Bootstrap-Administratoren

Bootstrap-Administratoren werden automatisch erstellt, wenn RAMP zum ersten Mal startet. So wird sichergestellt, dass Sie sofort Administratorzugriff haben, ohne Benutzer manuell in der Datenbank erstellen zu müssen.

Funktionen

Automatisch beim ersten Start erstellt
Unterstützt alle Authentifizierungsanbieter (RAMP, OIDC, LDAP, Windows, ADFS)
Automatisch die Administrator-Rolle zugewiesen
Mehrere Admins unterstützt
Sicheres Wiederholen (keine Duplikate bestehender Benutzer)

Wann Bootstrap-Admins verwenden

Bootstrap-Admins verwenden für:

Erstmalige RAMP-Bereitstellung
Disaster-Recovery-Szenarien
Automatisierte Deployments (Docker, Kubernetes)
Entwicklungs-/Testumgebungen
Sicherstellung des Admin-Zugriffs nach einer Datenbankwiederherstellung

Bootstrap-Admins NICHT verwenden für:

Benutzer nach der Ersteinrichtung hinzufügen (stattdessen die Weboberfläche verwenden)
Passwortverwaltung in der Produktion (nach der ersten Anmeldung ändern)
Langfristige Anmeldedatenspeicherung (sofort rotieren)

Schnellstart – RAMP Native Auth

`appsettings.json` bearbeiten

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "RAMP",
        "Username": "admin",
        "Email": "admin@yourcompany.com",
        "Password": "Passw0rd"
      }
    ]
  }
}

RAMP starten

cd src/RAMP.API
dotnet run

Protokolle prüfen

Nach Bootstrap-Bestätigung suchen:

[INFO] Checking bootstrap administrators...
[INFO] Bootstrap administrator created: admin
[INFO] Assigned Administrator role to: admin

Erste Anmeldung

Zur RAMP-Anmeldeseite navigieren
Benutzername: admin
Passwort: Passw0rd
Passwort sofort nach der ersten Anmeldung ändern

Konfiguration nach Authentifizierungsanbieter

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "RAMP",
        "Username": "admin",
        "Email": "admin@yourcompany.com",
        "Password": "SecurePassword123!"
      }
    ]
  }
}

Anforderungen:

Passwort muss Komplexitätsanforderungen erfüllen:
- Mindestens 8 Zeichen
- Mindestens 1 Großbuchstabe
- Mindestens 1 Kleinbuchstabe
- Mindestens 1 Ziffer
- Mindestens 1 Sonderzeichen

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "OIDC",
        "Username": "john.doe@yourcompany.com",
        "Email": "john.doe@yourcompany.com"
      }
    ]
  }
}

Funktionsweise:

In der Bootstrap-Konfiguration angegebener Benutzer
Wenn sich der Benutzer zum ersten Mal über OIDC anmeldet
RAMP stellt das Benutzerkonto automatisch bereit
Die Administrator-Rolle wird automatisch zugewiesen

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "LDAP",
        "Username": "jdoe",
        "Email": "jdoe@contoso.com"
      }
    ]
  }
}

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "Windows",
        "Username": "CONTOSO\\jdoe",
        "Email": "jdoe@contoso.com"
      }
    ]
  }
}

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "ADFS",
        "Username": "john.doe@contoso.com",
        "Email": "john.doe@contoso.com"
      }
    ]
  }
}

Mehrere Bootstrap-Administratoren

Sie können mehrere Administratoren über verschiedene Identitätsanbieter konfigurieren:

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "RAMP",
        "Username": "localadmin",
        "Email": "localadmin@yourcompany.com",
        "Password": "LocalAdmin@123"
      },
      {
        "IdentityProvider": "OIDC",
        "Username": "john.doe@yourcompany.com",
        "Email": "john.doe@yourcompany.com"
      },
      {
        "IdentityProvider": "LDAP",
        "Username": "jsmith",
        "Email": "jsmith@contoso.com"
      }
    ]
  }
}

Anwendungsfall:

Lokaler Admin für Notfallzugriff
OIDC/LDAP-Admins für den regulären Betrieb
Mehrere Teammitglieder als Admins

Sichere Konfiguration

Passwörter während der Entwicklung sicher speichern:

cd src/RAMP.API

# Bootstrap-Passwort speichern
dotnet user-secrets set "Bootstrap:Administrators:0:Password" "DevAdmin@123"

Oder appsettings.Development.json verwenden:

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "RAMP",
        "Username": "devadmin",
        "Email": "devadmin@localhost",
        "Password": "DevAdmin@123"
      }
    ]
  }
}

# Linux/Mac
export Bootstrap__Administrators__0__Username="admin"
export Bootstrap__Administrators__0__Email="admin@yourcompany.com"
export Bootstrap__Administrators__0__Password="ProductionAdmin@123"
export Bootstrap__Administrators__0__IdentityProvider="RAMP"

# Windows
set Bootstrap__Administrators__0__Username=admin
set Bootstrap__Administrators__0__Email=admin@yourcompany.com
set Bootstrap__Administrators__0__Password=ProductionAdmin@123
set Bootstrap__Administrators__0__IdentityProvider=RAMP

{
  "AzureKeyVault": {
    "Enabled": true,
    "VaultUri": "https://your-ramp-vault.vault.azure.net/"
  }
}

Geheimnisse speichern:

Bootstrap--Administrators--0--Password
Bootstrap--Administrators--0--Username
Bootstrap--Administrators--0--Email

Docker-Deployment

docker-compose.yml

version: '3.8'
services:
  ramp-api:
    image: ramp-api:latest
    environment:
      - Bootstrap__Administrators__0__IdentityProvider=RAMP
      - Bootstrap__Administrators__0__Username=admin
      - Bootstrap__Administrators__0__Email=admin@yourcompany.com
      - Bootstrap__Administrators__0__Password=${RAMP_ADMIN_PASSWORD}
    ports:
      - "5165:8080"

.env-Datei

RAMP_ADMIN_PASSWORD=SecureAdminPassword123!

Starten

docker-compose up -d

Kubernetes-Deployment

secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: ramp-bootstrap-secret
type: Opaque
stringData:
  admin-password: "SecureAdminPassword123!"

deployment.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: ramp-api
spec:
  template:
    spec:
      containers:
      - name: ramp-api
        image: ramp-api:latest
        env:
        - name: Bootstrap__Administrators__0__IdentityProvider
          value: "RAMP"
        - name: Bootstrap__Administrators__0__Username
          value: "admin"
        - name: Bootstrap__Administrators__0__Email
          value: "admin@yourcompany.com"
        - name: Bootstrap__Administrators__0__Password
          valueFrom:
            secretKeyRef:
              name: ramp-bootstrap-secret
              key: admin-password

Wie Bootstrap funktioniert

Startprozess

RAMP-API startet
Bootstrap:Administrators-Konfiguration wird gelesen
Für jeden Administrator:
- Prüfen, ob Benutzer bereits vorhanden ist (nach Benutzernamen)
- Wenn Benutzer nicht vorhanden:
  - Neues Benutzerkonto erstellen
  - Identitätsanbieter setzen
  - Für RAMP-Benutzer: Passwort hashen und speichern
  - Administrator-Rolle zuweisen
- Wenn Benutzer vorhanden:
  - Erstellung überspringen (keine Duplikate)
  - Administrator-Rolle sicherstellen
Ergebnisse protokollieren

Sicherheit bei Wiederholung

Bootstrap kann mehrmals sicher ausgeführt werden:

Bestehende Benutzer werden nicht verändert
Keine duplizierten Benutzer werden erstellt
Administrator-Rolle wird sichergestellt
Passwörter werden bei der Wiederholung NICHT aktualisiert

Fehlerbehebung

Bootstrap-Admin nicht erstellt

Prüfung 1: Konfigurationssyntax überprüfen

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "RAMP",
        "Username": "admin",
        "Email": "admin@example.com",
        "Password": "Passw0rd"
      }
    ]
  }
}

Prüfung 2: Anwendungsprotokolle auf Bootstrap-Meldungen prüfen

Prüfung 3: Passwortanforderungen überprüfen (nur für RAMP-Benutzer)

Mindestens 8 Zeichen
Großbuchstaben + Kleinbuchstaben + Ziffer + Sonderzeichen

Anmeldung mit Bootstrap-Admin nicht möglich

Prüfung 1: Benutzername/Passwort überprüfen – Benutzernamen unterscheiden zwischen Groß-/Kleinschreibung, keine zusätzlichen Leerzeichen

Prüfung 2: Datenbank prüfen

SELECT * FROM Users WHERE Username = 'admin';

Prüfung 3: Rollenzuweisung überprüfen

SELECT u.Username, ur.RoleId
FROM Users u
JOIN UserRoles ur ON u.Id = ur.UserId
WHERE u.Username = 'admin';

Passwort erfüllt die Anforderungen nicht

Fehler: “Passwort muss mindestens einen Großbuchstaben enthalten”

Sicherstellen, dass das Passwort enthält:

Großbuchstaben: A–Z
Kleinbuchstaben: a–z
Ziffer: 0–9
Sonderzeichen: !@#$%^&*()
Länge: 8+ Zeichen

Beispiele gültiger Passwörter:

Passw0rd
SecurePassword1!
Bootstrap#2024

Sicherheits-Best-Practices

1. Standard-Passwort sofort ändern

Mit Bootstrap-Anmeldedaten anmelden
Zu Einstellungen -> Passwort ändern navigieren
Ein starkes, eindeutiges Passwort setzen
Sicher speichern (Passwort-Manager)

2. Bootstrap-Konfiguration nach der Ersteinrichtung entfernen

{
  "Bootstrap": {
    "Administrators": []
  }
}

Oder den gesamten Bootstrap-Abschnitt nach dem ersten Deployment löschen.

3. Starke Passwörter verwenden

Mindestens 12 Zeichen (nicht nur 8)
Mischung aus Zeichentypen
Keine häufigen Wörter/Muster
Passwortgenerator verwenden

4. Sichere Anmeldedatenspeicherung

Passwörter niemals in die Quellcodeverwaltung einchecken
Umgebungsvariablen oder Secrets-Management verwenden
Anmeldedaten nach der Ersteinrichtung rotieren

5. Anzahl der Bootstrap-Admins begrenzen

Nur die minimal benötigte Anzahl erstellen
Externe IdP-Konten gegenüber RAMP-nativen Konten bevorzugen
Individuelle Konten verwenden (keine geteilten)

6. Bootstrap-Aktionen auditieren

Audit-Protokolle nach dem Deployment prüfen:

SELECT * FROM AuditLogs
WHERE Action LIKE '%Bootstrap%'
ORDER BY Timestamp DESC;

Häufige Szenarien

Szenario 1: Erstmalige Bereitstellung

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "RAMP",
        "Username": "admin",
        "Email": "admin@yourcompany.com",
        "Password": "ChangeMe@123"
      }
    ]
  }
}

Nach dem Deployment:

Als admin anmelden
Passwort ändern
Individuelle Benutzerkonten erstellen
Bootstrap-Konfiguration entfernen

Szenario 2: OIDC + Notfallzugriff

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "OIDC",
        "Username": "john.doe@yourcompany.com",
        "Email": "john.doe@yourcompany.com"
      },
      {
        "IdentityProvider": "RAMP",
        "Username": "emergency",
        "Email": "emergency@yourcompany.com",
        "Password": "EmergencyAccess@123"
      }
    ]
  }
}

Anwendungsfall: Primärer Zugriff über OIDC, lokaler Admin bei IdP-Ausfällen.

appsettings.Development.json:

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "RAMP",
        "Username": "devadmin",
        "Email": "devadmin@localhost",
        "Password": "DevAdmin@123"
      }
    ]
  }
}

appsettings.Production.json:

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "OIDC",
        "Username": "admin@yourcompany.com",
        "Email": "admin@yourcompany.com"
      }
    ]
  }
}

Häufig gestellte Fragen

Kann ich nach der Ersteinrichtung Benutzer hinzufügen?

Ja, aber verwenden Sie die Weboberfläche (Admin -> Benutzer) statt der Bootstrap-Konfiguration. Bootstrap ist nur für die Ersteinrichtung gedacht.

Was, wenn ich das Bootstrap-Passwort vergesse?

Setzen Sie es in der Konfiguration zurück und starten Sie RAMP neu. Das bestehende Passwort wird NICHT automatisch aktualisiert – Sie müssen es über die Datenbank zurücksetzen.

Kann ich Bootstrap-Admins später entfernen?

Ja. Bootstrap-erstellte Benutzer sind reguläre Benutzer. Löschen Sie sie über Admin -> Benutzer in der Weboberfläche.

Zählen Bootstrap-Admins zu den Lizenz-Limits?

Ja. Bootstrap-Admins sind reguläre Benutzerkonten und zählen zu etwaigen Lizenz-Limits (sofern zutreffend).

Nächste Schritte

RAMP Native Authentication – Benutzername/Passwort-Anmeldung konfigurieren
MFA-Einrichtung – Multi-Faktor-Authentifizierung aktivieren
Authentifizierungsübersicht – Alle Authentifizierungsanbieter vergleichen