Darstellung
Benutzerverwaltung
Rechteverwaltung in der Handeingabe
Ist man als Handeingabe-Administrator eingeloggt, erscheint in der Navigationsleiste oben ein Schloss-Symbol. Über dieses gelangt man zur Rechteverwaltung. Solche Rechte sind immer Kombinationen aus Benutzer, Messtour und Rolle. Die Rechteverwaltung ist in drei Hauptbereiche unterteilt: im oberen Bereich der Seite kann nach Benutzer, Messtour und Rolle gefiltert werden. Darunter gibt es Auswahlbereiche um neue Rechtekombinationen hinzuzufügen. Die aktuell vergebenen Rechte werden im unteren Teil der Seite pro Benutzer aufgelistet.
Filterfunktion
Gefiltert werden kann nach:
- Benutzernamen*
- Messtourennamen*
- Rolle
* erlaubt das Verwenden regulärer Ausdrücke
Gefiltert wird dann sowohl in den Auswahlfeldern für neue Rechte als auch in der Rechteübersicht.
Neue Rechte vergeben
Die Auswahlfelder erlauben jeweils Mehrfachauswahl mit Strg bzw. Shift und Pfeiltasten oder Maus.
Klick auf »Rechte hinzufügen« fügt diese Rechte zuerst nur lokal hinzu. Erst nach Klick auf »Rechte am Server aktualisieren« werden die Rechte wirklich gespeichert. In der Rechteübersicht kann man vorher überprüfen ob die neuen Rechte wie gewünscht aufscheinen.
Tipp: Die Auswahlfelder sind höhenverstellbar und können per Maus über das rechte untere Eck angepasst werden.
Rechteübersicht
Hier werden die aktuell vergebenen Rechte angezeigt. Außerdem werden die lokal neu hinzugefügten Rechte visuell hervorgehoben. Bei Klick auf das Kreuz neben einer Rollenbezeichnung wird die Kombination aus Messtour und Rolle für diesen Benutzer zuerst lokal gelöscht. Nach Klick auf »Rechte am Server aktualisieren« werden sie endgültig gelöscht.
Typische Anwendungen
Wie füge ich einen neuen Benutzer hinzu?
Im Auswahlfeld für Benutzer erscheinen zunächst nur die Benutzer die schon mindestens eine Rechtekombination besitzen. Um einen neuen Benutzer hinzuzufügen gibt man den Benutzernamen, so wie er in Keycloak aufscheint, in das Filterfeld für Benutzer ein. Es taucht ein + Button auf, über den der neue Benutzername zur Rechteverwaltung hinzugefügt wird. Danach können über die Auswahlfelder Rechte für diesen Benutzer hinzugefügt werden.
Wie kann Benutzer X komplett entfernt werden?
Klick auf das Icon neben dem Benutzernamen in der Übersicht löscht alle Rechtekombinationen dieses Benutzers. Sobald ein Benutzer keine Rechtekombinationen mehr hat, taucht er auch nicht mehr in der Rechteverwaltung auf.
Benutzer X soll genau die gleichen Rechte wie Benutzer Y bekommen.
Doppelklick auf Benutzernamen X im Auswahlfeld selektiert automatisch alle Messtouren, für die dieser Benutzer irgendwelche Rechte hat. Danach kann man auf Benutzer Y klicken, die Messtouren bleiben genau so ausgewählt. Nach Wahl der passenden Rollen kann man die Rechte für Y hinzufügen.
Wer hat Zugriff auf Messtour X?
Doppelklick auf Messtour X im Auswahlfeld selektiert automatisch alle Benutzer die für diese Messtour irgendwelche Rechte haben.
Administration in Keycloak
Die Anmeldung an der Handeingabe für Externe erfolgt über eine Keycloak-Datenbank (https://www.keycloak.org/). Ab der HE-Client-Version 2022-09-29/22dec7a1 können die Benutzer ihr Keycloak Benutzerkonto über die Handeingabemaske öffnen und hier auch Änderungen vornehmen (Passwort, Mehrfachauthentifizierung), indem sie in der Konfiguration den Button »Benutzer verwalten« verwenden.
Die Administration der Keycloak-Benutzerkonten kann durch den oder die Keyuser erfolgen. Dafür sind folgende Schritte notwendig:
- Alle Keyuser – falls nicht bereits geschehen – registrieren sich an der HE
- Die Liste der Benutzernamen bzw. E-Mail-Adressen werden TBBM mitgeteilt und TBBM weist ihnen in Keycloak die Rolle als Keycloak-Keyuser zu.
Der Keycloak-Keyuser muss sich nun einmalig am Link https://www.handeingabe.at/auth/admin/\[NameDesRealms\]/console/ anmelden. Anschließend wird die »Security Adminkonsole« in den Applikationen der Keycloak-Kontoverwaltung angezeigt.
In der Security Adminkonsole kann der Keycloak-Keyuser sich nun die Benutzer anzeigen lassen und verschiedene Aktionen durchführen.
Die Standardaktionen sind
- Benutzer löschen (kann notwendig sein, wenn sich jemand bei der Registrierung vertippt)
- Benutzer aktivieren
- E-Mail des Benutzers verifizieren
- Verlangte Benutzeraktionen (müssen beim nächsten Login des Benutzers durchgeführt werden) wie
- Passwort ändern
- Zweifaktor-Authentifizierung einrichten
- E-Mail verifizieren
Zusätzlich kann TBBM bei Bedarf noch das Anlegen von Benutzern und Gruppen aktivieren.
Es empfiehlt sich, für die Anmeldung des Keyusers in Keycloak eine Mehrfachauthentifizierung zu wählen.