Nutzerrollen per Entra ID
Seit Version 5.2.0 verfügt der OPC Router 5 über Autorisierung von Benutzern über Nutzerrollen (siehe Nutzerrollen). Microsoft Entra ID Nutzern wird automatisch die Rolle Admin zugewiesen, sofern keine Rollen für diese im Microsoft Entra Admin Center festgelegt wurde.
Anlegen der Benutzerrollen des OPC Router 5 in Entra ID
Für die folgenden Schritte wird eine Microsoft Entra ID (ehemals Azure AD) Anbindung vorrausgesetze (siehe Microsoft Entra ID anbinden).
Öffnen sie ihren Microsoft Entra ID Tenant über das Microsoft Entra Admin Center.
Das Anlegen der Nutzerrollen ist auch über das Microsoft Azure Portal möglich, das Zuweisen der Rollen ist jedoch nur im Microsoft Entra Admin Center möglich.
Navigieren Sie nun unter der Registerkarte App-Registrierungen (1) im Reiter Alle Anwendungen (2) zu ihrer Anwendungsregistrierung (3).
Um eine App-Rolle hinzuzufügen, navigieren Sie zum Reiter App-Rollen (1) und wählen Sie App-Rolle erstellen aus (2). Wählen Sie einen Anzeigenamen (3) und Benutzer/Gruppen (4) als Zulässigen Mitglidstypen aus. Unter Wert (5) tragen Sie die Rolle ein, die der Rolle im OPC Router 5 entspricht.
Als Wert (5) für Rollen sind derzeit nur Admin, Editor und Observer zulässig (siehe Nutzerrollen), jegliche andere Werte lösen zwar keine Fehler aus, verfügen aber auch über keine Berechtigungen.
Dann muss noch eine Beschreibung (6) eingetragen werden und sichergestellt werden, dass die App-Rolle aktiviert wird (7), danach kann die Rolle durch schließlich durch einen Klick auf Anwenden (8) erstellt werden.
Legen Sie auf diese Weise drei Rollen mit den Werten Admin, Editor und Observer an.
Benutzern App-Rollen zuweisen
Für die folgenden Schritte wird von angelegten Nutzerrollen für Admin, Editor und Observer ausgegangen.
Navigieren Sie im Microsoft Entra Admin Center unter der Registerkarte Unternehmensanwendungen (1) unter dem Reiter Alle Anwendungen (2) zu ihrer Anwendung (3).
Unter dem Reiter Benutzer und Gruppe (1) können sie dann Benutzern Rollen zuweisen (2).
Nutzer ohne zugewiesene Rollen fungieren weiterhin als Admin.
Veränderungen an der Rollen von Nutzern sind nicht unmittelbar. Bestehende gespeicherte Login-Tokens (gespeichert in Browsercookies) sind weiterhin mit der vorher zugewiesenen Rollen gültig, bis diese entweder gelöscht oder revalidiert werden. Durch einen Logout und darauf folgenden Login geschieht dies.
Das Zuweisen von mehreren Rollen zu einen Nutzer ist hier potentiell möglich. Dies führt nicht zu Fehlern hat zurzeit aber keinen Nutzen. Da Berechtigungen additiv sind und die jetzigen Rollen strikt hierarchisch aufgebaut sind, ist das zuweisen von mehreren Rollen äquivalent zum alleinigen zuweisen der höchsten dieser zugewiesenen Rollen.