Mandanten-Übersicht

RAMP unterstützt mandantenfähige Bereitstellungen, bei denen eine einzelne Installation mehrere Organisationen bedient. Jeder Mandant verfügt über vollständig isolierte Daten, Authentifizierungsanbieter und Konfiguration. Mandantenadministratoren verwalten die Infrastruktur, die diese Mandanten unterstützt, ohne auf deren Inhalte zuzugreifen.

Was ist Mandantenfähigkeit?

In einer mandantenfähigen RAMP-Bereitstellung repräsentiert jeder Mandant eine unabhängige Organisation oder Geschäftseinheit. Mandanten teilen dieselbe RAMP-Anwendung und Datenbank, sind jedoch vollständig voneinander isoliert:

• Datenisolierung — Vorlagen, Instanzen, Systeme und alle operativen Daten gehören zu einem einzigen Mandanten und sind für andere unsichtbar.
• Authentifizierungsisolierung — jeder Mandant kann seine eigenen Identitätsanbieter konfigurieren (LDAP, OIDC, Windows Auth oder RAMP Native).
• Konfigurationsisolierung — SMTP-Einstellungen, Datumsformate, Spracheinstellungen und Funktionsschalter werden pro Mandant konfiguriert.
• Benutzerisolierung — Benutzer gehören einem oder mehreren Mandanten an, und ihre Rollen und Gruppenmitgliedschaften sind auf jeden Mandanten beschränkt.

Hinweis

Die Mandantenfähigkeit muss in der Systemkonfiguration aktiviert sein (MultiTenant.Enabled = true). Wenn deaktiviert, wird RAMP als Einzelmandanten-Anwendung betrieben.

Die Rolle des Mandantenadministrators

Der TenantAdministrator ist eine spezielle Anwendungsrolle, die ausschließlich der Verwaltung der Mandanteninfrastruktur dient. Diese Rolle ist vollständig von der regulären Administratorrolle getrennt, die innerhalb eines Mandanten verwendet wird.

Was Mandantenadministratoren tun können:

• Mandanten erstellen, bearbeiten, aktivieren, deaktivieren und löschen
• Authentifizierungsanbieter pro Mandant konfigurieren
• SMTP-E-Mail-Einstellungen pro Mandant konfigurieren
• Benutzer und Gruppen innerhalb jedes Mandanten verwalten
• Anwendungsrollen Benutzern und Gruppen innerhalb von Mandanten zuweisen
• Externe Identitätsanbietergruppen auf RAMP-Rollen abbilden
• Gemeinsame Benutzer über Mandanten hinweg verwalten
• Audit-Protokolle für alle Mandantenverwaltungsaktionen einsehen

Was Mandantenadministratoren nicht tun können:

• Auf Mandanteninhalte zugreifen (Vorlagen, Instanzen, Systeme)
• Sich über die reguläre RAMP-Anmeldeseite anmelden
• Vorlagen- oder Instanzdaten in einem Mandanten ändern

Vorsicht

TenantAdministratoren verwalten ausschließlich die Infrastruktur. Sie haben keinen Einblick in operative Inhalte innerhalb eines Mandanten. Diese Trennung wird auf Autorisierungsebene durchgesetzt und kann nicht überschrieben werden.

Zugang zur Mandantenverwaltung

Die Mandantenverwaltung verwendet eine separate Anmeldeseite von der regulären RAMP-Anwendung.

1. Navigieren Sie in Ihrem Browser zu /_tenantadmin/login.
2. Melden Sie sich mit Ihren TenantAdministrator-Anmeldedaten an. Unterstützte Authentifizierungsmethoden umfassen:
   • RAMP Internal — Benutzername und Passwort
   • OIDC — wenn ein OIDC-Anbieter wie Keycloak oder Azure AD konfiguriert ist
   • LDAP — wenn ein LDAP-Verzeichnis konfiguriert ist
   • Windows Auth — wenn die integrierte Windows-Authentifizierung aktiviert ist
3. Nach erfolgreicher Authentifizierung sehen Sie das Mandantenadministrations-Dashboard mit einer Übersicht aller Mandanten.

Mandanten-Lebenszyklus

Ein Mandant durchläuft die folgenden Lebenszyklusphasen:

Einen Mandanten erstellen

Wenn Sie einen neuen Mandanten erstellen, definieren Sie die grundlegenden Einstellungen, die bestimmen, wie Benutzer darauf zugreifen.

1. Navigieren Sie zu Mandanten und klicken Sie auf Mandant erstellen.
2. Füllen Sie die erforderlichen Felder aus:
   • Name — ein Anzeigename für den Mandanten (z. B. “Acme GmbH”)
   • Slug — ein URL-sicherer Bezeichner für das Routing (z. B. “acme”)
   • Domain — eine optionale Domain für domainbasiertes Routing (z. B. “acme.ramp.beispiel.de”)
   • Beschreibung — eine optionale Beschreibung des Mandanten
3. Erstellen Sie optional einen initialen Administratorbenutzer für den Mandanten.
4. Klicken Sie auf Erstellen.

Aktiver Zustand

Nach der Erstellung ist ein Mandant standardmäßig aktiv. Aktive Mandanten ermöglichen es Benutzern, sich anzumelden und mit ihren zugewiesenen Inhalten zu arbeiten. Dies ist der normale Betriebszustand.

Einen Mandanten deaktivieren

Die Deaktivierung eines Mandanten sperrt alle Benutzeranmeldungen für diesen Mandanten. Bestehende Sitzungen können bis zu ihrem Ablauf fortgesetzt werden, aber neue Anmeldungen werden nicht mehr akzeptiert.

So deaktivieren Sie einen Mandanten:

1. Navigieren Sie zu Mandanten und klicken Sie auf den Mandanten.
2. Verwenden Sie den Status-Schalter oder klicken Sie auf die Schaltfläche Deaktivieren.

Die Deaktivierung ist reversibel. Sie können einen Mandanten jederzeit reaktivieren, indem Sie den Status zurück auf aktiv setzen.

Einen Mandanten löschen

Gefahr

Das Löschen eines Mandanten entfernt dauerhaft alle damit verbundenen Daten: Benutzer, Gruppen, Vorlagen, Instanzen, Systeme und Konfiguration. Diese Aktion kann nicht rückgängig gemacht werden.

1. Navigieren Sie zu Mandanten und klicken Sie auf den Mandanten.
2. Klicken Sie auf Löschen.
3. Bestätigen Sie, indem Sie den Mandantennamen genau wie angezeigt eingeben.
4. Klicken Sie auf Löschen bestätigen.

URL-Routing

RAMP unterstützt zwei Routing-Strategien für mandantenfähige Bereitstellungen:

Slug-basiertes Routing

Jeder Mandant wird durch seinen Slug im URL-Pfad identifiziert. Wenn ein Mandant beispielsweise den Slug acme hat, werden seine URLs mit /acme/ vorangestellt.

Domainbasiertes Routing

Wenn eine Domain für einen Mandanten konfiguriert ist, können Benutzer direkt über den Domainnamen auf diesen Mandanten zugreifen. Zum Beispiel würde acme.ramp.beispiel.de direkt zum Acme-Mandanten weiterleiten, ohne einen Slug-Präfix zu benötigen.

Tipp

Domainbasiertes Routing erfordert DNS- und Reverse-Proxy-Konfiguration außerhalb von RAMP. Stellen Sie sicher, dass Ihre Infrastruktur die konfigurierten Domains zu Ihrer RAMP-Installation weiterleitet.

Standard-Mandant

In mandantenfähigen Bereitstellungen kann ein Mandant als Standard festgelegt werden. Wenn Benutzer auf RAMP zugreifen, ohne einen Mandanten-Slug oder eine Domain anzugeben, werden sie zur Anmeldeseite des Standard-Mandanten weitergeleitet.

Nächste Schritte

Sobald ein Mandant erstellt wurde, werden Sie in der Regel:

1. Authentifizierungsanbieter konfigurieren für den Mandanten.
2. Authentifizierungsverhalten festlegen wie den Standard-IDP.
3. SMTP konfigurieren für E-Mail-Benachrichtigungen.
4. Benutzer und Gruppen erstellen innerhalb des Mandanten.
5. Externe IDP-Gruppen abbilden bei Verwendung von LDAP oder OIDC.

---

Verwandte Themen

Authentifizierungsanbieter Mandantenspezifische Authentifizierungsanbieter konfigurieren, einschließlich OIDC, LDAP und Windows Auth

Mandanteneinstellungen Mandantenname, Slug, Domain, Status und Löschung verwalten

Benutzer & Gruppen Benutzer erstellen, in Gruppen organisieren und Rollen innerhalb eines Mandanten zuweisen