1. Konzept

Die FirstSpirit Cloud nutzt Keycloak für die Verwaltung von Usern.

Keycloak ist eine Open-Source-Lösung des Unternehmens Red Hat zur Verwaltung von digitalen Identitäten und Berechtigungen.

1.1. Realms

Die Verwaltung erfolgt in sogenannten Realms. Dabei handelt es sich um Konfigurationseinheiten, in denen

  • User

  • Gruppen

  • Zuordnung von Usern zu Gruppen

  • Rechte

definiert werden.

Jeder Kunde der FirstSpirit Cloud hat einen eigenen Realm, auf den nur er Zugriff hat und den nur er sehen kann.

Partnerunternehmen, die e-Spirit-Kunden bei der Umsetzung von Projekten unterstützen, haben einen eigenen Realm. Dieser ist dem Realm des (bzw. der) jeweiligen Kunden zugeordnet, um Zugriff auf die Ressourcen des Kunden zu ermöglichen. Welche Berechtigungen das Partnerunternehmen jeweils erhält, definiert der Kunde.

Hinweis: Zum Erstellen von Usern für Partnerunternehmen siehe Kapitel Zusammenarbeit mit Partnerunternehmen

1.2. User

Zu jedem User müssen folgende Informationen vorliegen:

  • Vorname

  • Nachname

  • E-Mail-Adresse
    (Hinweis: Es muss sich um eine geschäftliche E-Mail-Adresse handeln. Gmail, Yahoo, GMX usw. sind nicht erlaubt.)

  • Gruppenzugehörigkeit

1.3. Gruppen

Berechtigungen werden den einzelnen Usern über Gruppen zugewiesen.
Dabei können unter anderem folgende Berechtigungen zugewiesen werden:

  • Zugriff auf FirstSpirit (z. B. Editor, Chief-Editor, Project-Admin usw.)

  • Zugriff auf das Git-Repository (GIT User)

  • Zugriff auf Bamboo

  • Zugriff auf das Artifactory

Siehe dazu auch Getting Started-Dokument.

Damit User Berechtigungen erhalten, müssen sie den gewünschten Gruppen zugeordnet sein.

2. User Management

Verwalten Sie User, die Zugang zur FirstSpirit Cloud erhalten sollen, einfach über die Keycloak-Schnittstelle der FirstSpirit Cloud selbst.

Hinweis: Zum Erstellen von Usern für Partnerunternehmen siehe Kapitel Zusammenarbeit mit Partnerunternehmen.

2.1. Rolle User-Manager

Für das User Management benötigen Sie einen User mit der Rolle
User-Manager

Mit diesem

  • erstellen Sie neue User

  • erteilen Sie Usern Berechtigungen

  • entziehen bzw. ändern Sie Berechtigungen

  • löschen Sie User

Um diese Rolle zu erhalten, wenden Sie sich bitte an den e-Spirit TechnicalSupport, per

Teilen Sie dem TechnicalSupport bitte

  • Vorname

  • Nachname

  • E-Mail-Adresse
    (Hinweis: Es muss sich um eine geschäftliche E-Mail-Adresse handeln. Gmail, Yahoo, GMX usw. sind nicht erlaubt.)

des Users mit, der die Rolle User-Manager erhalten soll.

Mit dem User User-Manager, den der TechnicalSupport initial anlegt, können Sie im Anschluss selbstständig weitere User zu User-Managern machen.

2.2. Log in (Keycloak)

Loggen Sie sich mit dem User, der die Rolle User-Manager innehat, in Ihren Realm auf dem e-Spirit Keycloak-Server ein.
In unserem Beispiel lautet der Realmname Testcustomer.

https://sso.e-spirit.hosting/auth/admin/<Kundenname>/console/

Sie erhalten folgende Login-Maske:

Keycloak-Login
Abbildung 1. Keycloak-Login

2.3. User erstellen

Hinweis: Zum Erstellen von Usern für Partnerunternehmen siehe Kapitel Zusammenarbeit mit Partnerunternehmen.

Klicken Sie den Bereich Users an:

Bereich _Users_
Abbildung 2. Bereich Users

Um zu prüfen, ob und welche User bereits existieren, verwenden Sie View all users.

Klicken Sie Add user an:

User anlegen
Abbildung 3. User anlegen

Geben Sie in diesem Dialog die erforderlichen Daten für den User ein:

Feldname Beschreibung

Username

Tragen Sie hier die E-Mail-Adresse des Users ein.
(Hinweis: Es muss sich um eine geschäftliche E-Mail-Adresse handeln. Gmail, Yahoo, GMX usw. sind nicht erlaubt.)

Email

Tragen Sie hier ebenfalls die E-Mail-Adresse des Users ein.

First Name

Tragen Sie hier den Vornamen des Users ein.

Last Name

Tragen Sie hier den Nachnamen des Users ein.

Groups

Wählen Sie die gewünschte Gruppe aus, um dem User die gewünschten Berechtigungen zu erteilen.
Suchen Sie nach verfügbaren Gruppen, indem Sie beispielsweise einen Buchstaben Ihres Kundennamens eingeben.

Zu weiteren Informationen, welche Gruppen verfügbar sind, siehe auch

Klicken Sie dann Save.

Wird Ihnen kein Button Save angezeigt, haben Sie möglicherweise keine ausreichenden Rechte. Wenden Sie sich dann bitte an den e-Spirit TechnicalSupport.

Legen Sie weitere User auf dieselbe Weise an.
Wechseln Sie dazu wieder in den Bereich Users (siehe User erstellen).

2.4. Gruppen

2.4.1. Prüfen

Welche Gruppen verfügbar sind, können Sie in Keycloak im Bereich Groups einsehen:

Bereich _Groups_
Abbildung 4. Bereich Groups

Die Gruppennamen setzen sich in der Regel aus dem Kundennamen und einem Suffix zusammen, das auf die jeweilige Berechtigung verweist.

User, die Mitglied der Gruppe
…​-git-user
sind, haben Zugriff auf das Git.

Die anderen Gruppen beziehen sich auf Berechtigungen hinsichtlich der Arbeit mit FirstSpirit.
Die Zuordnung der Rechte zu diesen Gruppen nehmen Sie in FirstSpirit vor.

Um zu prüfen, welche Gruppen welche User enthalten, klicken Sie doppelt auf den gewünschten Gruppennamen.
Wechseln Sie dort zum Register Members:

Mitglieder einer Gruppe
Abbildung 5. Mitglieder der Gruppe …​-projectadmins-dev

2.4.2. Zuweisen oder ändern

Um Usern neue Gruppen zuzuweisen oder bestehende zu ändern, wechseln Sie wieder in den Bereich Users:

Bereich _Users_
Abbildung 6. Bereich Users

Blenden Sie die bestehenden User mit View all users ein:

Liste der User
Abbildung 7. Liste der User

oder suchen Sie gezielt nach einem User mithilfe der Box Search.

Um Daten eines Users oder Berechtigungen zu bearbeiten, klicken Sie die ID des betreffenden Users an oder auf Edit:

Detailansicht
Abbildung 8. Detailansicht

Wechseln Sie dort zum Register Groups :

Gruppenzugehörigkeit
Abbildung 9. Gruppenzugehörigkeiten des Users 'Administrator'
Box Beschreibung

Group Membership

zeigt alle Gruppen, in denen der User Mitglied ist und die zugehörigen Rechte besitzt,
im Beispiel die Gruppe …​-projectadmins-dev.

Available Groups

zeigt alle verfügbaren Gruppen

  • Um den User einer Gruppe zuzuordnen, wählen Sie die gewünschte Gruppe und klicken Sie Join.

  • Um dem User Rechte zu entziehen, wählen Sie die gewünschte Gruppe und klicken Sie Leave.

2.5. Rolle User-Manager zuweisen

Sie können selbst Usern die Rolle User-Manager zuweisen.
Damit ermöglichen Sie, dass außer Ihnen auch andere Kollegen neue User anlegen und Berechtigungen zuweisen können.

Wechseln Sie dazu in den Bereich Users:

Bereich _Users_
Abbildung 10. Bereich Users

Blenden Sie die bestehenden User mit View all users ein:

Liste der User
Abbildung 11. Liste der User

oder suchen Sie gezielt nach einem User mithilfe der Box Search.

Klicken Sie auf ID des Users, der die Rolle User-Manager erhalten soll (oder Edit).

Wechseln Sie zum Register Role Mappings:

Role Mappings
Abbildung 12. Register 'Role Mappings'
Box Beschreibung

Available Roles

zeigt alle verfügbaren Rollen

Assigned Roles

zeigt alle Rollen, die der User innehat

Effective Roles

zeigt alle verfügbaren Rollen, inklusive ererbter Rollen

  • Um dem User die Rolle User-Manager zuzuweisen, wählen Sie in der Box Available Roles die Rolle User-Manager und klicken Sie Add selected>.
    Der User kann dann seinerseits neue User erstellen und Gruppen bzw. Berechtigungen zuweisen.

  • Um dem User die Rolle User-Manager zu entziehen, wählen Sie in der Box Assigned Roles die Rolle User-Manager und klicken Sie <<Remove selected.

2.6. User löschen

Sollen User keinen Zugriff mehr auf die Cloud haben, können Sie sie löschen.

Wechseln Sie dazu in den Bereich Users:

Bereich _Users_
Abbildung 13. Bereich Users

Blenden Sie die bestehenden User mit View all users ein:

Liste der User
Abbildung 14. Liste der User

oder suchen Sie gezielt nach einem User mithilfe der Box Search.

Klicken Sie in der Liste der User auf den Delete, um den User zu löschen.

Alternativ können Sie den User in der Detailansicht über das Icon löschen:

Lösch-Icon
Abbildung 15. Löschen per Icon

Der User wird nach Bestätigung der Sicherheitsabfrage endgültig gelöscht:

Sicherheitsabfrage
Abbildung 16. Sicherheitsabfrage beim Löschen eines Users

2.7. Zusammenarbeit mit Partnerunternehmen

Um das User Management mit Partnerunternehmen zu vereinfachen, verwenden wir einen Mechanismus, der als "Föderation" (Federation) bezeichnet wird.
Dieser Mechanismus ermöglicht die Realisierung von Authentifizierung und Autorisierung über Unternehmensgrenzen hinweg.

Wichtig: Jeder User darf nur einmal im System vorhanden sein.
In der Regel verwalten Partnerunternehmen ihre User (z. B. Entwickler) in einem eigenen Realm.
Mithilfe einer Federation können User dann in mehreren Realms verwendet werden, z. B. User des Partnerunternehmens in Ihrem Kunden-Realm.

Ein Vorteil der Federation: Arbeitet der User z. B. nicht mehr für den Partner, löscht der Partner den User und entzieht ihm damit den Zugang zu den Systemen aller Kunden, für die der User tätig war, gleichzeitig.
Der Kunde selbst braucht in diesem Fall nicht extra informiert zu werden.

Um Usern eines Partnerunternehmens Zugriff auf Ihre Kundensysteme zu ermöglichen, muss eine Federation durch e-Spirit erstellt werden. Wenden Sie sich dazu bitte an den e-Spirit TechnicalSupport, per

und teilen Sie dem TechnicalSupport bitte mit, welche/s Partnerunternehmen Zugriff auf Ihre Systeme erhalten soll/en.

Ist die Federation erstellt, müssen Sie die User des Partnerunternehmens noch in Ihrem Realm und in FirstSpirit-Projekten berechtigen.
Dies erfolgt über die Zuweisung von Gruppen.
Erst dann erhält das Partnerunternehmen Zugriff.
Ohne Gruppenzuweisung können sich föderierte Partnerunternehmen bereits per SSO anmelden, haben aber keinen Zugriff auf FirstSpirit.

3. Glossar

AD

Microsoft Active Directory, Verzeichnisdienst unter Microsoft Windows, über das Benutzerberechtigungen abgebildet werden können

Azure

Microsoft Azure; Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten

Federation

Mechanismus, der die Realisierung von Authentifizierung und Autorisierung über Unternehmensgrenzen hinweg ermöglicht.

IdP

Identity Provider, Software zum Verwalten von digitalen Identitäten, z. B. Microsoft Azure

Keycloak

Open-Source-Software von Red Hat zur Verwaltung von digitalen Identitäten und Berechtigungen

LDAP

Lightweight Directory Access Protocol; Protokoll zur Bereitstellung eines zentralen Ortes für die Authentifizierung

OIDC

OpenID Connect; Protokoll

SAML

Security Assertion Markup Language, Protokoll, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können

SSO

Single Sign-on, "Einmalanmeldung", Zugangsverfahren zu mehreren Anwendungen, bei dem sich der Nutzer nur einmal anmelden muss

4. Rechtliche Hinweise

Das vorliegende Dokument FirstSpirit Cloud User Management ist ein Produkt der e-Spirit AG, Dortmund, Germany.
Für die Verwendung aller e-Spirit-Produkte gilt nur die mit der e-Spirit AG vereinbarte Lizenz.

5. Hilfe

Der Technical Support der e-Spirit AG bietet qualifizierte technische Unterstützung zu allen Themen, die FirstSpirit™ als Produkt betreffen. Weitere Hilfe zu vielen relevanten Themen erhalten und finden Sie in auch in unserer Community.