TBBM Handeingabemaske

Darstellung

Administration in Keycloak

Die Anmeldung an der Handeingabe für Externe erfolgt über eine Keycloak-Datenbank (https://www.keycloak.org/). Ab der HE-Client-Version 2022-09-29/22dec7a1 können die Benutzer ihr Keycloak Benutzerkonto über die Handeingabemaske öffnen und hier auch Änderungen vornehmen (Passwort, Mehrfachauthentifizierung), indem sie in der Konfiguration den Button »Benutzer verwalten« verwenden.

Die Administration der Keycloak-Benutzerkonten kann durch den oder die Keyuser erfolgen. Dafür sind folgende Schritte notwendig:

  • Alle Keyuser – falls nicht bereits geschehen – registrieren sich an der HE
  • Die Liste der Benutzernamen bzw. E-Mail-Adressen werden TBBM mitgeteilt und TBBM weist ihnen in Keycloak die Rolle als Keycloak-Keyuser zu.

Der Keycloak-Keyuser muss sich nun einmalig am Link https://www.handeingabe.at/auth/admin/\[NameDesRealms\]/console/ anmelden. Anschließend wird die »Security Adminkonsole« in den Applikationen der Keycloak-Kontoverwaltung angezeigt.

Verwaltung der Benutzer in Keycloak

In der Security Adminkonsole kann der Keycloak-Keyuser sich nun die Benutzer anzeigen lassen und verschiedene Aktionen durchführen.

Die Standardaktionen sind

  • Benutzer löschen (kann notwendig sein, wenn sich jemand bei der Registrierung vertippt)
  • Benutzer aktivieren
  • E-Mail des Benutzers verifizieren
  • Verlangte Benutzeraktionen (müssen beim nächsten Login des Benutzers durchgeführt werden) wie
    • Passwort ändern
    • Zweifaktor-Authentifizierung einrichten
    • E-Mail verifizieren

Zusätzlich kann TBBM bei Bedarf noch das Anlegen von Benutzern und Gruppen aktivieren.

Es empfiehlt sich, für die Anmeldung des Keyusers in Keycloak eine Mehrfachauthentifizierung zu wählen.

Registrierung der Benutzer in Keycloak durch Keyuser

Wenn die Selbstregistrierung der Benutzer nicht gewünscht ist, besteht die Möglichkeit, dass der Keyuser die Registrierung im Keycloak vornimmt. Anschließend erhalten die Benutzer eine Einladungsemail. Dazu sind folgende Schritte notwendig:

  • Anmeldung in Keycloak als Keyuser

  • Deaktivieren des Registrierungslinks auf der Anmeldeseite:

    • Realm-Einstellungen -> Login -> Benutzerregistrierung Aus

      Deaktivieren Registrierungslink

  • Hinzufügen des Benutzers:

    • Benutzer -> Benutzer hinzufügen -> Email Adresse eintragen -> Erstellen

    • Der neue Benutzer wird nun angezeigt -> Passwörter -> Zugang zurücksetzen

      Neuer User

      • Reset action: Update Passwort eintragen
      • Klick auf E-Mail senden Zugang zurücksetzen und Einladungsemail verschicken

Der Benutzer erhält nun eine Mail mit der Aufforderung ein Passwort zu setzen. Nachdem dies erfolgt ist, kann sich der Benutzer mit Email und Passwort an der Handeingabe einloggen und mit der Dateneingabe beginnen.