IDP-Gruppenzuordnungen
Externe IDP-Gruppenzuordnungen verbinden Gruppen von Ihrem Identitätsanbieter (LDAP, OIDC, Active Directory) mit RAMP-Anwendungsrollen. Wenn sich ein Benutzer, der einer zugeordneten externen Gruppe angehört, anmeldet, erhält er automatisch die zugehörigen RAMP-Rollen ohne manuelle Zuweisung.
Wie Zuordnungen funktionieren
Abschnitt betitelt „Wie Zuordnungen funktionieren“Der Zuordnungsprozess folgt diesem Ablauf:
- Ein Benutzer meldet sich über einen externen Identitätsanbieter an (LDAP, OIDC oder Windows Auth).
- RAMP liest die Gruppenmitgliedschaften des Benutzers vom Identitätsanbieter.
- RAMP prüft, ob eine dieser Gruppen RAMP-Rollen zugeordnet wurde.
- Wenn eine Übereinstimmung gefunden wird, erhält der Benutzer automatisch die zugeordneten RAMP-Rollen.
Dies bedeutet, dass die Rollenzuweisung durch die bestehende Gruppenstruktur Ihres Identitätsanbieters gesteuert wird, was die manuelle Administration reduziert.
Eine Zuordnung erstellen
Abschnitt betitelt „Eine Zuordnung erstellen“- Navigieren Sie zu Mandanten und wählen Sie dann den Mandanten aus.
- Öffnen Sie die Registerkarte Externe IDP-Zuordnungen.
- Klicken Sie auf Zuordnung hinzufügen.
- Wählen Sie die externe IDP-Gruppe aus dem Verzeichnis. Wenn das Verzeichnisdurchsuchen aktiviert ist, können Sie direkt nach Gruppen suchen. Andernfalls sehen Sie nur Gruppen von Benutzern, die sich zuvor angemeldet haben.
- Wählen Sie die zuzuweisende RAMP-Anwendungsrolle aus.
- Klicken Sie auf Speichern.
Beispielzuordnungen
Abschnitt betitelt „Beispielzuordnungen“Hier sind häufige Zuordnungsmuster:
| Externe IDP-Gruppe | RAMP-Rolle | Zweck |
|---|---|---|
RAMP-Admins | Administrator | IT-Mitarbeitern Administratorzugriff gewähren |
RAMP-Operators | GlobalInstanceExecutor | Dem Betriebsteam ermöglichen, alle Instanzen auszuführen |
RAMP-Viewers | GlobalTemplateViewer | Schreibgeschützten Zugriff auf alle Vorlagen geben |
RAMP-Template-Editors | GlobalTemplateEditor | Ingenieuren ermöglichen, alle Vorlagen zu bearbeiten |
Release-Managers | GlobalInstanceHead | Release-Managern volle Instanzkontrolle gewähren |
QA-Team | GlobalTemplateApprover | Dem QA-Team ermöglichen, Vorlagenversionen zu genehmigen |
Gruppensynchronisierung
Abschnitt betitelt „Gruppensynchronisierung“Wenn das Verzeichnisdurchsuchen für einen OIDC- oder LDAP-Anbieter aktiviert ist, kann RAMP Gruppeninformationen vom externen Anbieter synchronisieren.
Automatische Synchronisierung
Abschnitt betitelt „Automatische Synchronisierung“Gruppenmitgliedschaften werden automatisch aktualisiert, wenn sich ein Benutzer anmeldet. RAMP liest die aktuellen Gruppenmitgliedschaften des Benutzers vom Identitätsanbieter und aktualisiert den lokalen Cache entsprechend.
Manuelle Synchronisierung
Abschnitt betitelt „Manuelle Synchronisierung“So aktualisieren Sie die vollständige Gruppenliste vom Anbieter:
- Navigieren Sie zur Registerkarte Externe IDP-Gruppen des Mandanten.
- Klicken Sie auf Synchronisieren, um die neuesten Gruppen vom Identitätsanbieter abzurufen.
- Überprüfen Sie die aktualisierte Gruppenliste.
Automatische Rollenzuweisung
Abschnitt betitelt „Automatische Rollenzuweisung“Wenn eine Zuordnung vorhanden ist, ist der Rollenzuweisungsprozess vollständig automatisch:
- Benutzer meldet sich an über den zugeordneten Identitätsanbieter.
- RAMP liest Gruppen aus dem Identitätsanbieter-Token oder Verzeichnis.
- Zuordnungen werden ausgewertet, um zu bestimmen, welche RAMP-Rollen gelten.
- Rollen werden zugewiesen für die Sitzung des Benutzers.
- Benutzer sieht Inhalte basierend auf seinen effektiven Berechtigungen.
Wenn sich die Gruppenmitgliedschaft des Benutzers im externen IDP ändert (Hinzufügen zu oder Entfernen aus einer Gruppe), treten die aktualisierten Rollen beim nächsten Anmelden des Benutzers und dem Erhalt eines neuen Tokens in Kraft.
Zuordnungen bearbeiten und entfernen
Abschnitt betitelt „Zuordnungen bearbeiten und entfernen“Eine Zuordnung bearbeiten
Abschnitt betitelt „Eine Zuordnung bearbeiten“So ändern Sie die RAMP-Rolle, die einer externen Gruppe zugeordnet ist:
- Navigieren Sie zur Registerkarte Externe IDP-Zuordnungen.
- Klicken Sie auf die Zuordnung, die Sie ändern möchten.
- Ändern Sie die RAMP-Rolle.
- Klicken Sie auf Speichern.
Eine Zuordnung entfernen
Abschnitt betitelt „Eine Zuordnung entfernen“Das Entfernen einer Zuordnung stoppt die automatische Rollenzuweisung für diese externe Gruppe. Benutzer, die zuvor Rollen über die Zuordnung erhalten haben, verlieren diese Rollen bei ihrer nächsten Anmeldung.
- Navigieren Sie zur Registerkarte Externe IDP-Zuordnungen.
- Klicken Sie auf Löschen bei der Zuordnung, die Sie entfernen möchten.
- Bestätigen Sie die Löschung.
Fehlerbehebung
Abschnitt betitelt „Fehlerbehebung“Rollen werden für externe IDP-Benutzer nicht angewendet
Abschnitt betitelt „Rollen werden für externe IDP-Benutzer nicht angewendet“Wenn Benutzer aus zugeordneten Gruppen die erwarteten Rollen nicht erhalten:
- Zuordnung überprüfen — stellen Sie sicher, dass der Name der externen Gruppe genau übereinstimmt.
- Gruppenmitgliedschaft prüfen — bestätigen Sie, dass der Benutzer Mitglied der externen Gruppe beim Identitätsanbieter ist.
- Erneute Anmeldung erforderlich — Rollenänderungen erfordern ein neues Token. Bitten Sie den Benutzer, sich ab- und wieder anzumelden.
- Verzeichnisdurchsuchen prüfen — wenn der CachedOnly-Modus verwendet wird, ist die Gruppe möglicherweise erst sichtbar, wenn sich ein Mitglied angemeldet hat.
Externe Gruppen erscheinen nicht
Abschnitt betitelt „Externe Gruppen erscheinen nicht“- Hat sich der Benutzer mindestens einmal angemeldet? (Erforderlich für den CachedOnly-Modus.)
- Ist das Verzeichnisdurchsuchen für den OIDC-Anbieter aktiviert?
- Ist der Admin-API-Endpunkt korrekt konfiguriert?
- Hat der OAuth2-Client die notwendigen API-Berechtigungen?
Nächste Schritte
Abschnitt betitelt „Nächste Schritte“Nach der Konfiguration von IDP-Zuordnungen überprüfen Sie bereitgestellte Mitglieder, um zu sehen, welche externen Benutzer automatisch im Mandanten erstellt wurden.