Dies ist eine alte Version des Dokuments!
Anmeldung aus Drittsystemen
Zur Anbindung an Drittsysteme kann ein zusätzlicher JWT Endpoint genutzt werden. Hierbei ist es auch möglich, dass die Benutzeraccounts auf Ebene von EDP gar nicht vorhanden und angelegt sind.
Insbesondere bei größeren Organisationen kann dies hilfreich sein, um aus einem zentralen Drittsystem heraus die Anmeldung und Benutzerverwaltung zentral zu steuern.
Dazu muss dieser zunächst innerhalb der lokalen Konfigurationsdatei aktiviert werden. Im Nachfolgenden ist die Konfiguration beschrieben.
Konfiguration
In der edpweb.ini muss folgender Block ergänzt werden:
[JWT External] Aktiv=1 ;Angabe des Secrets für das JWT Secret=... ;Bezeichnung des Claims für den Benutzernamen FieldUsername=sub ;Bezeichnung des Claims für die Funktion FieldFunktion=funktion ;Bezeichnung des Claims für die Benutzerrolle FieldUserlevel=rolle ;Bezeichnung des Claims für das Ortsfeld (benötigt bei der Benutzerrolle abteilung) FieldOrt=ort
Innerhalb des erzeugten JWTs müssen folgende Inhalte im Claim enthalten sein:
- sub: Hier wird der Benutzername angegeben, unter dem der Benutzer in EDP angemeldet wird.
Funktion.
Die Funktion definiert den Funktionsnamen, mit dem der Benutzer in EDP Web angemeldet wird.
Benutzerrolle.
Hier muss die jeweilige Benutzerrolle angegeben werden, mit der der Benutzer in EDP Web angemeldet wird.
Üblicherweise wären das Default, Abschnitt oder Abteilung.
Weitere Informationen zu den Benutzerrollen finden Sie hier.
Ortsfeld.
Wenn der Benutzer mit der Abteilungsrolle angemeldet wird, muss hier zusätzlich noch das Ortsfeld angegeben werden.
Sprich die Filterung des Einsatzzugriffs auf einen bestimmten Bereich.
Weitere Informationen dazu finden Sie hier.
Die Gültigkeit des JWTs sollte nur wenige Sekunden betragen, da es nur einmalig für die Anmeldung genutzt wird.
Die Konfiguration dazu erfolgt auf Ebene des Drittsystems.
Zuordnung der Claims zu den Datenfeldern auf Ebene von EDP.
Die jeweiligen Felder im GWT können über die Konfiguration zugeordnet werden.
Wenn die Feldnamen die EDP erwartet, von denen des GWTs abweicht.
Bitte beachten Sie darauf, dass das Secret eine ausreichende Komplexität besitzt.
Aufruf des Endpoints
Wenn der Endpoint in der Konfiguration aktiviert wurde, ist er wie folgt erreichbar:
https://ip-adresse:port/jwt_ext?jwt=...