TBBM Handeingabemaske

Darstellung

Benutzerverwaltung in Keycloak

Die Anmeldung an der Handeingabe für Externe erfolgt über Keycloak.

Benutzer: Selbstverwaltung

Die Benutzer können ihr Keycloak-Benutzerkonto über die Handeingabemaske öffnen und hier auch Änderungen vornehmen (Passwort, Zwei-Faktor-Authentifizierung), indem sie in der Konfiguration den Button »Benutzer verwalten« verwenden.

Keyuser: Verwaltung der Benutzer

Als Keyuser ist in der Konfiguration neben dem Button zur Verwaltung des eigenen Benutzers (»Meinen Benutzer verwalten«) ein Button zum Einstieg in die »Security Adminkonsole« von Keycloak sichtbar (Button »Alle Benutzer verwalten«)

Benutzer verwalten über Konfiguration

In der »Security Adminkonsole« kann der Keycloak-Keyuser sich nun die Benutzer anzeigen lassen und verschiedene Aktionen durchführen, wie zum Beispiel:

  • Benutzer löschen (kann notwendig sein, wenn sich jemand bei der Registrierung vertippt)
  • Benutzer aktivieren
  • E-Mail des Benutzers verifizieren
  • Verlangte Benutzeraktionen (müssen beim nächsten Login des Benutzers durchgeführt werden) wie Passwort ändern, Zwei-Faktor-Authentifizierung einrichten, E-Mail verifizieren

Es empfiehlt sich, für die Anmeldung des Keyusers in Keycloak eine Zwei-Faktor-Authentifizierung zu wählen.

Keyuser: Registrierung bzw. Einladung der Benutzer

Wenn die Selbstregistrierung der Benutzer nicht gewünscht ist, besteht die Möglichkeit, dass der Keyuser die Registrierung im Keycloak vornimmt. Anschließend erhalten die Benutzer eine Einladungs-E-Mail. Dazu sind folgende Schritte notwendig:

  1. Anmeldung in Keycloak als Keyuser
  2. Benutzer → Benutzer hinzufügen → E-Mail-Adresse eintragen → Erstellen
  3. Der neue Benutzer wird nun angezeigt → Passwörter → Zugang zurücksetzen Neuer User
  4. Reset action: Update Passwort (und ggf. Configure OTP) eintragen
  5. Klick auf E-Mail senden Zugang zurücksetzen und Einladungs-E-Mail verschicken

Der Benutzer erhält nun eine Mail mit der Aufforderung ein Passwort zu setzen. Nachdem dies erfolgt ist, kann sich der Benutzer mit E-Mail und Passwort an der Handeingabe einloggen und mit der Dateneingabe beginnen.

Admin: Benutzer in Keycloak als Keyuser ertüchtigen

Damit ein Keycloak-Benutzer andere Keycloak-Benutzer verwalten kann, benötigt dieser die Rollen realm-management: view-users und query-users und manage-users.

![Keyuser](../../media/keycloak_realm_management.png)

Admin: Benutzerregistrierung Aus

Deaktivieren des Registrierungslinks auf der Anmeldeseite (Benutzer können sich nicht eigenständig registrieren, sondern können nur durch den Keyuser hinzugefügt werden): Realm-Einstellungen → Login → Benutzerregistrierung Aus

![Deaktivieren Registrierungslink](../../media/keycloak_disable_registration_page.png)

Admin: Zwei-Faktor-Authentifizierung erzwingen

![Zwei-Faktor-Authentifizierung erzwingen](../../media/keycloak_2fa_required.png)