass es sich bei Namen auch um Gruppen-IDs und nicht um Namen handeln kann. Dies hängt davon ab, wie Ansprüche in Entra ID ( Azure ) konfiguriert sind.

9. Konfigurieren Sie den Mapper com:efecte:esm:roles, indem Sie einen neuen Mapper per Konfiguration hinzufügen

10. Wählen Sie die Option SAML Efecte ESM roles mapper [Realm name]“ und fügen Sie Namen und SAML Attributnamenformat wie im Bild unten hinzu (com:efecte:esm:roles & Unspecified). Speichern Sie die Änderungen.

11. Um ESM-Rollen mit Azure -Gruppen zu verbinden, verwenden Sie den externen Bezeichner auf dem Rollenkonfigurationsbildschirm von ESM:
Hinweis : Dies sollte die ObjectGUID der Gruppe oder der Gruppenname der Azure-Gruppe sein – je nachdem, wie sie für Gruppenansprüche konfiguriert ist.

1. ESM liest den UserPrincipal-Namen aus der Anfrage
- wenn es NULL ist - lehnt es die Anmeldung ab
2. ESM liest esm_userLevel aus der Anfrage
- wenn es NOACCESS ist - wird die Anmeldung abgelehnt
3. ESM versucht, bereits vorhandene Benutzer (NICHT Personen) anhand des Hauptnamens zu finden
- wenn 'servlet.auth.create.users' auf „false“ gesetzt ist und der Benutzer NICHT gefunden wird, wird die Anmeldung abgelehnt
4. Wenn der Benutzer nicht gefunden wurde, wird versucht, ihn zu erstellen:
- Zuerst wird die Personenliste durchgesehen und versucht, dort eine Übereinstimmung zu finden (nach Hauptnamen).
Kriterien.beitreten(Entity.TEMPLATE).hinzufügen(Vorlage.CODE, conf.person.template);
Kriterien.Hinzufügen(Entity.IS_DELETED, false);
Kriterien.Hinzufügen(Auswahl.Makro("$" + conf.person. uid + "$"), uid );
- wenn die Person nicht gefunden wurde, wird versucht, sie zu erstellen
- es liest esm_email (obligatorisch), esm_firstName, esm_lastName aus der Anfrage und erstellt die Entität Person
- Wenn auf dem Weg ein Fehler aufgetreten ist, die Person also nicht erstellt wurde oder mehrere Personen mit demselben Namen gefunden wurden, wird die Anmeldung abgelehnt
- es bestätigt auch, dass Benutzer und Person über eine Eigenschaft „servlet.auth.person.user.attribute.code“ verbunden sind (Standardwert: efecte_user),
wenn in dieser Referenz kein Benutzer vorhanden ist, wird die Anmeldung ebenfalls abgelehnt
- es erstellt dann einen Benutzer und fügt einen Verweis auf eine Person darin ein
5. Wenn beim Erstellen eines Benutzers ein Problem aufgetreten ist, wird die Anmeldung abgelehnt, es wird jedoch auch eine Prüfung durchgeführt:
if (userEntity == null || user.getPassword() != null) {
return true; // Benutzer wird vom Installateur/Administrator erstellt/bearbeitet
}
6. Wenn die Person, die mit einem Benutzer verknüpft werden soll, NICHT vorhanden ist, wird versucht, eine Personenentität zu erstellen und diese mit einem Benutzer zu verknüpfen.
7. Es wird versucht, die Benutzerebene aus der Anfrage zu lesen (sofern diese in SAML -Nachricht vorhanden war).
- Wenn irgendwie noch keine Person erstellt wurde, wird automatisch NUR AD zugewiesen
- Andernfalls wird über die einer Person zugewiesenen Gruppen iteriert. - Der Eigenschaftsname wird in „servlet.auth.person.groups.attribute.code“ festgelegt, Standardwert: „groups“
- wenn auch nur eine Gruppe gleich ' servlet.auth.admin.ad .group' ist, Standardwert: "Efecte Administrator" - es gibt ROOT-Ebene
- wenn auch nur eine Gruppe gleich ' servlet.auth.user.ad .group' ist, Standardwert: "Efecte User" - es ergibt NORMAL-Level
- Andernfalls wird die Stufe NUR AD ausgegeben
8. Wenn in der Anfrage ein „esm_userLevel“ gesendet wurde, wird versucht, einem Benutzer Rollen zuzuweisen
- Es liest die SAML -Eigenschaft „Rollen“, iteriert darüber (durch Semikolon getrennt) und versucht, dem Benutzer jede Rolle hinzuzufügen
9. Am Ende verhält es sich anders, je nach zuvor eingestelltem Benutzerlevel:
- wenn dies entweder auf NORMAL oder ROOT eingestellt war UND der Benutzer tatsächlich während der Bearbeitung dieser Anfrage erstellt wurde UND KEIN 'esm_userLevel' in der
SAML -Nachricht, es wird versucht, diesem Benutzer die Standardrolle zuzuweisen, die mit der Systemeigenschaft „servlet.auth.user.roles“ festgelegt wurde, Standardwert: Supportperson
- Wenn dies auf NUR AD eingestellt war und „esm_userLevel“ NICHT mit SAML -Nachricht gesendet wurde, wird versucht, diesem Benutzer die Rolle „servlet.auth.user.readonly.roles“ hinzuzufügen.

Saml-Erweiterung für den Browser

SAML Erweiterung ( SAML Decoder) für den Browser ist hilfreich beim Debuggen der Anmeldung

Die SAML Decoder sind als Browser-Erweiterungen verfügbar (z. B. SAML Tracer für Firefox, SAML Chrome Panel für Google Chrome). Zum Beispiel: https://addons.mozilla.org/en-US/firefox/addon/saml-message-decoder-extension/

Protokolle

Wenn ESA Anmeldung funktioniert, die ESM-Anmeldung jedoch nicht

• Überprüfen Sie das ESM-Protokoll mit dem Namen itsm.log (ESM-Effekte→ Wartung→Protokolle→Protokolle herunterladen→itsm.log).

Wenn ESA Anmeldung nicht funktioniert

• Überprüfen Sie das Server-Protokoll der ESA (opt/ keycloak /standalone/log/server.log).
• Überprüfen Sie das Containerprotokoll der ESA /opt/ keycloak /logs/ keycloak .log

Weitere Informationen zu benutzerdefinierten JavaScript-Mappern: https://docs.efecte.com/internal-configuration-instructions/1812412-esa-custom-javascript-mappers