Datenschutzhinweis

 

Beim Laden dieses Inhalts werden Nutzungsinformationen an Vimeo übertragen und dort ggf. verarbeitet.

 

             

Kürzliche Suchen

Keine aktuellen Suchvorgänge

    Beliebte Artikel

      Artikel
      Alle ansehen
        Themen
        Alle ansehen
          Tickets
          Alle ansehen
            keine Ergebnisse

            Leider nichts gefunden für

            Benutzerfilter

            Geändert am Mo, 27 Okt um 5:03 NACHMITTAGS

            Inhalt



            Benutzerfilter erstellen


            Erstellen eines Benutzerfilters, um einer Gruppe von Personen eine Autorisierung innerhalb des Mandanten zuzuweisen.


            Um einen Benutzerfilter zu erstellen ist auf Benutzerfilter erstellen zu klicken.


            Name

            Der Name, den dieser Benutzerfilter erhalten soll.


            Beschreibung

            Eine optionale Beschreibung für den Benutzerfilter.


            Login-Dienst

            Der Login-Dienst für welchen der Fitler erstellt werden soll. Nur für Benutzer, die sich über den gewählten Login-Dienst anmelden, greift dieser Benutzerfilter und somit die konfigurierte Autorisierung innerhalb des Mandanten. Der Login-Dienst bestimmt, wie der Filter zu konfigurieren ist. Siehe Filterkonfiguration.


            Filtertyp

            Gibt den Typ des Filters ein. Der Filtertyp bestimmt, wie dieser zu knfigurieren ist. Siehe Filterkonfiguration. Der Filtertyp ist nur bei Login-Diensten des Typs LDAP oder Kerberos wählbar.


            Filterkonfiguration


            Es gibt standardmäßig drei Typen von Benutzerfiltern:


            LDAP-Filter

            LDAP-Filter können nur für Login-Dienste des Typs LDAP und Kerberos konfiguriert werden. Bei LDAP-Filtern wird eine Nutzersuchanfrage basierend auf dem konfigurierten Filter an den LDAP-Server gestellt. Für die Konfiguration von sind folgende angaben nötig:

            • BaseDN: Stellt die Wurzel zur Suche nach Benutzer-Objekten auf dem LDAP-Server dar.
            • Filter-Abfrage: eine optionale Filter-Abfrage, um innerhalb der Menge der Benutzer-Objekte des LDAP-Servers weitere Einschränkungen anzuwenden (Tutorial)

            Über die Schaltfläche Gruppensuche werden alle auf dem LDAP-Server verfügbaren Gruppen innerhalb der gegebenen BaseDN aufgelistet. Diese Liste kann über das Suchfeld weiter gefiltert werden und mit einem Klick auf einen Eintrag wird die Filter-Abfrage vorbelegt.


            Ansicht im formcycle-Backend:


            Konfiguration eines LDAP-Benutzerfilters durch die Verwendung der Gruppensuche.


            Nur Benutzer, auf die der LDAP-Filter greift, werden dieser Benutzerkonfiguration und damit der Autorisierung innerhalb des Mandanten zugeordnet.


            LDAP-Filter verhalten sich genauso wie die LDAP-Gruppen aus vorherigen formcycle Versionen.


            Profilbedingungen

            Dieser Filtertyp steht allen Login-Diensten zur Verfügung einschließlich Plugin-Login-Diensten. Hierbei können mehrere Bedingungen auf Eigenschaften des Benutzerprofils und wie diese Bedingungen logisch verknüpft werden sollen, definiert werden. Die Eigenchaften des Profils angemeldeter Benutzer stehen als JSON-Struktur zur Verfügung. Zum Prüfen von Eigenschaften wird der JSON-Pfad zu diesen selektiert (siehe Bedingungen im Folgenden).

            • Verknüpfung: die Verknüpfung gibt an, wie die konfigurierten Einzelbedingungen logisch mit einander zu verknüpfen sind. Es stehen drei Optionen zur Verfügung:
              • Alle müssen zutreffen (UND): Alle konfigurierten Bedingungen müssen zutreffen, damit dem angemeldeten Benutzer diese Benutzerkonfiguration und damit die Autorisierung innerhalb des Mandanten zugewiesen wird.
              • Eine oder mehr müssen zutreffen (ODER): Mindestens eine der konfigurierten Bedingungen muss zutreffen, damit dem angemeldeten Benutzer diese Benutzerkonfiguration und damit die Autorisierung innerhalb des Mandanten zugewiesen wird.
              • Benutzerdefinierte Verknüfung: Für komplizierte Fälle ermöglicht diese Option die Eingabe von beliebigen logischen Verknüpfungen der konfigurierten Bedingungen. Die Auswertung der Bedingungen erfolgt standardmäßig von links nach rechts. Durch die Verwendung von Klammern kann die Reihengfolge der Auswertung auch beeinflusst werden. Die zu verwendenden Bedingungen müssen wie folgt eingegefügt werden:
                • cN: Eine Bedingung, zum Beispiel c1 oder c3. Die Namen der Bedingungen stehen jeweils in der Überschrift der Bedingung. Zur besseren Übersicht können die Namen der Bedingungen auch durch Klick geändert werden.
                • not: Negation, welche dem zu negierenden Wert vorangestellt werden muss. Zum Beispiel:
                  • c1 and not c2
                  • c1 or not (c2 and c3)
                • and: UND-Verknüpfung, welche wahr ist, wenn beide verknüpfte Werte wahr sind. Zum Beispiel:
                  • c1 and c2
                  • c1 and not c2 and c3
                • or: ODER-Verknüpfung, welche wahr ist, wenn einer der beiden verknüpften Werte wahr ist. Zum Beispiel:
                  • c1 or c2
                  • c1 or c2 or not c3
                • false, true: Diese beiden Konstanten stellen die logischen Werte false und true dar.
                • xor, nand, nor, implies, impliedby, equiv, unequiv: Repräsentiert, in dieser Reihenfolge, die logischen Operatoren Kontravalenz, Alternative Verneinung, Gemeinsame Verneinung, Materiale Implikation, Gegenläufige Implikation, Materiale Äquivalenz und Nicht-Äquivalenz.
            • Bedingungen: Es können beliebig viele Bedingungen angegeben werden. Eine Bedingung kann genau eine Profileigenschaft prüfen.
              • JSON-Pfad zur Eigenschaft
                Der JSON-Pfad selektiert eine Eigenschaft des Profils und somit einen Teil des JSON-Objektes, welches das Profil des angemeldeten Benutzers darstellt. Auf diese Eigenschaft / diesen Teil des JSON-Objektes kann dann eine Bedingung geprüft werden. Die selektierte Eigenschaft kann verschiedene Formen annehmen und zwar alle gültigen JSON-Datentypen:
                • String: Ein Zeichenfolge, die eine prüfbare Eigenschaft darstellt.
                • Number: Eine Zahl, die eine prüfbare Eigenschaft darstellt.
                • Objekt (JSON-Objekt): stellt eine komplexe Eigenschaft des Profils dar. Auf diese kann in der Regel keine Bedingung sinnvoll geprüft werden. Der JSON-Pfad sollte also erweitert werden, um eine prüfbare Untereigenschaft des Objekts zu selektieren.
                • Array: eine Reihe von weiteren Elementen / Eigenschaften. Die Elemente der Reihe können wiederum jeder der gültigen JSON-Datentypen sein. In der Regel macht eine Prüfung aber nur mit Arrays Sinn, dessen Elemente vom Typ String, Number oder Boolean sind. Ist dies nicht der Fall, dann sollte der JSON-Pfad verfeinert werden, um ein prüfbares Attribut zu selektieren. Für Arrays können in der Regel nur die Bedingungen Leer, Nicht leer, Enthält und Enthält nicht sinnvoll genutzt werden.
                • Boolean: kann den Wert true oder false haben und stellt eine prüfbare Eigenschaft dar.
              • Bedingung: Zu testende Bedingung. Zur Auswahl stehen die folgenden Optionen:
                • Leer
                • Nicht leer
                • Gleich
                • Nicht gleich
                • Enthält
                • Enthält nicht
                • Größer
                • Größer oder gleich
                • Kleiner
                • Kleiner oder gleich
                • Beginnt mit
                • Beginnt nicht mit
                • Endet mit
                • Endet nicht mit
                • Passt auf regulären Ausdruck
                • Passt nicht auf regulären Ausdruck
              • Vergleichswert: Der für die Prüfung verwendete Wert der ausgewählten Bedingung. Sichtbar, wenn nicht Leer oder Nicht leer als Bedingung ausgewählt wurde.


            Bitte beachten Sie das bei bestimmten Konstellationen bestimmte Bedingungen verwendet werden müssen. Zum Beispiel muss bei einem Vergleich mit einem Array nicht die Bedingung "Gleich", sondern "Enthält" verwendet werden, selbst wenn sich nur ein Element im Array befindet.


            Ansicht im formcycle-Backend:


            Konfiguration eines Benutzerfilters über zwei UND-verknüpfte Profilbedingungen. In diesem Beispiel werden alle Benutzer dieser Benutzerkonfiguration zugeordnet, die Teil der Gruppe Sachbearbeiter (memberOf) und in der Organistaion Demo AG (organisation) sind.


            Nur Benutzer, auf deren Profile die Einzelbedingungen in der gewählten Verknüpfung zutreffen, werden dieser Benutzerkonfiguration und damit der Autorisierung innerhalb des Mandanten zugeordnet.



            Beispiele für Filterkonfigurationen

            In den nachfolgenden Beispielen soll jeweils auf die Zugehörigkeit in einer Gruppe, mit einem bestimmten Namen, geprüft werden. Die Prüfung erfolgt dabei jeweils mittels JSON-Path Notation.


            Beispieldaten aus einer Microsoft Entra ID (über z. B. OIDC) Anmeldung:

            Beispieldaten aus einer Nutzeranmeldung mit Microsoft Entra ID


            Ansicht im formcycle-Backend:


            Filterkonfiguration für die Prüfung der Gruppenzugehörigkeit (memberOf) in der Gruppe mit Namen (displayName) "internal-users". 


            Beispieldaten aus einer Microsoft Active Directory Anmeldung:

            Beispieldaten aus einer Nutzeranmeldung an einem Microsoft Active Directory


            Ansicht im formcycle-Backend:


            Filterkonfiguration für die Prüfung der Gruppenzugehörigkeit (memberOf) zur Gruppe mit Namen "Internal-Users".
            Es ist darauf zu achten, dass als Vergleichswert der komplette Pfad zur AD-Gruppe anzugeben ist.


            Microsoft Entra ID Filter

            Microsoft Entra ID Filter können nur von Entra ID-Login-Diensten konfiguriert werden. Der Entra ID Filter ähnelt den Profilbedingungen sehr und kann auch genauso wie die Profilbedingungen durch Angabe von Bedingungen auf JSON-Pfade konfiguriert werden. Zusätzlich ist es jedoch möglich Bedingungen auf bekannte Eigenschaften von Entra ID Profilen zu definieren:


            • Benutzergruppen: Diese Profileigenschaft stellt die Liste der Benutzergruppen dar, von denen der Benutzer Mitglied ist. Ist diese Eigenschaft ausgewählt erscheinen im Feld für den Verleichswert Vorschläge von existierende Benutzergruppen. Diese Profileigenschaft steht nur zur Verfügung, wenn der ausgewählte Microsoft Entra ID Login-Dienst, die Option "Vollständige Gruppeninformationen abfragen" aktiviert hat. Außerdem muss die Anwendungsberechtigung Group.Read.All erteilt werden, damit formcycle Vorschläge basierend auf den Benutzergruppen des Entra ID Mandanten machen kann.


            Erteilen der Anwendungsberechtigung Group.Read.All über das Entra ID Admin Center, damit formcycle Vorschläge basieren auf den Benutzergruppen des Entra ID Mandanten machen kann.


            • Verwalter: Diese Profileigenschaft stellt den Verwalter des Benutzers dar. Ist diese Eigenschaft ausgewählt, erscheinen im Feld für den Vergleichswert Vorschläge von existierenden Benutzern. Diese Profileigenschaft steht nur zur Verfügung, wenn der ausgewählte Microsoft Entra ID Login-Dienst, die Option "Verwalter(in) abfragen" aktiviert hat. Außerdem muss die Anwendungsberechtigung User.Read.All erteilt werden, damit formcycle Vorschläge basierend auf den Benutzern des Entra ID Mandanten machen kann.


            Erteilen der Anwendungsberechtigung User.Read.All über das Entra ID Admin Center, damit formcycle Vorschläge für Verwalter*innen basieren auf den Benutzern des Entra ID Mandanten machen kann.



            Ansicht im formcycle-Backend:


            Konfiguration eines Entra ID Benutzerfilters über zwei UND-verknüpfte Profilbedingungen. In diesem Beispiel werden alle Benutzer dieser Benutzerkonfiguration zugeordnet, die Teil der Benutzergruppe formcycle-Benutzer und Entwickler sind.



            Plugin-Filter

            Es ist zudem möglich, dass Plugin-Login-Dienste zusätzlich Benutzerfiltererweiterungen zu Verfügung stellen.


            Benutzerkonfiguration testen:

            Benutzerkonfigurationen und deren gesetzten Bedingungen (Profilbedingungen, Microsoft Entra ID) bzw. Filter (LDAP-Filter) können mit einem Benutzer-Login durch Klick auf die Schaltfläche "Benutzerkonfiguation testen" getestet werden. Nach Klick auf die Schaltfläche kommt es zu einer Aufforderung der Eingabe eines Benutzer-Logins. Nach erfolgreicher Anmeldung, werden die Profilinformationen des Benutzer in JSON-Form dargestellt und oberhalb davon, ob die Autorisierung dieser Benutzerkonfiguration erfolgreich war oder nicht, also ob die gewählten Bedingungen / Filter für den Benutzer greifen oder nicht.




            Testergebnis einer Benutzerkonfiguration mit erfolgreichem Autorisierungsergebnis.



            Autorisierungskonfiguration


            Die Konfiguration der Autorisierung innerhalb von formcycle wird im Beitrag Benutzer unter Autorisierungskonfiguration beschrieben. Bitte beachten Sie zusätzlich den folgenden Hinweis:


            Bei Benutzerfiltern steht keine Rollenauswahl zur Verfügung, wenn der gewählte Login-Dienst nicht für die Verwaltungsoberfläche konfiguriert wurde.



            Benutzerfilter bearbeiten / löschen


            Benutzerfilter mit Mandantadminstrator-Rolle:

            • BearbeitungKönnen nur vom SAdmin bzw. Benutzern mit der Rollenberechtigung Administratoren bearbeiten bearbeitet werden.
            • Löschen: Können nur vom SAdmin bzw. Benutzern mit der Rollenberechtigung Administratoren bearbeiten gelöscht werden.

            Benutzerfilter ohne Mandantadminstrator-Rolle:

            • Bearbeitung: Können immer bearbeitet werden.
            • Löschen: Können immer gelöscht werden.


            War dieser Artikel hilfreich?

            Das ist großartig!

            Vielen Dank für das Feedback

            Leider konnten wir nicht helfen

            Vielen Dank für das Feedback

            Wie können wir diesen Artikel verbessern?

            Wählen Sie wenigstens einen der Gründe aus
            CAPTCHA-Verifikation ist erforderlich.

            Feedback gesendet

            Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren

            Vorschau
            0 von 0
            © Copyright 2025 formcycle ein Produkt der XIMA Media GmbH
            Impressum | Datenschutz