Verwaltung von Benutzern und Rollen im IGEL-Kundenportal

In diesem Artikel wird beschrieben, wie Sie im IGEL-Kundenportal Benutzer einladen, Einladungen stornieren oder erneuern und Rollen zu einem Benutzer hinzufügen oder entfernen können. 

Außerdem wird beschrieben, wie Sie Okta oder Ping als föderierte Identitätsanbieter (IdP) für die Anmeldung bei Ihren IGEL Cloud Services-Konten verwenden können.

Rollen und Berechtigungen

Im IGEL-Kundenportal finden Sie folgende Rollen:

• Super-Admin
  Das erste Konto, das Sie unter IGEL Customer Portal > Register registrieren, ist Ihr Super-Admin Konto. Einzelheiten zur Registrierung finden Sie unter Registrierung für das IGEL-Kundenportal.
  
  
  Der Super-Administrator ist der erste Benutzer, der ein neues Konto registriert.
  
  
• Account Admin
• OBS Admin
• UMS Admin
• Customer Support Account Manager

Die Benutzer mit diesen Rollen haben folgende Berechtigungen:

	Super Admin	Account Admin	OBS Admin	UMS Admin	Customer Support Account Manager
Account Management
Konto ansehen
User Management
Benutzer ansehen
Benutzer einladen
Benutzerrollen, hinzufügen/löschen
OBS IdP (Onboarding Service Identity Provider)
IGEL OS IdP registrieren
OBS Instanz nutzen
IGEL OS Onboarding
OBS Instanz registrieren
OBS-Attribute ansehen
OBS-Attribute benutzen
OBS-Attribute erstellen
OBS-Attribute, hinzufügen/ändern
UMS Management
UMS Instanz ansehen
UMS Instanz benutzen
UMS Instanz erstellen
UMS Instanzen, hinzufügen/ ändern
Support / Case Management
Support-Fälle ansehen
Support-Fälle einreichen
RMA-Fälle ansehen
RMA-Fälle einreichen
Reset Key-Fälle einreichen
Fragen zur Lizenz einreichen

Benutzer einladen und eine Rolle zuweisen

Im folgenden Beispiel laden wir einen neuen Benutzer ein und machen ihn zu einem OBS-Administrator.

1.  Öffnen Sie das IGEL Customer Portal , melden Sie sich bei Ihrem Administratorkonto an und wählen Sie Benutzer > Benutzer- und Rollenverwaltung.
   
   
   
2. Wählen Sie Neuen Benutzer einladen.
   
   
   
3. Geben Sie die Daten des neuen Benutzers ein:
   
   • Vorname: Vorname des Benutzers
   • Nachname: Nachname des Benutzers
   • E-Mail  (erforderlich): E-Mail-Adresse des Benutzers
   • Sprache: Bevorzugte Sprache des Benutzers
     
     
     
4. Wählen Sie die Rolle OBS Admin und klicken Sie Einreichen.
   
   
   Die Einladungsmail wird an den Benutzer gesendet.
   Die Liste der Benutzer wird angezeigt; sie enthält den neu hinzugefügten Benutzer.
   
   Wenn der Benutzer die Einladung akzeptiert, wird das Konto erstellt und die Rolle zugewiesen. (Sollte der Benutzer ablehnen, wird das Konto nicht erstellt.)
   Der Super-Admin erhält eine Bestätigungsmail.

Abbrechen und erneutes Versenden von Einladungen

Sie können ausstehende Einladungen abbrechen und erneut versenden, wenn Sie eine der folgenden Rollen haben:

• Super-Admin
• Konto-Admin

Ausstehende Einladungen, die älter als 30 Tage sind, werden automatisch gelöscht. Wenn eine Einladung gelöscht wurde, können Sie eine neue erstellen.

1. Öffnen Sie IGEL Customer Portal , melden Sie sich mit Ihrem Administratorkonto an und wählen Sie Benutzer > Übersicht.
   
   
   Die Benutzer werden aufgelistet.
   
   
2. Suchen Sie den betreffenden Benutzer und klicken Sie auf Erneut senden oder Abbrechen, je nachdem.
   
   
   

Hinzufügen einer Rolle zu einem bestehenden Benutzer

1. Öffnen Sie IGEL Customer Portal , melden Sie sich mit Ihrem Administratorkonto an und wählen Sie Benutzer > Benutzer & Rollenverwaltung.
   
   
   
2. Wählen Sie Zusätzliche Rolle hinzufügen.
   
   
   
3. Wählen Sie einen oder mehrere Benutzer, denen diese Rolle zugewiesen werden soll.
   
   
   
   
4. Wählen Sie OBS Admin als die zusätzliche Rolle und klicken Sie auf Senden.
   
   
   
   Die aktualisierte Benutzerliste wird angezeigt.
   
   
   

Entfernen einer Rolle / Deaktivieren eines Benutzers

Sie können einem Benutzer eine oder mehrere Regeln entziehen. Wenn Sie einen Benutzer deaktivieren, wird das Konto gelöscht. Es werden dann keine E-Mails mehr an dieses Konto gesendet.

1. Öffnen Sie IGEL Customer Portal , melden Sie sich bei Ihrem Administratorkonto an und wählen Sie Benutzer > Benutzer & Rollenverwaltung.
   
   
   
2. Wählen Sie Rolle entfernen.
   
   
   
3. Wählen Sie den Benutzer aus, dem Sie eine Rolle entziehen möchten.
   
   
   
4. Wählen Sie die Rolle, die Sie dem Benutzer entziehen möchten.
   
   
   
5. Klicken Sie Senden, um die Änderung zu bestätigen.
   

Okta als förderierte Identitätsanbieter verwenden

Einrichten einer App-Integration in Okta

Um Identitäten von Okta in das Azure Active Directory (AAD), das in den IGEL Cloud Services verwendet wird, zu föderieren, müssen Sie eine Anwendungsintegration in Ihrem Okta-Tenant einrichten. Zu diesem Zweck werden wir eine SAML 2.0-Anwendung erstellen.

1. Melden Sie sich mit Ihrem Administratorkonto bei Okta an, gehen Sie zu Applikationen und klicken Sie auf App Integration erstellen,
   
   
   
2. Wählen Sie SAML 2.0 und klicken Sie auf Weiter.
   
   
   
3. Definieren Sie einen App-Namen und optional ein App-Logo, und klicken Sie auf Weiter.
   
   
   

4. Bearbeiten Sie die SAML-Verbindungsdetails wie folgt:

   • Single sign on  URL: Geben Sie https://login.microsoftonline.com/login.srf ein
   • Verwenden Sie dies für Empfänger-URL und Ziel-URL : Aktivieren Sie diese Kästchen
   • Zuhörer-URI (SP Entity ID): Geben Sie urn:federation:MicrosoftOnline ein
   • Benutzername der Anwendung: Setzen Sie dies auf E-Mail.
     
     
     
5. Fügen Sie die folgenden Attribute hinzu:
   • Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ; Wert: user.email
   • Name: NameID Format Wert: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent



6. Schließen Sie Ihre App Integration ab.

Extrahieren der SAML 2.0-Verbindungsdaten

In diesem Schritt werden die Verbindungsdaten extrahiert, die für die Erstellung einer externen Identität verwendet werden, die für den IGEL Onboarding Service (OBS) genutzt wird. 

1. Öffnen Sie die Einstellungen für Ihre Anwendung und wählen Sie Anmelden.
   
   
   
2. Klicken Sie auf den Link Identity Provider Metadaten, um die Daten herunterzuladen, die wir anschließend für die Konfiguration des IGEL Onboarding Service (OBS) verwenden werden. Die Daten sind in einer XML-Datei enthalten. Notieren Sie sich auch die URL dieses Links, da wir sie später noch benötigen werden.
   Beispiel einer Metadaten-Datei.
   

Konfigurieren von Okta als Ihr föderierter IdP

1. Öffnen Sie IGEL Customer Portal , melden Sie sich bei Ihrem Administratorkonto an und wählen Sie Benutzer > Bringen Sie Ihren IdP.
   
   
   
2. Geben Sie die folgenden Daten aus Ihrer Metadaten-Datei ein:
   
   • Urheber-URI: Wert des Attributs entityID des Elements <md:EntityDescriptor>.
     
     
     
   • Passiver Authentifizierungsendpunkt: Geben Sie den Wert des Attributs Location des Elements <md:SingleSignOnService> ein.
     
     
     
   • Meta-Daten URL: Geben Sie die URL des Links Identity Provider-Metadaten ein, den Sie zuvor zum Herunterladen der Metadaten-Datei verwendet haben.
   • Domänenname des föderierenden IdP: Der Teil des P assiven Authentifizierungsendpunkts vor dem /app/ ohne https://. Beispiel: mycompanydomain.okta.com
     
     
     
3. Fügen Sie unter Assoziierte Domänen die Domänen hinzu, die mit Ihrem Verbund-IdP verbunden sein werden.
   
   
   
   
4. Fügen Sie unter Zertifikat den Inhalt des Elements <ds:X509Certificate> ein und klicken Sie dann auf Senden. 
   
   
   
   
   

Zuweisung der Anwendung an die Benutzer

Im finalen Schritt werden wir den relevanten Benutzern die Anwendung zuweisen, die wir erstellt haben. Danach können diese Nutzer ihre Geräte in die UMS in ihrem Unternehmensnetz einbinden.

Sie können Gruppen von Benutzern oder einzelne Benutzer zuweisen.

1. Wählen Sie in Ihrer Okta Anwendung Zuweisungen.
   
   
   
2. Weisen Sie die Benutzer zu unserer neuen Anwendung zu.
   

Ping als föderierter Identitätsanbieter verwenden

Einrichten einer App-Integration in Ping

Um Identitäten von Ping zu Azure Active Directory (AAD) zu föderieren, müssen Sie eine Anwendungsintegration in Ihrem Ping-Tenant einrichten. Zu diesem Zweck werden wir eine SAML 2.0-Anwendung erstellen.

1. Melden Sie sich bei Ihrem Konto bei Ping an, gehen Sie zu Verbindung > Anwendungen und fügen Sie eine Anwendung hinzu.
   
   
   
2. Geben Sie einen Anwendungsnamen ein, wählen Sie SAML-Anwendung als Anwendungstyp und klicken Sie auf Konfigurieren.
   
   
   
   
3. Wählen Sie im Dialogfeld SAML-Konfiguration die Option Manuell eingeben und geben Sie die folgenden Daten ein:
   • ACS URLs: Geben Sie https://login.microsoftonline.com/login.srf ein
   • Entity ID: Geben Sie das Präfix https://login.microsoftonline.com/ gefolgt von der Azure Active Directory-Mieter-ID ein.
     
     
     
4. Erstellen Sie die Anwendung.
   
   
5. Bearbeiten/erstellen Sie die folgende Attribut-Zuordnung:
   
   • Ordnen Sie saml_subject der Benutzer-ID zu.
   • Erzeugen Sie den Bezeichner http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress und ordnen Sie ihn der Email-Adresse zu.
     
     
     
6. Beenden Sie das Anwendungssetup.

Abrufen der SAML 2.0-Verbindungsdaten

In diesem Schritt erhalten wir die Verbindungsdaten, die für die Erstellung einer externen Identität verwendet werden, die für den IGEL Onboarding Service (OBS) genutzt wird.

Öffnen Sie die Einstellungen für Ihre Anwendung und wählen Sie Konfiguration. Die relevanten Daten werden angezeigt und können in die Zwischenablage kopiert werden.

Ping als föderierten IdP konfigurieren

1. Öffnen Sie IGEL Customer Portal , melden Sie sich bei Ihrem Administratorkonto an und wählen Sie Benutzer > Bringen Sie Ihren IdP.
   
   
   
2. Geben Sie die folgenden Daten aus Ihrer Metadaten-Datei ein:
   • Ausstellungs-URI: Die ID des Ausstellers von der Seite Ping Konfiguration.
   • Passiver Authentifizierungsendpunkt: Der Wert von Single Signon Service auf der Seite Ping Konfiguration.
   • Metadaten URL: Die IDP-Metadaten-URL auf der Seite Ping Konfiguration.
   • Domainname des federating IdP: Geben Sie den Domainnamen ein, der mit Ihrem Ping-Konto verknüpft ist.