View Categories

Anleitung (nicht überarbeitet)

Voraussichtliche Lesezeit: 9 Minute(n)

Inhaltsverzeichnis

Voraussetzungen und Einstellungen #

Add-on Für wen? Fachwissen

 

ADMINISTRATOR

FACHWISSEN

Voraussetzungen #

  • TecArt CRM ab Version 5.0
  • Ein passendes Add-on/Makro für die Anwendung, welche damit verbunden werden soll
Anwendung Empfehlung Link

Confluence

 miniOrange

ATLASSIAN Marketplace

Jira

 miniOrange

ATLASSIAN Marketplace

  • Ein Zertifikat mit privatem und öffentlichem Schlüssel. Dies kann bereits ein vorhandenes Zerifikat sein, kann aber auch als openSSL erzeugt werden

    Chip Praxistipp

    pfx erstellen:
    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
    openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt

Einstellungen Add-on #

Die Einrichtung besteht aus zwei Teilen. Hierzu wird im ersten Schritt TecArt als Identity Provider eingerichtet. Im zweiten Schritt erfolgt die Einrichtung der jeweiligen Service-Anbieter im TecArt System.

Textvorlage Add-on Einstellungen bearbeiten

Einstellungen Add-on #

Kollabiere Abschnitt
TecArt Modul Menü Für wen?

 

 

Add-ons
Add-ons verwalten

ADMINISTRATOR
Textvorlage Add-on Einstellungen bearbeiten

Berechtigte Gruppen #

Kollabiere Abschnitt

Im Abschnitt Berechtigte Gruppen legen Sie zunächst die Gruppen der Benutzer fest, welche Zugriff auf das Add-on erhalten sollen. Mehrere Gruppen können Sie mittels gedrückter Strg -Taste auswählen. Achten Sie bitte bei der Auswahl auf unlogische Kombinationen, wie Keine und Alle.

Ausführen im Benutzerkontext von #

Kollabiere Abschnitt

In diesem Abschnitt können Sie im Feld  Benutzer einen Benutzer angeben, mit dem das Add-on ausgeführt werden soll, so als wäre dieser der eingeloggte Benutzer. Das bedeutet, dass ein Benutzerwechsel durchgeführt wird und dieser nach der Ausführung des Add-ons wieder auf den eingeloggten Benutzer zurück wechselt. Wird kein Benutzer angegeben, wird weiterhin der eingeloggte Benutzer verwendet.

In der Regel müssen Sie hier nur selten Einstellungen vornehmen.

Weshalb ist die Option erforderlich?

Die Option ist nur dann erforderlich, wenn das Add-on Funktionen ausführt, auf die der eingeloggte Benutzer in der Regel nicht zugreifen kann. Setzen Sie z.B. Externe Benutzer in Ihren Projekten ein, haben diese ggf. keine Berechtigung auf Add-ons, die Ihre Aufgaben oder Termine erweitern. In diesem Fall würden sich die Termine und Aufgaben durch externe Benutzer mangels Berechtigung nicht speichern lassen. Das kann umgangen werden, indem Sie hier einen Benutzer mit entsprechenden Berechtigungen auswählen.

Ein anderes Beispiel wäre, wenn durch einen individuellen Prozess im Hintergrund ein Objekt (z.B. ein Auftrag) angelegt werden soll, obwohl der ausführende Benutzer weder Zugriff auf das Modul Aufträge hat noch Aufträge anlegen dürfte. Auch in diesem Zusammenhang müsste ein Benutzerkontextwechsel durchgeführt werden auf einen Benutzer, welcher beide Berechtigungen besitzt.

 Allgemeine Einstellungen #

  • Im folgenden Abschnitt Allgemein tragen Sie in die Felder  Private Key (X509 Certifikate) und  Public Key (X509 Certifikate) die erzeugten privaten und öffentlichen Schlüssel Ihres SSL-Zertifikates ein.

  • Als nächstes wird der  IDP Entity ID / Issuer festgelegt. Diese Bezeichnung kann beliebig gewählt werden. Es kann eine URL oder eine Bezeichnung, wie https://anwendung.meine-url.de oder auch TecArt_CRM sein, welche später beim Service-Provider in der Fremdanwendung angegeben werden muss.
  • Der  Debug-Modus ist in der Regel nicht erforderlich, liefert Ihnen jedoch bei Verbindungsproblemen differenziertere Informationen in der Ereignisanzeige Ihres Systems.

  • Im Abschnitt Externer Zugriff wird der Zugang und Austausch zwischen Ihrem System und der Fremdanwendung über einen Zugangstoken individualisiert. Der  Token wird durch das TecArt CRM automatisch erzeugt und kann über das Icon  neu erzeugt werden. Danach ändert sich auch die entsprechende URL, welche beim Service-Provider wieder angegeben werden muss.

    Wechseln Sie den Token über das Add-on oder ändern Sie Ihre Systemadresse, müssen Sie diese Änderung auch in Ihren Fremdanwendungen eintragen.

  • Die Angabe eines  Benutzer des TecArt´s ist wichtig für die grundlegende Ermittlung von Feldern, welche Später für den Service-Provider benötigt werden. Es spielt dabei keine Rolle, welcher Benutzer gewählt wird. Empfehlung ist jedoch hier einen Administrator zu verwenden.

  • Das Feld  URL zeigt die beim Service-Provider einzutragende Single-Sign-On-URL vollständig inkl. dem Token an. Bei einer Aktualisierung des Token wird diese erst nach dem Speichern angepasst.

Einrichtung Add-on-Anwendung #

TecArt Modul Menü

 

 

Add-ons
SAML Single-Sign-On

Nachfolgend werden für die Einrichtung der Anwendung auch Informationen aus Ihrer Drittanwendung benötigt. Die Einrichtung ist daher eine wechselseitige Einrichtung.

Sobald die Vorbereitungen für das Add-on abgeschlossen sind, kann mit der Einrichtung der Anwendungen begonnen werden. Hierzu gehen Sie über   Administration > Add-ons auf SAML Single-Sign-On . Sollte nach der Installation der Menüeintrag fehlen, ist eine Aktualisierung des TecArt CRM mittels F5 notwendig.

  • Nun wird die Seite des Service-Providers eingerichtet und Angaben aus der Fremdanwendung benötigt. Für eine neue Anwendung klicken Sie zunächst auf den Button Neu .
  • Die Vergabe eines Namens Name ist dabei nur die Bezeichnung der Anwendung und wird später auf der linken Seite des Fensters angezeigt.
  • Ihr Service-Provider stellt die  Entity ID / Issuer zur Verfügung. Auch hier kann das eine Bezeichnung oder eine URL sein.
  • Im Feld  Authentication URL (SSO) wird die vorgesehene URL des Service-Providers eingetragen. Diese kann auch mit ACS URL abgekürzt sein.
  • Die Audience URI des Service-Providers wird in das gleichnamige Feld  Audience URI eingetragen. Dies kann unter Umständen auch die SP Entity ID / Issuer sein.
  • Der Service-Provider (Drittanwendung) stellt darüber hinaus noch einen öffentlichen Schlüssel für das Zertifikat aus, welchen Sie in das Feld   Public Key (X509 Certicate) eintragen.
  • Abschließend sind die Angaben durch  Speichern abzuschließen.

Nun sind die Einstellungen auf TecArt-Seite abgeschlossen und die Einstellungen auf Seiten des Service-Providers können vorgenommen werden.

Einrichtung der Fremdanwendung #

Confluence und Jira am Beispiel miniOrange SAML SSO #

Einrichtung der Drittanwendung #

Es wird bereits davon ausgegangen, dass das Makro in Confluence bzw. Jira installiert wurde, denn sonst hätten Sie die Angaben unter Einrichtung Add-on-Anwendung nicht fertigstellen können. Die nachfolgenden Bilder geben eine Beispielkonfiguration wieder und sind nicht als verbindlich anzusehen.

  • Konfigurieren Sie im ersten Schritt eine neue Identität Add New IDP. In unserem Beispiel hat diese den Namen TecArt erhalten. Sie werden anhand des Assistenten durch die Konfiguration geführt, können die Einstellungen auch jederzeit manuell ausführen bzw. ändern.

    Die Beispiele in den Screenshots sind auch als solche zu verstehen und geben einen groben Überblick. Bitte passen Sie die Einstellungen an Ihre speziellen Anforderungen und Bedürfnisse an. Sie sind daher nicht als abschließend zu betrachten.

  • Die SSO Endpoints in der Einrichtung liefern die Angaben für die Einstellungen des Identity-Providers im TecArt-Add-on
  • Für die weitere Konfiguration sind 2 verschiedene Browser zu empfehlen, damit man die vorgenommenen Einstellungen direkt überprüfen kann.
  • So wie im Add-on auch, sind hier in Ihrer Drittanwendung Angaben für die TecArt-Seite notwendig. Dabei wird im Feld IDP Name (IDP = Identity-Provider) ein Name des IDP angegeben. Wichtiger ist das Feld IDP Entity ID / Issuer. Dies ist der im Feld  IDP Entity ID / Issuer festgelegte Name.
  • Das Feld Single Sign On URL erhält die URL inkl. Token aus dem Feld  URL
  • In das Feld IDP Signing Certificate tragen Sie den öffentlichen Schlüssel des Zertifkates aus dem Feld Public Key (X509 Certifikate) ein.
  • Nach dem Speichern (Save) kann dann bereits der Test der Konfiguration (Test Configuration) durchgeführt werden, welcher weitere wichtige Informationen liefert. Der Test wird ggf. noch kein gültiges Login liefern.

  • Der Test liefert für den Schritt User Profile die Informationen zum Befüllen der Felder
  • Dabei kann festgelegt werden, ob wahlweise im Feld Login Confluence user account by der Login mittels username oder email erfolgen soll. Die entsprechenden Attribute des Tests sind generell in die dafür vorgesehenen Felder Username, Email und Full Name Attribute einzutragen. Derzeit werden nicht mehr Attribute aus dem TecArt CRM bereitgestellt. Dies würde eine Erweiterung des Add-ons erfordern. Wenn Sie sich bei Bedarf bitte an unseren Vertrieb.
  • Nach dem Speichern können Sie im Schritt SSO Endpoints erneut den Test durchführen. Dieser sollte jetzt ein Test Successful oder die Startseite Ihres TecArt CRM zurück liefern.

  • Über User Groups legen Sie fest, welche Berechtigungen Sie neuen Mitgliedern nach dem ersten Login bereitstellen wollen.

  • Weitere Einstellungen, u.a. die, ob neue Benutzer automatisch oder nicht automatisch angelegt werden dürfen. Allow User Creation schaltet an dieser Stelle das automatische Anlegen ein. Bitte beachten Sie bei automatischer Neuanlage auf eine ausreichende Anzahl von Lizenzen.
  • Über den Abschnitt SSO Setting haben Sie die Möglichkeit weitere Einstellungen vorzunehmen und auch einen eigenen Login Button Text festzulegen. Darüber hinaus können Sie in den anderen Teilen weitere Individualisierungen einstellen.

Test des Zugangs zur Drittanwendung #

Für den Test wird nun der Zugang zwischen der Drittanwendung über Ihren TecArt-Zugang überprüft.

Für den Test sollten Sie unbedingt einen anderer Browser verwenden. Durch verschiedene Einstellungen können Sie andernfalls aus der derzeitigen Administration abgemeldet werden. Nur über einen anderen Browser bleiben Sie in der aktuellen Administration eingeloggt und können noch Korrekturen durchführen.

Rufen Sie Ihre jeweilige Seite Ihres Confluence bzw. Jira auf

Statt der Eingabe eines Benutzernamens und Passwortes, nutzen Sie nun den 2. Button – in diesem Fall TecArt-CRM Login. Sie werden zur Login-Seite Ihres TecArt CRM weitergeleitet.

Geben Sie nun Ihren Benutzernamen und das Passwort zu Ihrem TecArt System ein.

Ist der Login erfolgreich, kehren Sie automatisch zu Jira bzw. Confluence zurück und Sie sind eingeloggt.

Button im TecArt CRM erstellen #

Selbstverständlich können Sie Ihrem TecArt CRM einen Button zur Anwendung, wie Jira oder Confluence einrichten, welcher Ihre URL aufruft. Damit Sie die Vorteile von Single-Sign-On aber richtig auskosten können, sollten Sie einen angepassten Button in Ihrem TecArt CRM einrichten.

Wechseln Sie in Ihrer Drittanwendung und den Einstellungen zu SSO Endpoints und kopieren Sie sich aus dem Feld die dort angezeigte URL.

Beispiel: https://confluence.meine-domain.de/plugins/servlet/saml/auth?idp=0815d7e0-3a8b-45b2-7444-d2d2ea6b2438

Erweitern Sie die URL zwischen …auth? und idp… um Ihre Seite, welche ggf. nach dem Login automatisch aufgerufen werden soll mit dem Attribut return_to=https://meine-zielseite.meine-domain.de&

Beispiel: https://confluence.meine-domain.de/plugins/servlet/saml/auth?return_to=https://meine-zielseite.meine-domain.de&idp=0815d7e0-3a8b-45b2-7444-d2d2ea6b2438

Rufen Sie nun im TecArt CRM über Administration > Module > Hauptmenü die Konfiguration Ihres Hauptmenüs auf.

Erstellen Sie einen neuen Eintrag für Ihre Anwendung über  Neu . Füllen Sie die erforderlichen Felder aus und nehmen Sie die erforderlichen Einstellungen vor. In das Feld  Link tragen Sie dabei Ihre URL ein.

Testen Sie Ihren neuen Hauptmenüeintrag. Dieser sollte Sie jetzt direkt in Ihre Drittanwendung führen ohne eine weitere Loginseite. Sofern der Eintrag noch nicht sichtbar ist, aktualisieren Sie die Anwendung über  F5 .
Nach oben