Verwalten und Zuordnen von Rollen und Eigenschaften

Spectrum SSO ordnet Benutzerkonten bequem den vom Administrator zugewiesenen Anmeldeinformationen zu. Benutzer mit der Rolle STS_SSO erhalten die richtigen Freigaben, wenn sie sich bei Spectrum Technology Platform anmelden. Um die Rollenzuordnung zu entfernen, geben Sie im Feld value im Abschnitt removeMapping der JMX-Konsole die LDAP-Attribute ein, deren Zuordnung aufgehoben werden soll.

Stellen Sie sicher, dass Ihre Benutzer für die Spectrum™ Technology Platform mit den entsprechenden Anmeldeinformationen und Berechtigungen definiert sind. Wenn ein Benutzer die Eigenschaftseinstellung spectrum.security.account.createNonExisting=False aufweist, wird er nicht erkannt und nicht für SSO authentifiziert. Benutzernamen müssen manuell vom Systemadministrator erstellt werden. Ein Benutzer, der nicht im externen Authentifizierungsrepository vorhanden ist, kann sich nicht bei Spectrum anmelden, selbst wenn er manuell in der Spectrum Management Console erstellt wurde. Sobald der Benutzer im externen Authentifizierungsrepository erstellt wurde, kann er sich bei Spectrum anmelden.

Admin-Benutzereinrichtung

Benutzer können Administratorrollen zugeordnet werden. Zugeordnete Benutzer auf Administratorebene verfügen über dieselben Berechtigungen wie Benutzer auf Spectrum-Administratorebene, sie werden jedoch als Benutzer ohne Administratorrechte mit grundlegenden Benutzerrollenberechtigungen angezeigt. Sie können die Benutzerberechtigungen auf der Seite „Sicherheit“ in der Management Console bearbeiten, sodass die echten Berechtigungen angezeigt werden.

Bei der Spectrum SSO-Implementierung gilt die Standard-Admin-Freigabe/Benutzerrolle nicht automatisch. Zum Anwenden und Anzeigen von Benutzerrollenberechtigungen müssen Sie Eigenschaften für jeden Benutzer festlegen, der der Benutzergruppe Domäne zugeordnet ist.

  1. Erstellen Sie systemweite Zugriffsprofile, einschließlich des Administratorprofils („Admin“).
  2. Legen Sie eine statische Eigenschaft in Spectrum fest, die Benutzer auf Administratorebene auf Basis der systemweiten Admin-Rollendefinition authentifiziert: spectrum.security.authentication.spectrumserver.admin.role=admin

    Diese Eigenschaft legt Berechtigungen für die Benutzerrolle „admin“ unter SSO fest.

  3. Melden Sie sich bei der JMX-Konsole an und suchen Sie nach dieser Eigenschaft: com.pb.spectrum.platform.common.security.role:mappings=RoleMappings

    Diese Eigenschaft verwaltet die Attributwerte der Zuordnungsrolle für Spectrum-Rollen.

  4. Definieren Sie die Eigenschaftenparameter der Benutzergruppe „admin“:
    1. Geben Sie im Bereich addMapping in das Feld value den SSO-Rollenwert ein, den Sie einer Spectrum™ Technology Platform-Rolle zuordnen möchten.
    2. Geben Sie in das Feld roleName die Spectrum™ Technology Platform-Rolle ein, die Sie dem LDAP-Attributwert zuordnen möchten.
    3. Klicken Sie auf Aufrufen. Benutzern mit der SSO-Rolle wird jetzt die Rolle erteilt, die Sie nach der Anmeldung bei der Spectrum™ Technology Platform mindestens einmal angegeben haben. HINWEIS: Um die Zuordnung zu entfernen, geben Sie das LDAP-Attribut, für das Sie die Zuordnung aufheben möchten, in das Feld value im Bereich removeMapping ein.
  5. Setzen Sie die folgende Eigenschaft auf „true“ (Standardeinstellung), um das Definieren zusätzlicher Administratorbenutzer über die Eigenschaft spectrum.security.account.createNonExisting=true zuzulassen.
  6. Legen Sie die dynamische Eigenschaft zum Anwenden von Administratorgruppenberechtigungen beim Start des Spectrum-Servers fest: spectrum.security.authentication.idpserver.admin.role=Rollenname, wobei Rollenname der Gruppenname für Benutzer ist, die Administratorberechtigungen auf Systemebene erben.