Konnektoren

Über Konnektoren können optionale Aspekte zum productNameAbbr hinzugefügt und für Nutzer zugänglich gemacht werden. Standardprozesse können so um hilfreiche Funktionalitäten erweitert werden oder komplett neue Aspekte können dem productNameAbbr hinzugefügt werden.

Nachfolgend finden Sie eine Liste der verfügbaren Konnektoren sowie ein kurzer Überblick über die Funktionen, die dadurch gesteuert werden.

EP-Connector (EPC)

"External-participation" Konnektor: Erlaubt das zusätzliche Beteiligen von Nutzer in Abfragen, ohne dass dies einen Account im productNameAbbr benötigen

  • Der EPC dient der Einführung des productNameAbbr in besonders großen Organisationskomplexen und stellt einen medienbruchfreien Rollout auf alle Bedarfsmelder sicher.
  • Zusätzlich erlaubt er die Einbindung von Bedarfsmelder ohne Zugang zum productNameAbbr und umgeht ein umständliches, manuelles nacherfassen von Abfragen, die beispielsweise per Mail gemeldet wurden.
  • Externe Nutzer ohne eigenen Zugang zum productNameAbbr können vom jeweiligen Fachbetreuer ein Abfrage per Mail zur laufenden Abfrage eingeladen werden. Eine Registrierung ist in diesem Szenario nicht notwendig.
  • Im Kontext dieser Abfrage können die externen Nutzer wie "normale" Nutzer als Bedarfsmelder agieren.
  • Der Zugriff funktioniert einzig über den Einladungslink und den darin enthaltenen Zugangstoken. Dieser Token ist mit der hinterlegten E-Mail-Adresse verbunden.
  • Externe Nutzer erhalten keine Übersicht über alle verfügbaren Abfragen, sollten sie gleichzeitig für mehrere Abfragen eingeladen worden sein.
  • Wird der Einladungslink an eine E-Mail-Adresse versendet, für die ein productNameAbbr-Konto angelegt ist, wird ein interner Zugriffslink erstellt. Ob der gewählte Nutzer darauf zugreifen kann, hängt nun von den normalen Mechanismen des productNameAbbr ab (aktive Bedarfsmelderrolle, teilnahmeberechtigte OE).
  • Für externe Nutzer müssen diese Faktoren nicht gegeben sein. Stattdessen gelten folgende Einschränkungen: Externe Nutzer können nur eine Teilnahme zu einer Abfrage anlegen, bearbeiten, zurückziehen und abgeben, solange die Rückmeldefrist noch nicht erreicht ist. Wurde die Teilnahme abgebrochen, kann diese nicht weiter bearbeiten werden. Ist die Rückmeldefrist noch nicht erreicht, kann eine neue Teilnahme angelegt werden. Wird die Abfrage in den Status "Auswertung" überführt, werden alle Teilnahmen (extern und intern) automatisch abgebrochen.

IO-Connector (IOC)

"Input/Output bzw I/O" Konnektor: erweitert den AI M um Import- und Exportmöglichkeiten, um Daten aus dem productNameAbbr zu extrahieren und im productNameAbbr hinzuzufügen/zu aktualisieren.

Anwendungsmöglichkeiten:

  • Daten für eine weitergehende Verarbeitung/Aufbereitung exportieren (Reports, Analysen, Präsentationen, Archivierung, u.ä.)
  • Daten in weitere Systeme überführen (z. B. zum Monitoring, Controlling u. ä.)
  • Wiederverwendung von Daten innerhalb des productNameAbbr (z. B. fertige Bedarfsverzeichnisse und Fragenkataloge)
  • Massenweise Anpassung/Verwaltung von Daten im productNameAbbr durch Export/Import-Workflows (z.B. Verwaltung der Nutzer- oder Organisationsdaten, Aufbau und Anpassung komplexer Bedarfsverzeichnisse und Fragenkatalog u. ä.)

Aktuell werden, je nach Kontext, folgende Formate unterstützt:

  • Export: CSV, Excel, PDF
  • Import: CSV, Excel

Ist der IOC auf einem System aktiviert, haben Nutzer im Admin- und Fachanwenderbereich die Möglichkeit, an den unterstützten Stelle (s. Handbuch) Daten zu exportieren und/oder zu importieren

KC-Connector (KCC)

"KeyCloak" Konnektor: erweitert den productNameAbbr um die Möglichkeit, KeyCloak als Identity-Provider (IdP) für Login- und Profil-bezogene Daten und für bestimmte Aspekte als User Access Management (UAM) System für Daten und Aktionen zur Zugriffssteuerung und erweiterten Konfiguration von Nutzer-Accounts zu verwenden

Dadurch wird u. a. ein Single-Sign-On (SSO) zwischen allen Fachanwendungen, die an den KeyCloak angeschlossen sind, ermöglicht, d. h.

  • Nutzer müssen sich nur einmal pro Session über eine der angeschlossenen Anwendungen anmelden (bzw. durch deren Weiterleitung zur Anmeldung über den KeyCloak) und ihre Anmeldesitzung wird ab dann über alle Anwendungen hinweg geteilt und es ist kein erneuter Login nötig, auch wenn zwischen den Anwendungen gewechselt wird.
  • Über den KeyCloak kann dann eine zentrale Konfiguration von Login- und Sitzungseigenschaften erfolgen (z. B. Aussteuerung von Ablaufzeiten, Sicherheitseinstellungen wie Passwort-Regeln, Mail-Account-Verifizierung, Unterstützung von Multi-Faktor-Authentifizierung/MFA usw.)
  • Ebenso wird über den KeyCloak ein zentrales Monitoring und Controlling über die aktiven Sitzungen und ein Audit über alle Account- und Sitzungs-bezogenen Aktivitäten ermöglicht.
  • Weiterhin kann durch den Einsatz von KeyCloak die Nutzerverwaltung für mehrere Fachanwendungen vereinheitlicht und durch die Zentralisierung an einer Stelle deutlich vereinfacht werden.

Mit aktiviertem KC-Connector wird KeyCloak zum führenden System, was die Nutzerdaten und bestimmte Konfigurationen von Nutzern betrifft:

  • Self-Service Nutzer-Registrierungen können dann auch über den KeyCloak erfolgen, müssen dann aber auch von der Admin-Seite über den KeyCloak für das productNameAbbr freigegeben werden (durch Zuordnung einer productNameAbbr-spezifischen Rolle vgl. unten).
  • Alle anderen administrativen Möglichkeiten (bis auf die Änderung der Mail-Adresse des Nutzer-Accounts im productNameAbbr, die ab Verknüpfung eines productNameAbbr-Accounts mit einem KeyCloak-Account nicht mehr änderbar ist) bleiben im productNameAbbr erhalten.
  • Änderungen an einem Nutzer-Account im productNameAbbr (durch einen Admin, den Nutzer selbst in seinem Profil oder einen automatischen Mechanismus), werden direkt und unmittelbar mit dem angebundenen KeyCloak-System synchronisiert.
  • Änderungen an Nutzer-Accounts des KeyCloak werden über einen konfigurierbaren Hintergrund-Job regelmäßig und automatisch mit dem productNameAbbr synchronisiert.
  • Unbekannte Nutzer-Accounts aus dem KeyCloak werden dabei dann in den productNameAbbr synchronisiert, wenn ihnen mind. 1 productNameAbbr-Rolle zugewiesen wurde (damit nicht komplette Nutzerverzeichnisse, die im KeyCloak hinterlegt sind, z. B. bei Anbindung von externen IdP im KeyCloak wie z. B. LDAP, ActiveDirectory u. ä., an den productNameAbbr übertragen werden, von denen aber nur eine begrenzte Untermenge Zugriff auf das productNameAbbr erhalten soll / benötigt)

Synchronisiert werden dabei folgende Nutzerdaten zwischen beiden System:

  • Profildaten des Nutzers (d. h. Vor-/Nachname, Telefonnummer, Benutzername, u.ä.)
  • Rollenkonfiguration des Nutzers (d. h. das Bedarfsmelder-, Beschaffer- und Admin-Zugriffslevel):
  • Nutzer-Rollen können dabei aktuell über den KeyCloak (als UAM) ausgesteuert aber nicht mit anderen Anwendungen geteilt werden. Die im productNameAbbr verwendeten/verfügbaren productNameAbbr-spezifischen Rollen werden hierfür zusätzlich zu den Nutzer-Accounts zwischen dem productNameAbbr und dem KeyCloak automatisch synchronisiert und so im KeyCloak verwendbar gemacht.

Nicht synchronisiert werden dabei folgende Nutzer-bezogenen Daten/Konfigurationen (diese Fachkonfiguration muss daher weiterhin im productNameAbbr erfolgen):

  • Die Zuordnung des Nutzers innerhalb der Orga-Struktur des productNameAbbr (Organisation und deren OE) (Die im UAM verwendete Orga-Struktur müsste für eine zukünftige Synchronisierungsmöglichkeit mit der des productNameAbbr kompatibel sein bzw. ebenso synchronisiert werden können)
  • Die Zuordnung von PK zum Account des Nutzers als "Abonnements für Produktkategorien" (für die automatische Benachrichtigung von Nutzern über die Veröffentlichung von offenen/unbeschränkten Abfragen im Kontext einer bestimmten PK im "Einzugsbereich" des Nutzers, also für die der Nutzer eine potentielle Teilnahmeberechitgung hätte, vgl. Kapitel "Zuständigkeiten" sowie Blockierende und nicht-blockierende Zuständigkeiten).(Die im UAM verwendeten PK müssten für eine zukünftige Synchronisierungsmöglichkeit mit denen des productNameAbbr kompatibel sein bzw. ebenso synchronisiert werden können.)

Als Synchronisations-Merkmal für Nutzer-Accounts zwischen KeyCloak und dem productNameAbbr wird die Mail-Adresse des Nutzer-Accounts verwendet, d. h. bisher unbekannte Nutzer in KeyCloak oder productNameAbbr werden während der Synchronisierung über ihre Mail-Adress im jeweils anderen System gesucht und, falls dort bereits existent, werden die Accounts beider System über die Mail-Adresse im productNameAbbr "verknüpft" und ihre Daten bei weiteren Synchronisierungen entsprechend im jeweiligen System aktualisiert (mit den oben beschrieben Regeln und Einschränkungen bei der Synchronisierung).

Bei/ab Aktivierung des KCC werden Nutzer-Accounts und deren Daten mit dem angebundenen KeyCloak-System wie oben beschrieben synchronisiert und können nicht mehr alleinig im productNameAbbr verwaltet werden.