Benutzerverwaltung

Benutzerverwaltung über die Handeingabe

Ist man als Handeingabe-Administrator eingeloggt, erscheint in der Navigationsleiste oben ein Schloss-Symbol. Über dieses gelangt man zur Rechteverwaltung. Solche Rechte sind immer Kombinationen aus Benutzer, Messtour und Rolle. Die Rechteverwaltung ist in drei Hauptbereiche unterteilt: im oberen Bereich der Seite kann nach Benutzer, Messtour und Rolle gefiltert werden. Darunter gibt es Auswahlbereiche um neue Rechtekombinationen hinzuzufügen. Die aktuell vergebenen Rechte werden im unteren Teil der Seite pro Benutzer aufgelistet.

Filterfunktion

Gefiltert werden kann nach:

• Benutzernamen*
• Messtourennamen*
• Rolle

* erlaubt das Verwenden regulärer Ausdrücke

Gefiltert wird dann sowohl in den Auswahlfeldern für neue Rechte als auch in der Rechteübersicht.

Neue Rechte vergeben

Die Auswahlfelder erlauben jeweils Mehrfachauswahl mit Strg bzw. Shift und Pfeiltasten oder Maus.

Klick auf »Rechte hinzufügen« fügt diese Rechte zuerst nur lokal hinzu. Erst nach Klick auf »Rechte am Server aktualisieren« werden die Rechte wirklich gespeichert. In der Rechteübersicht kann man vorher überprüfen ob die neuen Rechte wie gewünscht aufscheinen.

Tipp: Die Auswahlfelder sind höhenverstellbar und können per Maus über das rechte untere Eck angepasst werden.

Rechteübersicht

Hier werden die aktuell vergebenen Rechte angezeigt. Außerdem werden die lokal neu hinzugefügten Rechte visuell hervorgehoben. Bei Klick auf das Kreuz neben einer Rollenbezeichnung wird die Kombination aus Messtour und Rolle für diesen Benutzer zuerst lokal gelöscht. Nach Klick auf »Rechte am Server aktualisieren« werden sie endgültig gelöscht.

Typische Anwendungen

Wie füge ich einen neuen Benutzer hinzu?

Im Auswahlfeld für Benutzer erscheinen zunächst nur die Benutzer die schon mindestens eine Rechtekombination besitzen. Um einen neuen Benutzer hinzuzufügen gibt man den Benutzernamen, so wie er in Keycloak aufscheint, in das Filterfeld für Benutzer ein. Es taucht ein + Button auf, über den der neue Benutzername zur Rechteverwaltung hinzugefügt wird. Danach können über die Auswahlfelder Rechte für diesen Benutzer hinzugefügt werden.

Wie kann Benutzer X komplett entfernt werden?

Klick auf das Icon neben dem Benutzernamen in der Übersicht löscht alle Rechtekombinationen dieses Benutzers. Sobald ein Benutzer keine Rechtekombinationen mehr hat, taucht er auch nicht mehr in der Rechteverwaltung auf.

Benutzer X soll genau die gleichen Rechte wie Benutzer Y bekommen.

Doppelklick auf Benutzernamen X im Auswahlfeld selektiert automatisch alle Messtouren, für die dieser Benutzer irgendwelche Rechte hat. Danach kann man auf Benutzer Y klicken, die Messtouren bleiben genau so ausgewählt. Nach Wahl der passenden Rollen kann man die Rechte für Y hinzufügen.

Wer hat Zugriff auf Messtour X?

Doppelklick auf Messtour X im Auswahlfeld selektiert automatisch alle Benutzer die für diese Messtour irgendwelche Rechte haben.

Benutzerverwaltung über WISKI

Verwenden der WISKI Rechteverwaltung

Voraussetzung für die Konfiguration der Handeingabemaske (HE) über die WISKI Rechteverwaltung ist, dass der Benutzer der Handeingabe einen WISKI-User mit den entsprechenden Rechten auf Zeitreihengruppen, bzw. auf die Messstellen der Messtouren hat:

• Zusammenfassung in Benutzergruppen (Benutzergruppe einrichten)
• Benutzergruppen werden in die Messtour bzw. WISKI-Gruppen eingetragen (Gruppen bzw. Messtouren einrichten)

Benutzergruppe einrichten

Benutzergruppen erlauben das Zusammenfassen von mehreren Benutzern zu einer Gruppe.

Unter \\Verwaltung\Benutzerverwaltung\Benutzergruppen

• Neue Benutzergruppe hinzufügen
• Mitglieder der Gruppe auswählen und speichern

Berechtigungen an Parameter- oder Zeitreihengruppe eintragen

Die Berechtigungen werden an der Gruppe eingetragen indem man sie zur Bearbeitung öffnet und im Reiter Allgemein -> Detail den ff. Eintrag anpasst:

• »Privat« ändern auf »Gemeinsam genutzt« → »...« → entsprechende Benutzer oder Benutzergruppe (Benutzergruppe einrichten) auswählen und mit OK bestätigen.

Benutzerverwaltung in Stammdaten für Meteo/OWF/UWQ-Eingabe

Oft werden die Messungen in der Meteo/OWF/UWQ-Eingabe von externen Beobachtern durchgeführt die keine WISKI-User haben. In solchen Fällen kann die Rechteverwaltung der Handeingabe trotzdem über WISKI erfolgen. Hier wird der Umstand genutzt, dass die Eingabemasken Meteo - Eingabe meteorologischer Daten in Tabellenform und Vereinfachte Eingabemaske für OWF/UWQ-Beobachter über die Stammdaten verwaltet werden können. Dazu muss für den Beobachter in WISKI eine Adresse erstellt und dann in ein dafür vorgesehenes zusätzliches Stammdatenattribut (Handeingabe Beobachter) eingetragen werden. Natürlich können auch mehrere Beobachter und Messtrupps angegeben werden.

Konfiguration für Beobachtereintrag an Stammdaten

Um die Beobachter an den Stationsstammdaten eintragen zu können, müssen zuvor einmalig folgende Schritte durchgeführt werden:

• Es wird ein Adresstyp »Handeingabe Beobachter« angelegt (Erstellen eines Adresstyps) mit Kurznamen HANDEINGABE_BEOBACHTER.

• Für die Beobachter werden Adressen angelegt (Erstellen von Adressen) und unter Adresstyp »Handeingabe Beobachter« ausgewählt.

• An der Stationsausprägung »Allgemein« wird ein zusätzliches Attribut »Handeingabe Beobachter« hinzugefügt:

• \\Systemansicht\Systemstammdaten\Verwaltung\Typen\Stationsausprägung\Allgemein → Zusätzliche Attribute → Rechtsklick → Hinzufügen

• Typ »Softlink«

• Art: Liste ohne Historie

• Kurzname »HANDEINGABE_BEOBACHTER« TBBM stellt ihnen einen Softlink zur Verfügung, den sie hier eintragen. Anschließend SQL testen + OK.

• TBBM stellt ihnen ein Layout für die Anzeige der Handeingabe Beobachter in den Stammdaten zur Verfügung. Importieren sie dies im Reiter Layout → Import

Konfiguration für Messtruppeintrag an Stammdaten

Zuerst erstellt man einen entsprechenden Messtrupp (Erstellen eines Adresstyps) und anschließend konfiguriert man – äquivalent zum vorhergehenden Absatz die Stationsstammdaten:

• An der Stationsausprägung »Allgemein« wird ein zusätzliches Attribut »Handeingabe Messtrupp« hinzugefügt:

• \\Systemansicht\Systemstammdaten\Verwaltung\Typen\Stationsausprägung\Allgemein → Zusätzliche Attribute → Rechtsklick → Hinzufügen

• Typ »Softlink«

• Art: Liste ohne Historie

• Kurzname »HANDEINGABE_MESSTRUPP« TBBM stellt ihnen einen Softlink zur Verfügung, den sie hier eintragen. Anschließend SQL testen + OK.

• TBBM stellt ihnen ein Layout für die Anzeige der Handeingabe Beobachter und Messtouren in den Stammdaten zur Verfügung. Importieren sie dies im Reiter Layout → Import

Beobachter und Messtrupps an Stammdaten eintragen

An der Station unter Reiter Allgemein → Handeingabe Beobachter können nun die Beobachter aus einer Dropdown-Liste der Beobachter ausgewählt werden. Werden auch Messtrupps verwendet, so heißt der Reiter unter Allgemein -> Handeingabe Beobachter und Messtrupps. Mehrfachangaben sind möglich.

Details

manual-input.observer-stations = true

Administration in Keycloak

Die Anmeldung an der Handeingabe für Externe erfolgt über eine Keycloak-Datenbank (https://www.keycloak.org/). Ab der HE-Client-Version 2022-09-29/22dec7a1 können die Benutzer ihr Keycloak Benutzerkonto über die Handeingabemaske öffnen und hier auch Änderungen vornehmen (Passwort, Mehrfachauthentifizierung), indem sie in der Konfiguration den Button »Benutzer verwalten« verwenden.

Die Administration der Keycloak-Benutzerkonten kann durch den oder die Keyuser erfolgen. Dafür sind folgende Schritte notwendig:

• Alle Keyuser – falls nicht bereits geschehen – registrieren sich an der HE
• Die Liste der Benutzernamen bzw. E-Mail-Adressen werden TBBM mitgeteilt und TBBM weist ihnen in Keycloak die Rolle als Keycloak-Keyuser zu.

Der Keycloak-Keyuser muss sich nun einmalig am Link https://www.handeingabe.at/auth/admin/\[NameDesRealms\]/console/ anmelden. Anschließend wird die »Security Adminkonsole« in den Applikationen der Keycloak-Kontoverwaltung angezeigt.

In der Security Adminkonsole kann der Keycloak-Keyuser sich nun die Benutzer anzeigen lassen und verschiedene Aktionen durchführen.

Die Standardaktionen sind

• Benutzer löschen (kann notwendig sein, wenn sich jemand bei der Registrierung vertippt)
• Benutzer aktivieren
• E-Mail des Benutzers verifizieren
• Verlangte Benutzeraktionen (müssen beim nächsten Login des Benutzers durchgeführt werden) wie
  • Passwort ändern
  • Zweifaktor-Authentifizierung einrichten
  • E-Mail verifizieren

Zusätzlich kann TBBM bei Bedarf noch das Anlegen von Benutzern und Gruppen aktivieren.

Es empfiehlt sich, für die Anmeldung des Keyusers in Keycloak eine Mehrfachauthentifizierung zu wählen.