| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste ÜberarbeitungBeide Seiten der Revision |
| de:dfnpki:tcs:scmrollenundanmeldung [2023/09/12 17:30] – Juergen Brauckmann | de:dfnpki:tcs:scmrollenundanmeldung [2023/09/12 17:30] – Juergen Brauckmann |
|---|
| * Privilegien ''Allow ... of peer admin'' ermöglichen auf Organisationsebene u.a. das Anlegen, Modifizieren oder Löschen von weiteren RAO-Accounts durch einen RAO-Account, analog auf Department-Ebene von weiteren DRAO-Accounts durch einen DRAO-Account. DRAO-Accounts können von jedem RAO-Account aus angelegt, modifiziert und gelöscht werden. | * Privilegien ''Allow ... of peer admin'' ermöglichen auf Organisationsebene u.a. das Anlegen, Modifizieren oder Löschen von weiteren RAO-Accounts durch einen RAO-Account, analog auf Department-Ebene von weiteren DRAO-Accounts durch einen DRAO-Account. DRAO-Accounts können von jedem RAO-Account aus angelegt, modifiziert und gelöscht werden. |
| * ''Allow to manage organizations/departments'': Mit diesem Privileg darf ein RAO-Account die Organisations- und Department-Details ändern. Mit dieser Berechtigung darf ein DRAO-Account die Department-Details ändern. | * ''Allow to manage organizations/departments'': Mit diesem Privileg darf ein RAO-Account die Organisations- und Department-Details ändern. Mit dieser Berechtigung darf ein DRAO-Account die Department-Details ändern. |
| * Mit dem Privileg ''Allow DCV'' (Domain Control Validation) kann die [[de:dfnpki:tcs#domains|Domainvalidierung]] gesteuert werden. **Achtung:** Auch ohne dieses Privileg ist das Eintragen von Domains und in bestimmten Situationen auch deren unmittelbare Verwendung möglich. | * Mit dem Privileg ''Allow DCV'' (Domain Control Validation) kann die [[de:dfnpki:tcs:domains|Domainvalidierung]] gesteuert werden. **Achtung:** Auch ohne dieses Privileg ist das Eintragen von Domains und in bestimmten Situationen auch deren unmittelbare Verwendung möglich. |
| * Das Privileg ''Approve domain delegation'' ist ausschließlich MRAO-Accounts vorbehalten. | * Das Privileg ''Approve domain delegation'' ist ausschließlich MRAO-Accounts vorbehalten. |
| * ''Allow certificate revocation'': Mit diesem Privileg darf ein RAO/DRAO-Account die für diesen SCM-Account sichtbaren Zertifikate (also auf Organisations- und/oder Department-Ebene) sperren. | * ''Allow certificate revocation'': Mit diesem Privileg darf ein RAO/DRAO-Account die für diesen SCM-Account sichtbaren Zertifikate (also auf Organisations- und/oder Department-Ebene) sperren. |
| * WS-API only: Ein RAO/DRAO-Account kann auf eine ausschließliche API-Nutzung eingeschränkt werden (Privileg ''WS API use only'' im Dialog "Add New Client Admin", Menü ☰->Settings->Admins, Button "+"). Mit diesem Account kann dann ausschl. das REST-API bedient werden. Wichtig: Nach unseren Erkenntnissen sollte diese Checkbox erst nachträglich **nach** dem Ändern des Anfangspasswortes angekreuzt werden, da der neue Account sich einmal an der Web-Oberfläche anmelden muss, um sein Passwort vom Initial-Passwort zu setzen. Erst nach dem Setzen des richtigen Passworts sollte ''WS API use only'' über ☰->Settings->Admins-><Auswahl>->Edit unten im Karteireiter "Role & Privileges" angekreuzt werden. Zur Einbindung weiterer Personen mit "WS-API only"-RAO-Account legen Sie bitte zuerst einen RAO-Account an, sofern kein bestehender RAO-Account geändert werden soll, loggen sich einmal ein, um das Anfangspasswort zu ändern. Weitere Einstellungen, die unbedingt vorgenommen werden müssen, bevor das REST-API genutzt werden kann, finden sich in [[de:dfnpki:tcs#restapi|REST-API]]. | * WS-API only: Ein RAO/DRAO-Account kann auf eine ausschließliche API-Nutzung eingeschränkt werden (Privileg ''WS API use only'' im Dialog "Add New Client Admin", Menü ☰->Settings->Admins, Button "+"). Mit diesem Account kann dann ausschl. das REST-API bedient werden. Wichtig: Nach unseren Erkenntnissen sollte diese Checkbox erst nachträglich **nach** dem Ändern des Anfangspasswortes angekreuzt werden, da der neue Account sich einmal an der Web-Oberfläche anmelden muss, um sein Passwort vom Initial-Passwort zu setzen. Erst nach dem Setzen des richtigen Passworts sollte ''WS API use only'' über ☰->Settings->Admins-><Auswahl>->Edit unten im Karteireiter "Role & Privileges" angekreuzt werden. Zur Einbindung weiterer Personen mit "WS-API only"-RAO-Account legen Sie bitte zuerst einen RAO-Account an, sofern kein bestehender RAO-Account geändert werden soll, loggen sich einmal ein, um das Anfangspasswort zu ändern. Weitere Einstellungen, die unbedingt vorgenommen werden müssen, bevor das REST-API genutzt werden kann, finden sich in [[de:dfnpki:tcs:restapi|REST-API]]. |
| * E-Mail-Adressen von SCM-Admin-Accounts dürfen keine großen Buchstaben (A-Z) enthalten. Kleinschreibung (a-z) wird akzeptiert. | * E-Mail-Adressen von SCM-Admin-Accounts dürfen keine großen Buchstaben (A-Z) enthalten. Kleinschreibung (a-z) wird akzeptiert. |
| |