Der Menüpunkt Benutzer vereinigt die ehemaligen Menüpunkte "LDAP-Gruppen" und "Benutzer".
Der Menüpunkt Benutzer in der Benutzerverwaltung von Mandanten, dient der Autorisierung angemeldeter Benutzer innerhalb des Mandanten bzw. innerhalb der Formulare des Mandanten. Konkret werden damit die folgende Ziele verfolgt:
- einzelnen Benutzern oder Gruppen von Benutzern Zugriff zur Verwaltungsoberfläche des Mandanten zu geben und deren Berechtigungen innerhalb der Mandanten zu steuern.
- Endbenutzern Zugang zu geschützten Formularen oder Teilen von Formulare zu gewähren.
Die Liste der Benutzer stellt also lediglich die Autorisierungen für Benutzer dar. Eine komplette Liste aller Benutzer im System ist in den Systemeinstellungen einsehbar.
Neu erstellte Mandanten enthalten immer bereits eine Autorisierung für einen Benutzer, nämlich die des Mandantadministrators. Siehe Mandanterstellung.
Inhalt
Benutzer hinzufügen
Um dem Mandanten einen Benutzer hinzuzufügen muss auf das Plus-Symbol geklickt werden. Danach erscheint eine Auswahl mit zwei Optionen, denn es gibt zwei Arten eine Autorisierung für Benutzer in Mandanten anzulegen:
- Über das Versenden einer Einladung per E-Mail (es wird genau ein Benutzer autorisiert)
- Über die Definitation von Benutzerfiltern (es können mehrere Benutzer auf einmal autorisiert werden)
Benutzerkonfigurationen mit Mandantadminstrator-Rolle können nur von Benutzern mit dem Rollenrecht Adminstratoren bearbeiten oder dem SAdmin hinzugefügt werden.
Benutzer per E-Mail einladen
Um einen einzelnen Benutzer zum aktuellen Mandanten einzuladen ist auf Benutzer per E-Mail einladen zu klicken.
Die E-Mail Adresse des Benutzers, welcher zum Mandanten eingeladen werden soll. Es ist lediglich die Angabe der E-Mailadresse des Benutzer nötig. Dabei kann es sich um einen Benutzer handeln, welcher bereits im system registriert ist oder ein komplett neuer Benutzer. In beiden Fällen erhält der Benutzer eine E-Mail mit einem Einladungslink.
Ist die Benutzersuche für das System aktiviert, werden bei der Eingabe der E-Mailadresse Vorschläge basierend auf den Benutzern, die bereits im System existieren, gemacht. Sind LDAP- oder Microsoft Entra ID Login-Dienste für die Verwaltungsoberfläche aktiviert, werden zudem Vorschläge basierend auf LDAP-Servern bzw. der angebundenen Microsoft Entra ID Login-Diensten gemacht.
Auf die weiteren Felder wie Rolle und Benutzergruppe wird im Abschnitt Autorisierungskonfiguration eingegangen.
Durch einen Klick auf Einladen wird die Autorisierung für den Benutzer im Mandanten angelget und diesem wird eine E-Mail mit einem Einladungslink gesendet. Die Einladungslinks haben standardmäßig eine Gültigkeitsdauer von einem Tag. Nach Ablauf dieser Zeit kann der Einladungslink nicht mehr verwendet werden. Es muss ein neuer Link versendet werden. In den Anwendungseinstellungen kann die Gültigkeitsdauer der Einladungslinks konfiguriert werden.
Für das Versenden der Einladungsemails ist ein korrekt konfigurierter E-Mail-Server des Systems Voraussetzung.
Nach dem die Einladung an den Benutzer versendet wurde, befindet sich die Benutzerkonfiguration im "wartenden" Zustand, bis der Benutzer auf die Einladung reagiert.
Einladungslink kopieren
Über das Zwischenablage-Symbol kann der Einladungslink kopiert werden.
Neue Einladung versenden
Über das Papierflugzeug-Symbol kann eine neue Einladung versendet werden, der Einladungslink der vorherigen Einladungen wird damit ungültig.
Einladung aus Sicht des Benutzers
Wenn ein Benutzer zu einem Mandanten eingeladen wird, muss dieser dem Link in der Einladungsemail folgen. Nach einem Klick auf den Einladungslink wird der Benutzer zur Anmeldung bzw. Registrierung aufgefordert.
Einladung eines bestehenden Benutzers
Falls die, für die Einladung verwendete, E-Mailadresse dem System bereits bekannt und einem Benutzer zugeordnet ist, wird der Benutzer gebeten sich mit seinem formcyle-Profil anzumelden.
Einladung eines neuen Benutzers
Falls die E-Mail Adresse bei der Einladung dem System noch nicht bekannt ist und somit keinem Benutzer zugeordnet werden konnte, wird der Benutzer aufgefordert sich mit einer E-Mailadresse zu Registrieren. Dies muss nicht die E-Mailadresse sein, mit welcher der Benutzer eingeladen wurde. Im Anschluss wird der Benutzer noch dazu aufgefordert seinen Namen und ein Passwort anzugeben um ein neues Profil zu erstellen.
Besitzt der Benutzer bereits ein anderes formcycle-Profil unter einer anderen E-Mailadresse, kann er sich auch mit diesem Profil anmelden, um die Einladung anzunehmen.
Sind für die Verwaltungsoberfläche externe Login-Dienste konfiguriert und der Benutzer ist in Besitz eines Kontos bei einem dieser Login-Dienste, so kann der Benutzer sich ebenso mit diesem Konto anmelden bzw. registrieren.
Einladung annhemen / ablehnen
Nach erfolgreichen Anmeldung bzw. Registrierung kann der Benutzer die Einladung annehmen und erhält dann die zugewiesene Berechtigung innerhalb des Mandanten. Lehnt er die Einladung hingegen ab, wird die Benutzerautorisierung wieder aus dem Mandanten entfernt.
Profilbilder und Vollname von Benutzern sind erst für andere im Mandanten sichtbar, wenn die Einladung vom Benutzer angenommen wurde. Bis zu diesem Zeitpunkt ist lediglich, die für die Einladung verwendete E-Mail sichtbar.
Ob Einladungen von Benutzern explizit angenommen werden müssen, kann durch Systemadminstratoren in den Systemeinstellungen konfiguriert werden.
Benutzerfilter erstellen
Um einen Benutzerfilter zu erstellen ist auf Benutzerfilter erstellen zu klicken.
Name
Der Name, den dieser Benutzerfilter erhalten soll.
Beschreibung
Eine optionale Beschreibung für den Benutzerfilter.
Login-Dienst
Der Login-Dienst für welchen der Fitler erstellt werden soll. Nur für Benutzer, die sich über den gewählten Login-Dienst anmelden, greift dieser Benutzerfilter und somit die konfigurierte Autorisierung innerhalb des Mandanten. Der Login-Dienst bestimmt, wie der Filter zu konfigurieren ist. Siehe Filterkonfiguration.
Filtertyp
Gibt den Typ des Filters ein. Der Filtertyp bestimmt, wie dieser zu knfigurieren ist. Siehe Filterkonfiguration. Der Filtertyp ist nur bei Login-Diensten des Typs LDAP oder Kerberos wählbar.
Filterkonfiguration
Es gibt standardmäßig drei Typen fon Benutzerfiltern:
LDAP-Filter
LDAP-Filter können nur für Login-Dienste des Typs LDAP und Kerberos konfiguriert werden. Bei LDAP-Filtern wird eine Nutzersuchanfrage basierend auf dem konfigurierten Filter an den LDAP-Server gestellt. Für die Konfiguration von sind folgende angaben nötig:
- BaseDN: Stellt die Wurzel zur Suche nach Benutzer-Objekten auf dem LDAP-Server dar.
- Filter-Abfrage: eine optionale Filter-Abfrage, um innerhalb der Menge der Benutzer-Objekte des LDAP-Servers weitere Einschränkungen anzuwenden (Tutorial)
Über die Schaltfläche Gruppensuche werden alle auf dem LDAP-Server verfügbaren Gruppen innerhalb der gegebenen BaseDN aufgelistet. Diese Liste kann über das Suchfeld weiter gefiltert werden und mit einem Klick auf einen Eintrag wird die Filter-Abfrage vorbelegt.
Nur Benutzer, auf die der LDAP-Filter greift, werden dieser Benutzerkonfiguration und damit der Autorisierung innerhalb des Mandanten zugeordnet.
LDAP-Filter verhalten sich genauso wie die LDAP-Gruppen aus vorherigen formcycle Versionen.
Profilbedingung
Dieser Filtertyp steht allen Login-Diensten zur Verfügung einschließlich Plugin-Login-Diensten. Hierbei können mehrere Bedingungen auf Eigenschaften des Benutzerprofils und wie diese Bedingungen logisch verknüpft werden sollen, definiert werden. Die Eigenchaften des Profils angemeldeter Benutzer stehen als JSON-Struktur zur Verfügung. Zum Prüfen von Eigenschaften wird der JSON-Pfad zu diesen selektiert (siehe Bedingungen im Folgenden).
- Verknüpfung: die Verknüpfung gibt an, wie die konfigurierten Einzelbedingungen logisch mit einander zu verknüpfen sind. Es stehen drei Optionen zur Verfügung:
- Alle müssen zutreffen (UND): Alle konfigurierten Bedingungen müssen zutreffen, damit dem angemeldeten Benutzer diese Benutzerkonfiguration und damit die Autorisierung innerhalb des Mandanten zugewiesen wird.
- Eine oder mehr müssen zutreffen (ODER): Mindestens eine der konfigurierten Bedingungen muss zutreffen, damit dem angemeldeten Benutzer diese Benutzerkonfiguration und damit die Autorisierung innerhalb des Mandanten zugewiesen wird.
- Benutzerdefinierte Verknüfung: Für komplizierte Fälle ermöglicht diese Option die Eingabe von beliebigen logischen Verknüpfungen der konfigurierten Bedingungen. Die Auswertung der Bedingungen erfolgt standardmäßig von links nach rechts. Durch die Verwendung von Klammern kann die Reihengfolge der Auswertung auch beeinflusst werden. Die zu verwendenden Bedingungen müssen wie folgt eingegefügt werden:
- cN: Eine Bedingung, zum Beispiel c1 oder c3. Die Namen der Bedingungen stehen jeweils in der Überschrift der Bedingung. Zur besseren Übersicht können die Namen der Bedingungen auch durch Klick geändert werden.
- not: Negation, welche dem zu negierenden Wert vorangestellt werden muss. Zum Beispiel:
- c1 and not c2
- c1 or not (c2 and c3)
- and: UND-Verknüpfung, welche wahr ist, wenn beide verknüpfte Werte wahr sind. Zum Beispiel:
- c1 and c2
- c1 and not c2 and c3
- or: ODER-Verknüpfung, welche wahr ist, wenn einer der beiden verknüpften Werte wahr ist. Zum Beispiel:
- c1 or c2
- c1 or c2 or not c3
- false, true: Diese beiden Konstanten stellen die logischen Werte false und true dar.
- xor, nand, nor, implies, impliedby, equiv, unequiv: Repräsentiert, in dieser Reihenfolge, die logischen Operatoren Kontravalenz, Alternative Verneinung, Gemeinsame Verneinung, Materiale Implikation, Gegenläufige Implikation, Materiale Äquivalenz und Nicht-Äquivalenz.
- Bedingungen: Es können beliebig viele Bedingungen angegeben werden. Eine Bedingung kann genau eine Profileigenschaft prüfen.
- JSON-Pfad zur Eigenschaft
Der JSON-Pfad selektiert eine Eigenschaft des Profils und somit einen Teil des JSON-Objektes, welches das Profil des angemeldeten Benutzers darstellt. Auf diese Eigenschaft / diesen Teil des JSON-Objektes kann dann eine Bedingung geprüft werden. Die selektierte Eigenschaft kann verschiedene Formen annehmen und zwar alle gültigen JSON-Datentypen:- String: Ein Zeichenfolge, die eine prüfbare Eigenschaft darstellt.
- Number: Eine Zahl, die eine prüfbare Eigenschaft darstellt.
- Objekt (JSON-Objekt): stellt eine komplexe Eigenschaft des Profils dar. Auf diese kann in der Regel keine Bedingung sinnvoll geprüft werden. Der JSON-Pfad sollte also erweitert werden, um eine prüfbare Untereigenschaft des Objekts zu selektieren.
- Array: eine Reihe von weiteren Elementen / Eigenschaften. Die Elemente der Reihe können wiederum jeder der gültigen JSON-Datentypen sein. In der Regel macht eine Prüfung aber nur mit Arrays Sinn, dessen Elemente vom Typ String, Number oder Boolean sind. Ist dies nicht der Fall, dann sollte der JSON-Pfad verfeinert werden, um ein prüfbares Attribut zu selektieren. Für Arrays können in der Regel nur die Bedingungen Leer, Nicht leer, Enthält und Enthält nicht sinnvoll genutzt werden.
- Boolean: kann den Wert true oder false haben und stellt eine prüfbare Eigenschaft dar.
- Bedingung: Zu testende Bedingung. Zur Auswahl stehen die folgenden Optionen:
- Leer
- Nicht leer
- Gleich
- Nicht gleich
- Enthält
- Enthält nicht
- Größer
- Größer oder gleich
- Kleiner
- Kleiner oder gleich
- Beginnt mit
- Beginnt nicht mit
- Endet mit
- Endet nicht mit
- Passt auf regulären Ausdruck
- Passt nicht auf regulären Ausdruck
- Vergleichswert: Der für die Prüfung verwendete Wert der ausgewählten Bedingung. Sichtbar, wenn nicht Leer oder Nicht leer als Bedingung ausgewählt wurde.
- JSON-Pfad zur Eigenschaft
Bitte beachten Sie das bei bestimmten Konstellationen bestimmte Bedingungen verwendet werden müssen. Zum Beispiel muss bei einem Vergleich mit einem Array nicht die Bedingung "Gleich", sondern "Enthält" verwendet werden, selbst wenn sich nur ein Element im Array befindet.
Nur Benutzer, auf deren Profile die Einzelbedingungen in der gewählten Verknüpfung zutreffen, werden dieser Benutzerkonfiguration und damit der Autorisierung innerhalb des Mandanten zugeordnet.
Beispiele für Filterkonfigurationen
In den nachfolgenden Beispielen soll jeweils auf die Zugehörigkeit in einer Gruppe, mit einem bestimmten Namen, geprüft werden. Die Prüfung erfolgt dabei jeweils mittels JSON-Path Notation.
Beispieldaten aus einer Microsoft Entra ID Anmeldung:
Beispieldaten aus einer Microsoft Active Directory Anmeldung:
Microsoft Entra ID Filter
Microsoft Entra ID Filter können nur von Entra ID-Login-Diensten konfiguriert werden. Der Entra ID Filter ähnelt den Profilbedingungen sehr und kann auch genauso wie die Profilbedingungen durch Angabe von Bedingungen auf JSON-Pfade konfiguriert werden. Zusätzlich ist es jedoch möglich Bedingungen auf bekannte Eigenschaften von Entra ID Profilen zu definieren:
- Benutzergruppen: Diese Profileigenschaft stellt die Liste der Benutzergruppen dar, von denen der Benutzer Mitglied ist. Ist diese Eigenschaft ausgewählt erscheinen im Feld für den Verleichswert Vorschläge von existierende Benutzergruppen. Diese Profileigenschaft steht nur zur Verfügung, wenn der ausgewählte Microsoft Entra ID Login-Dienst, die Option "Vollständige Gruppeninformationen abfragen" aktiviert hat. Außerdem muss die Anwendungsberechtigung Group.Read.All erteilt werden, damit formcycle Vorschläge basierend auf den Benutzergruppen des Entra ID Mandanten machen kann.
- Verwalter: Diese Profileigenschaft stellt den Verwalter des Benutzers dar. Ist diese Eigenschaft ausgewählt, erscheinen im Feld für den Vergleichswert Vorschläge von existierenden Benutzern. Diese Profileigenschaft steht nur zur Verfügung, wenn der ausgewählte Microsoft Entra ID Login-Dienst, die Option "Verwalter(in) abfragen" aktiviert hat. Außerdem muss die Anwendungsberechtigung User.Read.All erteilt werden, damit formcycle Vorschläge basierend auf den Benutzern des Entra ID Mandanten machen kann.
Plugin-Filter
Es ist zudem möglich, dass Plugin-Login-Dienste zusätzlich Benutzerfiltererweiterungen zu Verfügung stellen.
Benutzerkonfiguration testen
Benutzerkonfigurationen und deren gesetzten Bedingungen (Profilbedingungen, Microsoft Entra ID) bzw. Filter (LDAP-Filter) können mit einem Benutzer-Login durch Klick auf die Schaltfläche "Benutzerkonfiguation testen" getestet werden. Nach Klick auf die Schaltfläche kommt es zu einer Aufforderung der Eingabe eines Benutzer-Logins. Nach erfolgreicher Anmeldung, werden die Profilinformationen des Benutzer in JSON-Form dargestellt und oberhalb davon, ob die Autorisierung dieser Benutzerkonfiguration erfolgreich war oder nicht, also ob die gewählten Bedingungen / Filter für den Benutzer greifen oder nicht.
Autorisierungskonfiguration
Rollen
Die Rollen die dem Benutzer innerhalb des Mandanten zugewiesen sind. Rollen bestimmen den Zugriff auf die Verwaltungsoberfläche des Mandanten und welche Berechtigungen der Benutzer innerhalb des Mandanten hat.
Werden keine Rollen vergeben, erhalten Benutzer keinen Zugriff auf die Verwaltungsoberfläche des Mandanten. Dies kann explizit erwünscht sein, wenn Endbenutzern bspw. Zugriff zu geschützeten Formularen gewährt werden soll, indem diesen lediglich Benutzergruppen zugeordnet werden.
Die Rollen von Mandantadminstratoren können nur geändert werden, wenn der Benutzer das entsprechende Recht zum Bearbeiten der Administratoren besitzt und wenn es mindestens einen weiteren Mandantadminstrator gibt.
Die eigenen Rollen können nicht bearbeitet werden.
Bei Benutzerfiltern steht keine Rollenauswahl zur Verfügung, wenn der gewählte Login-Dienst nicht für die Verwaltungsoberfläche konfiguriert wurde.
Benutzergruppen
Die Benutzergruppen, welcher der Benutzer zugehören soll. Die Benutzergruppen bestimmen auf welche Postfächer Benutzer im Posteingang Zugriff haben, vorausgesetzt die Benutzer haben Zugriff auf den Posteingang über eine entsprechende Rolle. Außerdem können Benutzergruppen vergeben werden, um Endbenutzern Zugriff zu geschützten Formularen zu gewähren oder um Eigenschaften von Formularelementen wie deren Sichtbarkeit oder Editierbarkeit benutzerabhängig zu konfigurieren.
Zugreifbare Postfächer
Stellt die Postfächer da, auf die im Posteingang zugegriffen werden kann. Auf welche Postfächer zugegriffen werden kann ist abhängig von den Benutzergruppen.
Zugriff bis
Für Benutzer, die nur begrenzten Zugriff auf den Mandanten erhalten sollen, kann ein Enddatum gesetzt werden. Melden sich Nutzer nach dem gesetzten Datum an, wird die Autorisierung durch die Benutzerkonfiguration nicht mehr greifen und somit wird bspw. der Zugriff auf die Verwaltungsoberfläche des Mandanten verwehrt.
Für Mandantadminstratoren kann kein begrenzter Zugriff konfiguriert werden.
Benutzer bearbeiten / löschen
Generell können einmal angelegte Benutzer wieder gelöscht und bearbeitet werden. Abhängig vom Typ (eingeladene Benutzer oder Benutzerfilter), Umfeld (andere Benutzer) und den Berechtigungen des agierenden Benutzers bestehen allerdings Einschränkungen beim Löschen / Bearbeiten.
Eingeladene Benutzer
Eingeladene Benutzer mit Mandantadminstrator-Rolle:
- Bearbeitung: Können nur vom SAdmin bzw. Benutzern mit der Rollenberechtigung Administratoren bearbeiten bearbeitet werden, wenn mindestens ein weiterer Mandantadmin als eingeladener Benutzer existiert.
- Löschen: Können nur vom SAdmin bzw. Benutzern mit der Rollenberechtigung Administratoren bearbeiten gelöscht werden, wenn mindestens ein weiterer Mandantadmin als eingeladener Benutzer existiert.
Eingeladene Benutzer ohne Mandantadminstrator-Rolle:
- Bearbeitung: Können immer bearbeitet werden.
- Löschen: Können immer gelöscht werden.
Sich selbst (Die Konfiguration eines eingeladenen Benutzer, welcher der agierende Benutzer selbst ist):
- Es können nur die Benutzergruppen bearbeitet werden.
- Der Benutzer kann nicht gelöscht werden.
Benutzerfilter
Benutzerfilter mit Mandantadminstrator-Rolle:
- Bearbeitung: Können nur vom SAdmin bzw. Benutzern mit der Rollenberechtigung Administratoren bearbeiten bearbeitet werden.
- Löschen: Können nur vom SAdmin bzw. Benutzern mit der Rollenberechtigung Administratoren bearbeiten gelöscht werden.
Benutzerfilter ohne Mandantadminstrator-Rolle:
- Bearbeitung: Können immer bearbeitet werden.
- Löschen: Können immer gelöscht werden.
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren