Konfigurieren der allgemeinen Sicherheitsrichtlinie Ihres Portals

Öffentlich oder privat?

Zu den wichtigsten Entscheidungen gehört die Frage, ob Ihr Portal öffentlich oder privat sein soll. Sie entscheiden, ob anonyme Benutzer Zugang zu dem Portal haben sollen oder ob Sie von den Besuchern zunächst eine Anmeldung verlangen, bevor Sie überhaupt Zugang bekommen.

Wichtig

Wenn Sie sich für ein öffentliches Portal entscheiden, bedeutet das nicht, dass damit jedermann Zugang zu Ihren Datensätzen hat! Sie können jederzeit einschränken, was die Öffentlichkeit zu sehen bekommt, indem Sie sensible Standard-Sicherheitsparameter für Ihre Datensätze sowie explizite Parameter für jeden einzelnen Datensatz verwenden.

Weitere Informationen zur Datensatzsicherheit finden Sie im entsprechenden Abschnitt

Diese Einstellung finden Sie im Unterabschnitt Sicherheit des Abschnitts Konfiguration in Ihrem Portal-Back-Office.

Beachten Sie bitte, dass, wenn Sie sich dafür entscheiden, anonymen Benutzern den Zugang zu Ihrem Portal nicht zu erlauben, diese zu der Anmeldungsseite weitergeleitet werden, es sei denn, Sie bestimmen, dass sie zu einer spezifischen Seite weitergeleitet werden sollen, die Sie selbst geschrieben haben.

../../_images/configuration_anonymous-access.png

Anmeldungsrichtlinie

Unabhängig davon, ob Sie sich für ein öffentliches oder privates Portal entscheiden, können Sie danach immer noch bestimmen, wer ein registriertes Mitglied Ihres Portals werden kann. Gehen Sie hierfür zum Unterabschnitt Konfiguration/Anmeldung im Back-Office Ihres Portals.

../../_images/configuration_enable-signup.png

Richtlinie Geschlossene Anmeldung

Wenn Sie sich dafür entscheiden, den Besuchern keine freie Anmeldung zu ermöglichen, können Sie Ihrem Portal nur durch direkte E-Mail-Einladung neue Mitglieder hinzufügen.

Richtlinie Offene Anmeldung

Falls Sie jedoch Besuchern erlauben möchten, sich zu registrieren, müssen Sie entscheiden, ob Sie jede Zugangsanfrage zu Ihrem Portal manuell genehmigen möchten oder nicht. Beachten Sie bitte, dass unabhängig von Ihrer Entscheidung jedes Portalmitglied, das Benutzer verwalten darf, bei jeder neuen Zugangsanfrage eine Benachrichtigung erhält.

../../_images/configuration_signup-approval.png

Denken Sie daran, die Schaltfläche Anmelden Ihrem Kopfzeilen-Menü hinzuzufügen. Ansonsten sehen die Benutzer so lange kein Anmeldefomular, bis sie versuchen, Zugang zu einem zugriffsbeschränkten Bereich zu bekommen.

../../_images/configuration_signup-link.png

Der Anmeldeprozess ist normalerweise sehr einfach: eine E-Mail-Adresse, ein Passwort und das war es schon. Sie können die Anmeldung jedoch individuell anpassen, indem Sie einen benutzerspezifischen Text als Disclaimer einrichten, der die Benutzer dazu auffordert, Ihre Allgemeinen Geschäftsbedingungen zu akzeptieren bzw. sogar verlangt, dass sie eine Nachricht für den Portal-Administrator hinterlassen (sinnvoll, wenn Sie die Zugangsanfrage von Hand genehmigen möchten).

../../_images/configuration_signup-form.png

Zeitüberschreitung der Benutzer-Sitzung

Standardmäßig werden alle authentifizierten Benutzer nach zweiwöchiger Inaktivität automatisch abgemeldet. Diese Dauer kann im Backoffice unter Konfiguration/Sicherheit geändert werden.

Bei jeder Benutzeranforderung an das Portal wird das Zeitlimit zurückgesetzt. Deshalb kann die Sitzungsdauer über das eingestellte Zeitlimit hinausgehen.

Single Sign-on

Falls Ihr Unternehmen bereits ein eigenes Identitätsmanagementsystem besitzt, können Sie eine Brücke zwischen Ihrem Identity Provider und Ihrem Opendatasoft-Portal einrichten. Dies ermöglicht jedem Ihrer Mitglieder allgemeinen Zugang zu Ihrem Portal.

Opendatasoft unterstützt die folgenden Identity Provider:

Über lokale und verknüpfte Benutzer

Wird ein SAML oder ein OpenID Connect Identity Provider auf einer Domain konfiguriert, kann ein Benutzer in 3 Kategorien eingeteilt werden.

  • Ein standardmäßiger Opendatasoft-Nutzer, der per E-Mail eingeladen wurde oder sich auf einer Domain registriert hat: Dieser Benutzer meldet sich über die Standard-Anmeldeoberfläche mit seinem üblichen Opendatasoft-Benutzernamen und Passwort an. Das Konto ist im gesamten Opendatasoft-Netzwerk verfügbar. Opendatasoft-Nutzer sind auf der gesamten Plattform mit dem Piktogramm icon-world gekennzeichnet.

  • Ein lokaler Nutzer, der sich über den Identity Provider des Unternehmens authentifiziert: dieser Benutzer meldet sich ausschließlich über den Identity Provider des Unternehmens an. Da dies auf eine bestimmte Domain beschränkt ist, kann die Nutzung der Funktionen des Opendatasoft-Netzwerks eingeschränkt sein. Lokale Nutzer sind auf der gesamten Plattform mit dem Piktogramm icon-id-card gekennzeichnet.

  • Ein verknüpfter Benutzer, der ein standardmäßiges Opendatasoft-Konto hat, aber auf dieser spezifischen Domain mit einer Identität vom Identity Provider des Unternehmens verknüpft ist. Dieser Benutzer ist ein standardmäßiger Opendatasoft-Nutzer, der sich sowohl über die Opendatasoft-Anmeldeoberfläche als auch über den Identity Provider des Unternehmens authentifizieren kann. Da es sich bei den verknüpften Benutzern um Opendatasoft-Benutzer mit "SAML"- oder "OpenID Connect"-Authentifizierungsfähigkeiten handelt, sind sie auf der gesamten Plattform mit den Piktogrammen icon-world und icon-id-card gekennzeichnet.

Lokaler Nutzer

Jeder Benutzer, der ein Benutzerkonto bei dem von einer Domain vertrauten Identity Provider und kein Opendatasoft-Benutzerkonto hat, kann sich über den Identity Provider verbinden. Bei erstmaliger Anmeldung wird für den Benutzer ein lokaler Nutzer basierend auf den Identity-Provider-Einstellungen der Domain erstellt.

Diese lokalen Nutzer haben die Berechtigung, die öffentlichen Datensätze der Domain standardmäßig zu durchsuchen. Diesen Benutzern können zusätzliche Berechtigungen auf Domainebene, für einzelne Datensätze oder über Gruppen erteilt werden (mit Ausnahme der Gruppen "SAML-Benutzer" oder "OpenID Connect-Benutzer", zu der sie automatisch gehören).

Das Erstellen neuer lokaler Benutzer über eine Identity-Provider-Authentifizierung (SAML oder OpenID Connect) kann über das Kontrollkästchen "Lokale Benutzerbereitstellung deaktivieren" deaktiviert werden. Das Deaktivieren der lokalen Benutzerbereitstellung verhindert nicht, dass sich bestehende lokale Benutzer anmelden.

Verknüpfter Benutzer

Benutzer mit einem Opendatasoft-Benutzerkonto können dieses Konto mit einem anderen Konto beim Identity Provider verknüpfen. Dieses Verfahren wird Kontoverknüpfung genannt.

Sobald diese Verknüpfung hergestellt wurde, werden Benutzer, die sich über ihren Identity Provider anmelden, bei ihrem Opendatasoft-Benutzerkonto angemeldet. Sie können sich jedoch weiterhin mit ihrem Opendatasoft-Passwort einloggen.

Es gibt zwei Möglichkeiten, um ein Opendatasoft-Benutzerkonto zu verknüpfen:

  • Eine Möglichkeit besteht darin, in der Registerkarte Identität der Benutzerkontoeinstellungen auf "Verknüpfen Sie Ihr Konto mit einem SAML-Konto auf dieser Domain" oder "Verknüpfen Sie Ihr Konto mit einem OpenID Connect-Konto auf dieser Domain" zu klicken:

"Link your account to a SAML account on this domain" link in the identity tab of the user account settings
  • Die zweite Methode ist das Erstellen der Verknüpfung während des Kontoerstellungsprozesses durch Klicken auf den Link zum Abschließen der Registrierung über SAML. Dies beschleunigt den Kontoerstellungsprozess und die Kontoverknüpfung.

Account registration in SAML enabled domains

Hinweis

Die Verknüpfung während der Anmeldung wird nur mit SAML-Identity-Providern unterstützt.

Auswahl der standardmäßigen Anmeldeseite

Die Opendatasoft-Plattform ermöglicht die Auswahl der Anmeldeseite, die den Benutzern angezeigt wird, wenn sie auf einen Anmelde-Link klicken oder versuchen, auf eine eingeschränkte Seite zuzugreifen.

Wird die Identity-Provider-Anmeldeseite als Standard ausgewählt, wird der Authentifizierungsprozess (SAML oder OpenID Connect) automatisch eingeleitet, wenn ein anonymer Nutzer auf den Anmelde-Link klickt oder versucht, auf eine eingeschränkte Seite wie das Backoffice zuzugreifen. Wird die Identity-Provider-Anmeldeseite ausgewählt, können Benutzer, die sich mit ihren Opendatasoft-Anmeldeinformationen bei der Plattform anmelden möchten, dies tun, indem sie die Login-Seite der Domain unter https://<platform-url>/login/ aufrufen.

Default login page selection interface in the security configuration page

Benutzerattribute zum Filtern von Daten vewenden

Benutzern, die sich über eine föderierte Identität (SAML 2.0 oder OpenID Connect) angemeldet haben, wurden möglicherweise bestimmte Profilattribute zugewiesen. Diese Attribute können verwendet werden, um den Inhalt der Datensätze zu filtern, auf die diese Benutzer zugreifen können.

Dazu können Sie die Sicherhheitskonfiguration eines bestimmten Datensatzes bearbeiten und die Funktion #attr in der Filterabfrage der dem Datensatz zugeordneten SAML- oder OpenID Connect-Sicherheitsgruppe verwenden. Auf diese Weise können Benutzer, die diesen Gruppen angehören, nur Datensatzeinträge sehen, die der Filterabfrage entsprechen (wie unten erläutert).

Über die Funktion #attr können Sie Datensatzeinträge so filtern, dass nur Einträge zurückgegeben werden, die einem Wert entsprechen, der in den vom Identity Provider gesendeten Benutzerattributen festgelegt wurde. Bei den folgenden Beispielen nehmen wir an, dass wir die 3 Benutzer mit den entsprechenden Benutzernamen und SAML-Attributen user-country (Benutzerland) und user-language (Benutzersprache) laut folgender Tabelle haben.

Benutzer

user-country user-language

Benutzer1

Frankreich

Französisch

Benutzer2

Kanada

Französisch

Benutzer3

Vereinigte Staaten

Englisch

Und einen Datensatz mit Einträgen laut folgender Tabelle.

country language message

Weltweit

Englisch

Hallo allerseits

Frankreich

Französisch

Bonjour à tous les Français

Kanada

Französisch

Bonjour à tous les Canadiens

Kanada

Englisch

Hello to all Canadians

Vereinigte Staaten

Englisch

Hello to all Americans

Mit der Anfrage #attr(country, user-country) können wir Beschränkungen für diese Benutzer festlegen, damit sie nur für ihr jeweiliges Land geltende Nachrichten sehen.

Benutzer1 sieht

country language message

Frankreich

Französisch

Bonjour à tous les Français

Benutzer2 sieht

country language message

Kanada

Französisch

Bonjour à tous les Canadiens

Kanada

Englisch

Hello to all Canadians

Benutzer3 sieht

country language message

Vereinigte Staaten

Englisch

Hello to all Americans

Mit der Anfrage #attr(language, user-language) können wir auch Beschränkungen für diese Benutzer festlegen, damit sie nur Nachrichten in ihrer jeweiligen Sprache sehen.

Benutzer1 sieht

country language message

Frankreich

Französisch

Bonjour à tous les Français

Kanada

Französisch

Bonjour à tous les Canadiens

Benutzer2 sieht

country language message

Frankreich

Französisch

Bonjour à tous les Français

Kanada

Französisch

Bonjour à tous les Canadiens

Benutzer3 sieht

country language message

Weltweit

Englisch

Hallo allerseits

Vereinigte Staaten

Englisch

Hello to all Americans

Da dies eine Funktion der Anfragensprache ist, kann sie auch mit den üblichen Operatoren gruppiert werden. Zum Beispiel können wir mit der Anfrage #attr(language, user-language) AND #attr(country, user-country) Beschränkungen für Benutzer festlegen, damit sie nur Nachrichten sehen, die ihrem Land und ihrer Sprache entsprechen.

Benutzer1 sieht

country language message

Frankreich

Französisch

Bonjour à tous les Français

Benutzer2 sieht

country language message

Kanada

Französisch

Bonjour à tous les Canadiens

Benutzer3 sieht

country language message

Vereinigte Staaten

Englisch

Hello to all Americans