Administration
Die “Administration”-Anwendung ermöglicht es Administratoren, ihre Benutzer, Rollen, Mandanten, Anwendungen und Regeln zu verwalten sowie eine Reihe von Einstellungen für ihr Konto zu konfigurieren.
Die “Administration”-Anwendung ermöglicht es Administratoren, ihre Benutzer, Rollen, Mandanten, Anwendungen und Regeln zu verwalten sowie eine Reihe von Einstellungen für ihr Konto zu konfigurieren.
Die folgenden Abschnitte beschreiben detailliert alle Funktionalitäten der Administration-Anwendung. Zur besseren Orientierung folgt eine Übersicht über den Inhalt dieses Dokuments.
Abschnitt | Inhalt |
---|---|
Startseite | Enthält Informationen über Kapazitätsnutzung und abonnierte Anwendungen. |
Verwalten von Benutzern | Wie Benutzer erstellt, bearbeitet, deaktiviert und gelöscht werden. |
Verwalten von Berechtigungen | Wie globale Rollen und Stammdatenrollen hinzugefügt und bearbeitet werden, wie diese Benutzern zugewiesen werden und wie man Zugriff auf Anwendungen erteilt. |
Verwalten von Anwendungen | Wie in Ihrem Cumulocity IoT-Konto abonnierte Anwendungen verwaltet und wie eigene Anwendungen verwaltet und konfiguriert werden. |
Verwalten von Geschäftsregeln | Wie Alarme durch Alarmregeln repriorisiert werden. |
Verwalten der Datenhaltung | Wie Datenhaltungsregeln für Ihre Daten konfiguriert und wie Ihre gespeicherten Daten in der Dateiablage verwaltet werden. |
Zwei-Faktor-Authentifizierung | Wie die Zwei-Faktor-Authentifizierung für einen Benutzer aktiviert/deaktiviert wird. |
Änderung von Einstellungen | Wie Kontoeinstellungen, z. B. Anwendungseinstellungen oder Authentifizierungseinstellungen, geändert, wie die Attributsbibliothek verwaltet und wie Single-Sign-On konfiguriert werden. |
Die Startseite der “Administration”-Anwendung enthält
Die Kapazitätsbereiche zeigen:
Die Benutzerverwaltungsfunktion ermöglicht es Ihnen, innerhalb Ihres Mandanten Benutzer zu verwalten. Sie bietet folgende Möglichkeiten:
Info: Für diese Funktionen muss der Benutzer eine Rolle mit den Benutzerverwaltungsberechtigungen ADMIN oder ERSTELLEN haben.
Wenn für Ihren Mandanten in Software AG Cloud die Verwendung von Single-Sign-On (SSO) konfiguriert ist, sollten neue Benutzer unter My Cloud angelegt werden, um die SSO-Funktion nutzen zu können. My Cloud kann über den Application Switcher in der oberen rechten Ecke aufgerufen werden.
Für Benutzer, die über einen externen Autorisierungsserver angelegt werden, haben die folgenden Einstellungen in Cumulocity IoT keine Auswirkung (sie werden bei der nächsten erneuten Benutzeranmeldung zurückgesetzt):
Außerdem ist das Zurücksetzen des Passworts in Cumulocity IoT für Benutzer deaktiviert, die über einen externen Autorisierungsserver angelegt wurden.
Info: Benutzer, die Single-Sign-On verwenden, können das Passwort von Benutzern, die von der Plattform verwaltet werden, nicht ändern.
Klicken Sie auf Benutzer im Menü Konto, um eine Liste aller Benutzer in Ihrem Mandanten anzuzeigen.
Es wird eine Benutzerliste angezeigt, die für jeden Benutzer die folgenden Informationen bereitstellt:
Zum Filtern der Liste können Sie das Suchfeld links in der oberen Menüleiste verwenden. Weitere Informationen zur Suchfunktionalität finden Sie unter Suchen im Abschnitt Erste Schritte.
Darüber hinaus können Sie nach globalen Rollen filtern. Wählen Sie die gewünschten Rollen aus der Auswahlliste, und klicken Sie auf Anwenden, um die angezeigten Benutzer auf solche mit den ausgewählten Rollen zu beschränken.
Standardmäßig zeigt die Seite Benutzer nur die Hauptbenutzer. Klicken Sie auf Alle ausklappen rechts in der oberen Leiste, um alle Benutzer in Ihrem Konto auf einmal anzuzeigen. Dadurch werden alle Hauptbenutzereinträge ausgeklappt, so dass auch die Unterbenutzer angezeigt werden. Klicken Sie auf Alle einklappen, um wieder nur die Hauptbenutzer anzuzeigen. Detaillierte Informationen zu Benutzerhierarchien finden Sie unter Verwalten von Benutzerhierarchien.
Info: Wenn Single-Sign-On für Ihren Mandanten aktiviert ist, werden Sie durch eine Meldung daran erinnert, dass Sie im Begriffe sind, einen lokalen Benutzer anzulegen, der sich nicht per Single-Sign-On anmelden kann. Legen Sie stattdessen in My Cloud neue Benutzer an, die über die Single-Sign-On-Funktion aktiviert werden können. My Cloud kann über den Application Switcher in der oberen rechten Ecke aufgerufen werden.
Geben Sie links im Fenster Neuer Benutzer folgende Informationen ein, um den Benutzer zu identifizieren:
Feld | Beschreibung |
---|---|
Benutzername | Benutzername, um den Benutzer am System zu identifizieren. Beachten Sie, dass dieser Name nicht mehr geändert werden kann, wenn er einmal gespeichert wurde. Diese Eingabe ist obligatorisch. |
Login alias | Zusätzlich zum Benutzernamen kann optional ein Login-Alias vergeben werden, der für die Anmeldung verwendet werden kann. Anders als der Benutzername kann der Alias bei Bedarf geändert werden. Für Geräte wird kein Benutzeralias unterstützt. |
Aktiv | Hier können Sie das Benutzerkonto aktivieren/ deaktivieren. Wenn das Benutzerkonto deaktiviert ist, kann der Benutzer sich nicht anmelden. |
Eine gültige E-Mail-Adresse. Diese ist erforderlich, um dem Benutzer zu ermöglichen, sein Passwort zurückzusetzen. Diese Eingabe ist obligatorisch. | |
Vorname | Vorname des Benutzers. Wenn der Benutzer angemeldet ist, erscheint dieser Name rechts in der oberen Leiste auf der Schaltfläche Benutzer. |
Nachname | Nachname des Benutzers. |
Telefon | Eine gültige Telefonnummer. Die Telefonnummer ist erforderlich, wenn für den Benutzer die Verwendung von Zwei-Faktor-Authentifizierung konfiguriert ist. |
Eigentümer | Ein anderer Benutzer, der diesen Benutzer "besitzt" (verwaltet). Wählen Sie einen Benutzer aus der Auswahlliste und klicken Sie auf Fertig zum Bestätigen. Detaillierte Informationen zu Benutzerhierarchien finden Sie unter Verwalten von Benutzerhierarchien. |
Delegiert von | Kann aktiviert werden, um Benutzerhierarchien und Berechtigungen an einen Benutzer zu delegieren. Weitere Informationen zum Delegieren finden Sie unter Verwalten von Benutzerhierarchien. |
Wählen Sie die Anmeldeoptionen für den Benutzer aus.
Wählen Sie auf der rechten Seite die globalen Rollen für den Benutzer. Informationen zu den globalen Rollen finden Sie unter Verwalten von Berechtigungen.
Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.
Der neue Benutzer wird der Benutzerliste hinzugefügt.
Info: Standardmäßig ist bei Benutzern, die manuell angelegt wurden, die Berechtigung “Own user management” aktiviert.
Info: Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.
Die Stammdatenrollen werden vom ausgewählten Benutzer kopiert.
Info: Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.
Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Delegieren, um Ihre Benutzerhierarchien und Berechtigungen an einen Benutzer zu delegieren.
Klicken Sie auf Delegierung aufheben, um eine Delegierung zu entfernen.
Detaillierte Informationen zum Delegieren finden Sie unter Verwalten von Benutzerhierarchien.
Info: Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.
Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Deaktivieren, um einen aktiven Benutzer zu deaktivieren, bzw. auf Aktivieren, um einen deaktivierten Benutzer wieder zu aktivieren.
Info: Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.
Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Löschen.
Info: Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.
Berechtigungen legen fest, welche Funktionen ein Benutzer in Cumulocity IoT-Anwendungen ausführen darf. Um das Verwalten von Berechtigungen zu vereinfachen, sind diese in sogenannte Rollen eingeteilt. Jedem Benutzer kann eine Reihe von Rollen zugewiesen werden, deren Berechtigungen addiert werden.
Die folgenden Rollen können zugewiesen werden:
Darüber hinaus kann der Zugriff auf Anwendungen erteilt werden.
Klicken Sie auf Rollen im Menü Konto, um die Liste der konfigurierten Rollen anzuzeigen.
In der Registerkarte Globale Rollen finden Sie die Rollen, die allgemeine Berechtigungen erteilen. Es gibt verschiedene vordefinierte globale Rollen, aber Sie können auch eigene nach Ihren Bedürfnissen erstellen.
Info: Die vordefinierten Rollen sind nicht vollständig konfiguriert. Sie können als Muster betrachtet werden, die für einen bestimmten Zweck vorkonfiguriert sind. Sie können sie als Ausgangspunkt verwenden und dann weiter an Ihre Bedürfnisse anpassen.
Achten Sie beim Anlegen eines neuen Benutzers darauf, dass die globalen Rollen, die Sie diesem zuweisen, alle Berechtigungen umfassen, die speziell für diesen Benutzer relevant sind. Wenn ein Benutzer z. B. nur die Rolle “Cockpit-Benutzer” hat (siehe unten), kann er auf nichts anderes als die Cockpit-Anwendung zugreifen.
Die Rollen “admins” und “devices” haben einen Sonderstatus:
Rolle | Beschreibung |
---|---|
admins | Alle Berechtigungen sind aktiviert. Der ursprüngliche Administrator, d.h. der erste in diesem Mandanten erstellte Benutzer, hat diese Rolle. |
devices | Typische Berechtigungskonfiguration für Geräte. Nach der Registrierung weist ein Gerät automatisch diese Rolle auf. Bearbeiten Sie diese Rolle, wenn Ihre Geräte weniger oder mehr Berechtigungen erfordern, oder weisen Sie Ihren Geräten andere Rollen zu. |
Darüber hinaus werden anfänglich die folgenden vorkonfigurierten Rollen bereitgestellt:
Rolle | Beschreibung |
---|---|
Regelmanager | Hat Zugriff auf alle Smart Rules und Echtzeitregeln. |
Cockpit-Benutzer | Hat Zugriff auf die Anwendung Cockpit. Zusätzlich sollten Sie eine Rolle hinzufügen, die Geräten Zugriff gewährt. |
Device Management-Benutzer | Hat Zugriff auf die Anwendung Device Management. Der Benutzer kann damit den Simulator nutzen und Bulk-Operationen ausführen. Zusätzlich sollten Sie eine Rolle hinzufügen, die Geräten Zugriff gewährt. |
Globaler Manager | Hat Lese- und Schreibzugriff auf alle Geräte. |
Globaler Leser | Hat Lesezugriff auf alle Geräte. |
Globaler Benutzermanager | Kann alle Benutzer verwalten. |
Geteilter Benutzermanager | Kann untergeordnete Benutzer verwalten. Um untergeordnete Benutzer verwalten zu können, muss der Abonnementplan Benutzerhierarchien einschließen. |
Mandantenmanager | Kann mandantenweite Einstellungen verwalten, z. B. eigene Anwendungen, Datenvermittlung, Datenhaltung, Optionen und Mandantenstatistiken. |
Unter Umständen werden auch die folgenden älteren Rollen angezeigt:
Rolle | Beschreibung |
---|---|
business | Hat Zugriff auf alle Geräte und deren Daten, aber hat keine Verwaltungsberechtigung für den Mandanten. |
readers | Kann alle Daten lesen (einschl. Benutzer, im Unterschied zu “Globaler Leser”). |
Klicken Sie auf Rolle hinzufügen in der Registerkarte Globale Rollen.
Auf der Seite Neue globale Rolle sehen Sie links eine Liste mit Berechtigungstypen und rechts eine Liste der Anwendungen, auf die zugegriffen werden kann.
Der folgende Screenshot zeigt die Einstellungen für die Rolle “admins”.
Berechtigungsebenen
Für jeden Typen können Sie die folgenden Berechtigungsebenen wählen:
Info: ERSTELLEN-Berechtigungen sind mit dem Eigentumskonzept in Cumulocity IoT verbunden. Wenn Sie ein Objekt erstellt haben, sind Sie der Eigentümer und können das Objekt ohne weitere Berechtigungen verwalten. Wenn Sie beispielsweise die ERSTELLEN-Berechtigung für Stammdaten haben, können Sie Geräte und Gruppen erstellen und diese vollständig verwalten. Sie können jedoch keine Geräte und Gruppen, die Sie nicht selbst erstellt haben, verwalten, ohne dafür eine AKTUALISIEREN-Berechtigung oder eine zusätzliche Stammdatenrolle zu haben (siehe unten). Diese Konzept unterstützt es, Geräten minimale Berechtigungen zuzuweisen. Es ermöglicht Ihnen auch, Benutzerverwaltungsrechte auf untergeordnete Benutzer zu beschränken, wenn Sie Benutzerhierarchien abonniert haben.
Aktivieren Sie die Checkbox oben in einer Spalte, wenn Sie die entsprechende Berechtigungsebene auf alle Berechtigungstypen anwenden möchten.
Berechtigungskategorien
Die folgenden Berechtigungskategorien sind standardmäßig verfügbar:
Kategorie | Beschreibung |
---|---|
Alarme | Anzeigen oder Bearbeiten von Alarmen. |
Anwendungsverwaltung | Anzeigen oder Bearbeiten der in diesem Konto verfügbaren Anwendungen. |
Audits | Anzeigen oder Erstellen von Audit-Logs. |
Bulk-Operationen | Anzeigen oder Erstellen von Bulk-Operationen. |
CEP management | Anzeigen oder Bearbeiten von CEP-Regeln. |
Data Broker | Senden von Daten an andere Mandanten oder Empfangen von Daten von anderen Mandanten. |
Gerätesteuerung | Anzeigen oder Bearbeiten von Kommandos für Geräte bzw. Senden von Kommandos an Geräte. Wird auch für die Geräteregistrierung verwendet. |
Ereignisse | Anzeigen oder Erstellen von Ereignissen. |
Globale Smart Rules | Konfigurieren von globalen Smart Rules. |
Identifikator | Anzeigen oder Bearbeiten von Identifikatoren für Geräte. |
Stammdaten | Anzeigen oder Bearbeiten von Stammdaten. |
Messwerte | Anzeigen oder Erstellen von Messwerten. |
Optionen | Anzeigen oder Bearbeiten von Kontooptionen wie etwa Passwortregeln. |
Datenhaltungsregeln | Anzeigen oder Bearbeiten von Datenhaltungsregeln. |
Planen von Berichten | Verwalten von Berichts-Exportplänen |
Simulator | Konfigurieren von simulierten Geräten. |
SMS | Konfigurieren von SMS. |
Mandanten | Anzeigen, Erstellen, Bearbeiten oder Löschen von Untermandanten. |
Mandantenstatistiken | Anzeigen der Nutzungsdaten für dieses Konto, wie auf der Startseite der "Administration"-Anwendung gezeigt. |
Benutzerverwaltung | Anzeigen oder Bearbeiten von Benutzern, globalen Rollen und Berechtigungen. |
Eigener Benutzer | Anzeigen oder Bearbeiten Ihres eigenen Benutzers. |
Möglicherweise werden weitere Berechtigungen angezeigt, abhängig von den Funktionalitäten in Ihrem Abonnementplan. Diese werden in Verbindung mit den jeweiligen Funktionalitäten beschrieben.
Wichtig: Werden neue Funktionen mit neuen Berechtigungen zu Cumulocity IoT hinzugefügt, so werden diese nicht automatisch zu bestehenden Rollen hinzugefügt. Sollten Sie feststellen, dass Sie eine kürzlich angekündigte Funktionalität nicht verwenden können, überprüfen Sie zunächst Ihre Berechtigungen.
Sie können Benutzern globale Rollen entweder direkt in der Benutzerliste oder auf der entsprechenden Benutzerseite zuweisen.
Klicken Sie auf die Zeile des jeweiligen Benutzers in der Benutzerliste. Aktivieren oder deaktivieren Sie auf der Benutzerseite rechts die Checkboxen für die entsprechenden globalen Rollen. Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.
Stammdatenrollen enthalten Berechtigungen, die Sie Gerätegruppen zuweisen können. Eine Stammdatenrolle kann beispielsweise die Berechtigung enthalten, ein Gerät neu zu starten. Sie können diese Stammdatenrolle einer Gruppe von Geräten, z. B. “Region Nord”, und einem Benutzer, z. B. “Schmidt”, zuweisen. Daraus resultiert, dass der Benutzer “Schmidt” alle Geräte, die in der Gruppe “Region Nord” oder einer Untergruppe enthalten sind, neu starten kann.
Um die konfigurierten Stammdatenrollen anzuzeigen, wählen Sie Rollen im Menü Konto und wechseln Sie zur Registerkarte Stammdatenrollen.
In der Registerkarte Stammdatenrollen können Sie Berechtigungen für bestimmte Gruppen und/oder deren Kinder verwalten. Es gibt verschiedene voreingestellte Stammdatenrollen, aber Sie können auch eigene Rollen nach Ihren Bedürfnissen erstellen.
Die folgenden Stammdatenrollen sind in neuen Mandanten voreingestellt:
Rolle | Beschreibung |
---|---|
Manager | Kann alle Daten des Assets lesen und alle Stammdaten verwalten, aber keine Operationen ausführen. Kann zusätzlich Stammdaten (einschließlich Dashboards) und Alarme verwalten. |
Operationen: Alle | Kann die Assets per Fernzugriff verwalten, indem er Operationen an ein Gerät sendet (z. B. Software-Updates, Fernkonfigurationen). |
Operationen: Gerät neustarten | Kann Geräte neustarten. |
Leser | Kann alle Daten des Assets lesen. |
Klicken Sie auf Rolle hinzufügen in der Registerkarte Stammdatenrollen.
Oben auf der Seite können Sie einen Namen für die Stammdatenrolle vergeben. Klicken Sie in das Feld, geben Sie einen Namen ein und klicken Sie auf das grüne Häkchen zum Speichern Ihrer Eingabe.
Die Berechtigungen sind in die folgenden Kategorien eingeteilt:
Kategorie | Beschreibung |
---|---|
Alarme | Berechtigungen für das Verwenden von Alarmen von Geräten. |
Audits | Berechtigungen für Audit-Logs. |
Ereignisse | Berechtigungen für das Arbeiten mit Ereignissen von Geräten. |
Stammdaten | Berechtigungen für das Anzeigen und Bearbeiten von Geräten. |
Messwerte | Berechtigungen für Messwerte. |
Gerätesteuerung | Berechtigungen für die Fernsteuerung von Geräten. |
Voller Zugriff | Vollständiger Zugriff auf die verbundenen Geräte, hauptsächlich zur Vereinfachung der Konfiguration. |
Info: Service Provider sehen eine weitere Berechtigung “Support” in ihrem Management Tenant. Diese Berechtigung ermöglicht es Benutzern des Service Providers, den Benutzern ihrer Kunden Support zu geben, siehe Supportbenutzerzugriff.
Fügen Sie einer Rolle eine Berechtigung hinzu, indem Sie das Plus-Symbol neben der gewünschten Kategorie klicken.
Geben Sie im Feld Typ einen Typen ein, um den Datentypen weiter einzuschränken, für den diese Berechtigung gelten soll. Zugriff wird nur auf Objekte gewährt, die den angegebenen Typ enthalten.
Nehmen wir etwa an, ihr Gerät sendet Messwerte zum Device Management, wie “c8y_SignalStrength”, sowie aktuelle Produktionsmesswerte. Sie möchten aber, dass der Benutzer nur die Device Management-Messwerte sieht. In diesem Fall geben Sie “c8ySignalStrength” als Typ ein. So kann der Benutzer nur Messwerte sehen, die den Typ “c8y_SignalStrength” enthalten. Beachten Sie, dass der Benutzer dann das gesamte Messwertobjekt, einschließlich anderer Typen, die Teil desselben Messwertobjekts sind, sehen kann.
Standardmäßig enthält das Feld Typ ein Sternsymbol *, so dass alle Typen eingeschlossen sind.
Info: Weitere Informationen zu möglichen Typen finden Sie in Ihrer Gerätedokumentation, der Sensor Library von Cumulocity IoT oder der Device Management Library. Der Typ, der hier verwendet wird, ist der sogenannte “Fragmenttyp”, nicht das “Type”-Attribut. Sie müssen alle Fragmenttypen, die in einem Messwert gesendet werden, eingeben, damit der Messwert sichtbar wird; ähnliches gilt für andere Datentypen.
Wählen Sie im Feld Berechtigung eine Berechtigungsebene aus der Auswahlliste:
Wichtig: Wenn Sie eine Berechtigung hinzufügen, erscheint möglicherweise ein kleines Ausrufungszeichen. Das Ausrufungszeichen weist darauf hin, dass die soeben hinzugefügte Rollen keine Auswirkung hat, da eine andere, “höhere” Berechtigung, die für den Benutzer gesetzt wurde, diese Berechtigung bereits umfasst. Überprüfen Sie in diesem Fall, ob Sie vollständigen Zugriff gewährt haben oder ob es im gleichen Abschnitt eine andere Berechtigung mit “*” als Typen und “Alle” als Berechtigung gibt.
Nehmen wir als weiteres Beispiel an, dass Sie Tracking-Geräte verwenden. Sie möchten, dass Ihr Benutzer alle Geräte sehen, aber nichts ändern kann. Außerdem soll der Benutzer in der Lage sein, die Wege von Geräten auf einer Karte zu verfolgen. Wege werden über ein Ereignis mit dem Fragmenttypen “c8y_Position” aufgezeichnet (siehe Sensor Library). Erteilen Sie dem Benutzer eine LESEN-Berechtigung auf Stammdaten und auf Ereignisse mit dem Typen “c8y_Position”, wie in der Abbildung unten dargestellt.
Stammdatenrollen werden einem Benutzer und einer Gerätegruppe zugewiesen.
Klicken Sie auf Benutzer im Menü Konto, wählen Sie einen Benutzer aus der Benutzerliste und wechseln Sie zur Registerkarte Stammdatenrollen.
In der Registerkarte Stammdatenrollen sehen Sie einen Baum mit Gerätegruppen. Klicken Sie auf den Pfeil rechts von einer Gruppe, um eine Stammdatenrollen zuzuweisen. Wählen Sie die gewünschten Rollen und klicken Sie auf Anwenden. Weitere Informationen zu den Rollen erhalten Sie, wenn Sie den Mauszeiger über das Info-Symbol bewegen, oder unter Anzeigen von Stammdatenrollen.
Wichtig: Wenn ein Benutzer bereits eine globale Rolle hat, die Stammdatenberechtigungen umfasst, kann der Benutzer alle Geräte sehen oder ändern, unabhängig von den hier zugewiesenen Stammdatenrollen.
Stammdatenrollen werden von Gruppen an alle ihre direkten und indirekten Untergruppen sowie die Geräte in der Gruppe vererbt. Wenn Sie etwa eine Rolle mit Leseberechtigung für Alarme für eine Gerätegruppe wählen, kann der Benutzer alle Alarme für alle Geräte in dieser Gruppe sowie in ihren Untergruppen sehen.
Wenn ein Benutzer Stammdatenzugriff für eine Gerätegruppe hat, hat er auch Zugriff auf alle Dashboards für diese Gruppe in der Cockpit-Anwendung.
Sie können auch Stammdatenrollen eines anderen Benutzers kopieren. Klicken Sie auf Stammdatenrollen eines anderen Benutzers kopieren, um Rollen zu kopieren. Wählen Sie im folgenden Fenster einen Benutzer aus und klicken Sie auf Kopieren. Oben können Sie auswählen, ob Sie die Rollen mit den vorhandenen Rollen zusammenführen möchten (Standardeinstellung), oder ob Sie die vorhandenen Rollen ersetzen möchten. Das Kopieren von Rollen erleichtert das Verwalten von Berechtigungen für viele Benutzer, da Sie einen Referenzbenutzer erstellen können, um von dort die Rollen zu kopieren.
Wenn Sie Aktionen durchführen möchten für die Sie keine ausreichende Berechtigung haben, erhalten Sie eine Fehlermeldung.
Klicken Sie für Hilfe bei der Fehlersuche auf die Schaltfläche Benutzer in der rechten oberen Leiste. Wählen Sie aus dem Kontextmenü Verweigerte Anfragen. Im darauf folgenden Fenster finden Sie Details zu den verweigerten Anfragen. Ein Administrator oder der Produkt-Support können Ihnen helfen, die Berechtigungsprobleme zu beheben.
Die Registerkarte Anwendungen zeigt eine Liste aller verfügbaren Anwendungen in Ihrem Mandanten in alphabetischer Reihenfolge.
Um dem Benutzer Anwendungen zuzuweisen, wählen Sie einfach die entsprechenden Anwendungen aus und klicken Speichern.
Weitere Informationen zur Anwendungsverwaltung finden Sie unter Verwalten von Anwendungen.
Info: Wenn ein Benutzer die globale Berechtigung hat, alle Anwendungen einzusehen, wird eine entsprechende Information angezeigt.
Audit-Logs zeigen die von Benutzern ausgeführten Operationen.
Um die Audit-Logs-Liste anzuzeigen, klicken Sie auf Audit Logs im Menü Konto. Für jeden Logeintrag werden die folgenden Informationen bereitgestellt:
Spalte | Beschreibung |
---|---|
Serverzeit | Serverzeit bei der Verarbeitung der Operation. |
Ändern | Typ der Operationen, z. B. "Alarm erstellt", "Smart Rule gelöscht". Darunter wird der Benutzer angezeigt, der die Operation verarbeitet hat. |
Beschreibung | Liefert je nach Operation weitere Informationen, z. B. Gerätename, Alarmtext, Operationsstatus. |
Gerätezeit | Gerätezeit bei der Verarbeitung der Operation. Diese kann sich von der Serverzeit unterscheiden. |
Es werden nur die letzten 100 Logeinträge angezeigt. Klicken Sie auf Mehr laden am Listenende, um weitere Logeinträge anzuzeigen.
Info: Die Audit-Logs-Liste wird nicht automatisch aktualisiert, wenn eine Echtzeitaktualisierung von Operationen erfolgt ist. Klicken Sie auf Neu laden rechts oben in der Menüleiste, um die Liste der Operationen zu aktualisieren.
Um Logeinträge leichter durchsuchen zu können, können diese gefiltert werden nach
Klicken Sie auf das Filter-Symbol neben den Filter-Eingabefeldern, um den Filter anzuwenden. Zum Aufheben von Filtern klicken Sie auf das Löschen-Symbol (wird nur angezeigt, wenn Filter gesetzt sind).
In der Cumulocity IoT-Plattform gibt es zwei Arten von Anwendungen:
Klicken Sie auf Eigene Anwendungen oder Abonnierte Anwendungen im Menü Anwendungen des Navigators, um eine Liste aller entsprechenden Anwendungen in Ihrem Konto anzuzeigen.
Zudem gibt es in Enterprise Tenants die Möglichkeit, Standardabonnements zu konfigurieren, d. h. eine Liste von Anwendungen festzulegen, die beim Anlegen standardmäßig für jeden neuen Mandanten und/oder bei einem Plattform-Upgrade für alle bestehenden Mandanten abonniert werden. Weitere Informationen finden Sie unter Standardabonnements.
Klicken Sie auf eine Anwendungskarte, um die Attribute der Anwendung anzuzeigen.
Für jede Anwendung werden die folgenden Attribute angezeigt:
Feld | Beschreibung | Web-Anwendung | Microservice | Externe Anwendung |
---|---|---|---|---|
ID | Eindeutige ID zur Identifikation der Anwendung | Automatisch generiert | Automatisch generiert | Automatisch generiert |
Name | Anwendungsname. Wird als Titel oben links auf der Anwendungsseite angezeigt und im Application Switcher verwendet. | Automatisch generiert | Automatisch generiert, basierend auf dem Namen der ZIP-Datei | Vom Benutzer vergeben |
Anwendungsschlüssel | Wird zur Identifikation der Anwendung verwendet. Wird außerdem verwendet, um die Anwendung als Abonnement zur Verfügung zu stellen, siehe Concepts Guide. | Automatisch generiert | Automatisch generiert, basierend auf dem Namen der ZIP-Datei | Vom Benutzer vergeben |
Typ | Anwendungstyp | Gehostete Anwendung | Microservice | Externe Anwendung |
Pfad | Teil der URL, die die Anwendung aufruft | Automatisch generiert | Automatisch generiert als .../service/<microservice name> | Vom Benutzer bereitgestellt. Wenn Sie beispielsweise "hallo" als Anwendungspfad verwenden, lautet die URL der Anwendung "/apps/hallo". |
Bei Anwendungen des Typs “Microservice” finden Sie zusätzlich Informationen zu dessen Version sowie zu dessen Isolationsstufe und Abrechnungsmodus. Details zu diesen Parametern siehe Enterprise Tenant > Verwalten von Mandanten > Microservice-Nutzung.
Cumulocity IoT stellt vielerlei Anwendungen für verschiedene Zwecke bereit.
Je nach Ihrer Installation und/oder Ihren optionalen Services zeigt Ihr Mandant eine Auswahl der unten genannten potenziell verfügbaren Anwendungen an.
Die Spalten enthalten folgende Informationen:
Im Standard Tenant finden Sie die folgenden Standardanwendungen:
Anwendung | Funktionalität | Name (wie in der API verwendet) | Typ |
---|---|---|---|
Administration | Gibt Konto-Administratoren die Möglichkeit, Rollen, Mandanten und Anwendungen zu verwalten. | administration | Web-Anwendung |
Apama-ctrl* | Laufzeit für Analytics Builder, EPL Apps und Smart Rules. | apama-ctrl-* (verschiedene Zeichenketten für verschiedene Größen-/Kapazitätsoptionen) | Microservice |
Streaming Analytics | Analytics Builder-Modelle und EPL-Apps (sofern aktiviert) verwalten und bearbeiten. | Streaming Analytics | Web-Anwendung |
Cockpit | Verwalten und überwachen Sie IoT-Assets und Daten aus Geschäftssicht. | cockpit | Web-Anwendung |
Device Management | Verwalten und überwachen Sie Geräte und führen Sie die Steuerung und Fehlerbehebung von Geräten per Fernzugriff durch. | devicemanagement | Web-Anwendung |
Device simulator | Simulieren Sie alle Aspekte von IoT-Geräten. | device-simulator | Microservice |
Report agent | Ermöglicht das Planen von Datenexporten aus der Cockpit-Anwendung heraus. | report-agent | Microservice |
Smart Rules | Verwenden Sie die Smart Rule Engine und erstellen Sie Smart Rules, um Aktionen anhand von Echtzeitdaten auszuführen. Erfordert eine der folgenden Anwendungen: "Cep", "Apama" | smartrule | Microservice |
Im Enterprise Tenant finden Sie die folgenden zusätzlichen Anwendungen:
Anwendung | Funktionalität | Name (wie in der API verwendet) | Typ |
---|---|---|---|
Branding | Passen Sie das Erscheinungsbild Ihrer Mandanten nach Ihren Vorlieben an. | feature-branding | Funktion |
Data Broker | Bietet die Möglichkeit, Daten gezielt mit anderen Mandanten zu teilen. | feature-broker | Funktion |
SSL-Verwaltung | Aktivieren Sie einen eigenen benutzerdefinierten Domain-Namen durch Verwendung eines SSL-Zertifikats. | sslmanagement | Microservice |
User hierarchies | Hiermit können Sie in Cumulocity IoT verschiedene Organisationen getrennt verwalten, die dieselbe Datenbank teilen. | feature-user-hierarchy | Funktion |
Anwendung | Funktionalität | Name (wie in der API verwendet) | Typ |
---|---|---|---|
Actility | Schaffen Sie eine Schnittstelle zu LoRa-Geräten über Actility ThingPark. | actility | Microservice |
Cloud Fieldbus | Erfassen Sie Daten von Fieldbus-Geräten und verwalten Sie sie per Fernzugriff in Cumulocity IoT. | feature-fieldbus4 | Funktion |
Cloud Remote Access | Implementiert Virtual Network Computing (VNC) für den Fernzugriff auf Bedienfelder und andere Geräte über einen Webbrowser. | cloud-remote-access | Microservice |
Connectivity | Schaffen Sie eine Schnittstelle zu Mobilgeräten über verschiedene SIM-Anbieter wie Jasper, Ericsson und Comarch. | connectivity-agent-server | Microservice | Microservice hosting | Hosten Sie Ihre eigenen Microservices in Cumulocity IoT. | feature-microservice-hosting | Funktion |
OPC UA | Kommunizieren Sie mit OPC UA-Servern über ein OPC UA-Geräte-Gateway. | opcua-mgmt-service | Microservice |
Sigfox | Schaffen Sie eine Schnittstelle zu Sigfox-Geräten über die Sigfox-Cloud. | sigfox-agent | Microservice |
Eigene Anwendungen können sein:
Der Name wird als Titel oben links auf der Anwendungsseite angezeigt. Er wird außerdem im Application Switcher verwendet.
Eigene Anwendungen werden unter Eigene Anwendungen im Menü Anwendungen verwaltet.
Auf der Seite Eigene Anwendungen wird eine Liste aller eigenen Anwendungen in Ihrem Konto angezeigt.
Um weitere Informationen zu der Anwendung anzuzeigen, klicken Sie einfach auf deren Karte. Weitere Informationen zu den Feldern finden Sie unter Anwendungsattribute.
Klicken Sie auf Öffnen auf der Karte einer Anwendung, um die Anwendung direkt von hier zu starten.
Klicken Sie auf Anwendung hinzufügen auf der Seite Eigene Anwendungen.
Wählen Sie im darauf folgenden Dialog eine der folgenden Methoden:
Die Anwendung wird erstellt, sobald die ZIP-Datei erfolgreich hochgeladen wurde.
Wichtig: Die ZIP-Datei muss index.html und cumulocity.json in ihrem Stammverzeichnis enthalten, andernfalls funktioniert die Anwendung nicht.
Der Microservice wird erstellt, sobald die ZIP-Datei erfolgreich hochgeladen wurde.
Wichtig: Um Microservices zur Plattform hinzuzufügen, muss die ZIP-Datei die Manifest-Datei und das Docker Image für den Microservice enthalten. Zur Vorbereitung und Bereitstellung des Microservice-Pakets lesen Sie den Abschnitt Packing unter General aspects im Microservice SDK Guide.
Weitere Informationen zu den Feldern finden Sie auch unter Anwendungsattribute.
Das Duplizieren einer Anwendung ist erforderlich, wenn Sie eine abonnierte Anwendung nach Ihren eigenen Bedürfnissen anpassen möchten. Das Duplizieren einer abonnierten Anwendung erzeugt ein entsprechendes Duplikat als eigene Anwendung mit einem Link auf die Originalanwendung.
Weitere Informationen zu den Feldern finden Sie auch unter Anwendungsattribute.
Info: Wenn Sie möchten, dass Ihre “eigene Anwendung” eine abonnierte Standardanwendung überschreibt, setzen Sie den Pfad der “eigenen Anwendung” auf den Pfad der ursprünglich abonnierten Anwendung.
Klicken Sie einfach auf die Anwendung oder auf das Menüsymbol rechts neben einem Eintrag und anschließend auf Bearbeiten.
In der Registerkarte Attribute können einige Felder bearbeitet werden, abhängig vom Typ der Anwendung.
Wichtig: Ändern Sie niemals Namen der Systemanwendungen (z. B. “Device Management”, “Cockpit”). Andernfalls schlägt die Mandanteninitialisierung fehl.
Klicken Sie auf das Menüsymbol rechts neben einem Eintrag und anschließend auf Löschen.
Wenn Sie eine Anwendung löschen, die eine abonnierte Anwendung überschreibt, wird die derzeit abonnierte Anwendung für alle Benutzer verfügbar. Die Benutzer profitieren so außerdem von zukünftigen Upgrades der abonnierten Anwendung.
Abonnierte Anwendungen können nicht gelöscht werden. Dies kann nur durch den Eigentümer der Anwendung erfolgen.
Es können mehrere Anwendungsversionen in Cumulocity IoT gespeichert werden, indem sie als ZIP- oder MON-Dateien hochgeladen werden. Jede Version wird als Archiv bezeichnet. Es können verschiedene Versionen gleichzeitig hochgeladen werden und Sie können zwischen den Versionen wechseln.
Das aktive Archiv (durch ein Cloud-Symbol gekennzeichnet) ist die Version der Anwendung, die aktuell den Benutzern Ihres Kontos zur Verfügung steht. Diese Version kann nicht gelöscht werden.
Info: Die Registerkarte Archiv steht für abonnierte Anwendungen nicht zur Verfügung, da nur der Eigentümer der Anwendung ältere Versionen wiederherstellen kann.
Benutzer können ältere Versionen einer Anwendung aus einem Archiv wiederherstellen.
Wurde eine gehostete Anwendung nicht korrekt gestartet, kann der Benutzer sie erneut aktivieren.
Die gewählte Anwendung wird erneut aktiviert, indem die entsprechenden Dateien aus dem Anwendungsverzeichnis entfernt werden und das gehostete Anwendungspaket erneut entpackt wird.
Es gibt zwei Möglichkeiten, Microservices in der Cumulocity IoT-Plattform zu überwachen.
Der Status eines Microservices kann in der Registerkarte Status der entsprechenden Anwendung überprüft werden.
Folgende Information werden in der Registerkarte Status angezeigt:
Die Statusinformation ist sowohl für abonnierte als auch für eigene Anwendungen verfügbar. Die Informationen zu den abonnierten Mandanten sind jedoch nur für den Besitzer der Anwendung sichtbar.
Um den Status sehen zu können, benötigen Sie folgende Berechtigungen: ROLE_APPLICATION_MANAGEMENT_READ and ROLE_INVENTORY_READ
Die meisten in der Registerkarte Status angezeigten Alarme und Ereignisse sind rein technische Beschreibungen dessen, was mit dem Microservice geschieht.
Es gibt zwei benutzerfreundliche Alarmtypen:
c8y_Application_Down
- kritischer Alarm, der erzeugt wird, wenn keine Microservice-Instanz verfügbar istc8y_Application_Unhealthy
- weniger wichtiger Alarm, der erzeugt wird, wenn mindestens eine Microservice-Instanz korrekt funktioniert, aber nicht alle Instanzen vollständig in Betrieb sindBenutzerfreundliche Alarme werden nur für den Microservice-Eigentümer-Mandanten erzeugt. Sie werden auch automatisch gelöscht, wenn der Normalzustand wiederhergestellt ist, d. h., wenn alle Microservice-Instanzen korrekt funktionieren.
Benutzerfreundliche Alarme können zum Erstellen von Smart Rules verwendet werden. Weitere Informationen zum Erstellen verschiedener Arten von Smart Rules finden Sie unter Smart Rules.
Soll zum Beispiel eine E-Mail gesendet werden, wenn ein Microservice außer Betrieb ist, erstellen Sie eine Smart Rule “Bei Alarm E-Mail senden”.
Verwenden Sie im Bereich Bei Alarm vom Typ den Alarmtyp c8y_Application_Down
. Wählen Sie als Ziel-Asset den Microservice, den Sie überwachen möchten, z. B. “echo-agent-server”.
Cumulocity IoT ermöglicht das Anzeigen von Logdaten, die weitere Informationen zum Status von Microservices liefern.
Um Logdaten anzuzeigen, öffnen Sie die Registerkarte Logdaten des jeweiligen Microservice.
Links oben auf der Seite können Sie die Microservice-Instanz auswählen, für die Sie Logdaten anzeigen möchten.
Info: Falls Ihr Microservice in zwei Instanzen aufgeteilt wurde, können Sie zwar zwischen diesen wechseln, es ist jedoch nicht möglich, die Logdaten beider Instanzen gleichzeitig anzuzeigen.
Neben der Instanz-Auswahlliste können Sie das Zeitintervall wählen, in dem die Logeinträge angezeigt werden sollen, indem Sie ein Datum im Kalender auswählen und eine Uhrzeit eingeben.
Info: Die hier eingegebene Uhrzeit kann sich aufgrund unterschiedlicher Zeitzonen von der Uhrzeit des Servers unterscheiden.
Rechts oben stehen weitere Funktionalitäten zur Verfügung:
Anfänglich werden auf der Registerkarte Logdaten der ausgewählten Microservice-Instanz die neuesten Logdaten angezeigt.
Rechts unten finden Sie die folgenden Navigationsschaltflächen:
Wenn im ausgewählten Zeitintervall keine Logdaten verfügbar sind, wird eine entsprechende Meldung angezeigt:
Info: Es gibt keine Möglichkeit, die Logdaten der zuvor ausgeführten Instanzen anzuzeigen. Allerdings wird in jeder Instanz ein Docker-Container ausgeführt, und wenn nur dieser (nicht die gesamte Instanz) neu gestartet wurde, sollten die Logdaten des aktuell aktiven sowie des kürzlich beendeten Docker-Containers angezeigt werden.
Logdaten werden aus dem Docker-Container immer mittels der beiden Quellen
stdout
undstderr
geladen und es gibt keine Möglichkeit, nach der Quelle zu unterscheiden bzw. zu filtern.
Alarmregeln ermöglichen es, den Schweregrad und Text von Alarmen zu ändern, um diese den Prioritäten Ihres Unternehmens anzupassen. Der Abbruch einer Verbindung wird beispielsweise standardmäßig als WICHTIG eingestuft, kann aber in Ihrem Fall KRITISCH sein. Daher können Sie eine Alarmregel definieren, die Alarme im Zusammenhang mit Verbindungsabbrüchen als KRITISCH einstuft.
Klicken Sie auf Alarmregeln im Menü Geschäftsregeln, um eine Liste aller Alarmregeln anzuzeigen.
Zu jeder Alarmregel werden der Alarmschweregrad, der Alarmtyp und eine Beschreibung (optional) angezeigt.
Info: Der in einer Alarmregel festgelegte Alarmtyp wird als "<type>*" interpretiert. Wenn Sie beispielsweise eine Alarmregel erstellen, die Alarme des Typs "crit-alarm" adressieren sollen, gilt die Regel für jeden Alarmtyp, der mit diesem Wert beginnt, z. B. "crit-alarm-1", "crit-alarm-2" oder "crit-alarm-xyz".
Um Alarmregeln zu bearbeiten, klappen Sie diese aus. Sie können die Beschreibung und den Alarmschweregrad ändern. Der Alarmtyp ist nicht editierbar.
Zum Löschen einer Alarmregel bewegen Sie den Mauszeiger darüber und klicken Sie auf das Löschen-Symbol.
Mit Datenhaltungsregeln können Sie steuern, wie lange Daten in Ihrem Konto gespeichert bleiben. Standardmäßig werden alle historischen Daten nach 60 Tagen gelöscht (konfigurierbar in den Systemeinstellungen).
Vielleicht möchten Sie jedoch Messwerte 90 Tage speichern, Alarme aber bereits nach 10 Tagen löschen.
Datenhaltungsregeln werden üblicherweise während der Nacht ausgeführt. Wenn Sie eine Datenhaltungsregel bearbeiten, sehen Sie daher keine unmittelbare Auswirkung in der Nutzung, die auf der Startseite der Anwendung angezeigt wird.
Klicken Sie auf Datenhaltungsregeln im Menü Verwaltung, um eine Liste aller Datenhaltungsregeln in Ihrem Konto anzuzeigen.
Für jede Regel wird der Name, Details zu den Daten, die gelöscht werden sollen (Fragmenttyp, Typ und Quelle, siehe unten) und die maximale Anzahl an Tagen angezeigt.
Das Sternsymbol ("*") zeigt an, dass alle Daten, unabhängig vom jeweiligen Wert, entfernt werden.
Die Datenhaltungsregel wird zu den Berichtsdetails hinzugefügt.
Info: Standardmäßig ist in allen Feldern außer im Feld Maximales Alter ein Sternsymbol ("*") gesetzt, um alle Werte einzuschließen.
Info: Alarme werden nur entfernt, wenn sie den Status AUFGEHOBEN aufweisen.
Klicken Sie einfach auf die Zeile der zu bearbeitenden Regel oder auf das Menüsymbol rechts neben der jeweiligen Zeile und danach auf Bearbeiten.
Weitere Informationen zu den Feldern finden Sie unter So fügen Sie eine Datenhaltungsregel hinzu.
Bewegen Sie die Maus über die Regel, die Sie löschen möchten, und klicken Sie rechts auf das Löschen-Symbol.
Info: Alle Datenhaltungsregeln werden sequenziell und unabhängig voneinander ausgeführt. Wenn es zwei Datenhaltungsregeln gibt, von denen eine spezifischere mit einem höheren maximalen Alter eine Untermenge von den Dokumenten definiert, die durch eine allgemeinere Regel mit einem niedrigeren maximalen Alter definiert werden, wird alles so abgearbeitet, als gäbe es nur eine einzige, allgemeinere Regel.
Betrachtet man beispielsweise die beiden folgenden Regeln:
Alle Messwerte vom Typ
c8y_Temperature
, die älter als 30 Tage sind, werden entfernt, einschließlich der Messwerte, bei denen die Quelle12345
entspricht.Wenn jedoch die folgenden Datenhaltungsregeln definiert wurden:
Der Datenhaltungsprozess entfernt alle Messwerte vom Typ
c8y_Temperature
, die älter als 30 Tage sind. Alle anderen Messwerte werden erst entfernt, wenn sie älter als 60 Tage sind.
Info: Der Quellparameter ist die ID des Geräts. Wenn dieser definiert ist, entfernt der Datenhaltungsprozess nur die Dokumente, die direkt mit dem durch die Quelle dargestellten Gerät verbunden sind, nicht jedoch die der Kinder oder zugehörigen Gruppen.
Die Dateiablage bietet einen Überblick über die Dateien, die in Ihrem Konto gespeichert sind.
Klicken Sie auf Dateiablage im Menü Verwaltung, um eine Liste aller Dateien anzuzeigen.
Die angezeigten Dateien können aus verschiedenen Quellen stammen. Es kann sich um Software Images, Konfigurationssnapshots von Geräten, Logdateien von Geräten oder um Webanwendungen, die auf der Seite Eigene Anwendungen hochgeladen wurden, handeln.
Für jede Datei wird der Name, sein Eigentümer, der Dateityp (z. B. image/bmp, text/csv), die Dateigröße und das Datum der letzten Aktualisierung angezeigt.
Klicken Sie auf Datei hochladen in der oberen Menüleiste.
Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Herunterladen.
Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Löschen.
Info: Wenn die Datei einer aktiven Anwendung entspricht, kann sie nicht gelöscht werden. Sie müssen die Anwendung erst entfernen oder ein Update ausführen, um die Datei löschen zu können.
Die Zwei-Faktor-Authentifizierung (TFA, two-factor authentication) ist eine zusätzliche Sicherheitsebene, mit der eine Authentifizierung nur durch eine Kombination von zwei verschiedenen Faktoren möglich ist: etwas, was die Benutzer wissen (Benutzername und Passwort), und etwas, was sie haben (z. B. Smartphone) oder sind (z. B. Fingerabdruck). Näheres zum Konfigurieren der TFA erfahren Sie im Abschnitt zum Thema Authentifizierungseinstellungen.
Es gibt zwei mögliche TFA-Strategien: SMS und TOTP. Es kann immer nur eine von beiden aktiv sein.
Ob TFA für einen bestimmten Benutzer aktiviert ist, können Sie überprüfen, indem Sie die Seite Benutzer aufrufen und in der Spalte “TFA-Status” rechts neben der Spalte “Passwortstärke” nachsehen. Ein Schlüsselsymbol bedeutet, dass TFA aktiviert ist, und indem Sie den Mauszeiger darüber bewegen, können Sie sehen, welche Strategie verwendet wird.
Wenn Sie einen Benutzer hinzufügen und TFA aktiviert ist, muss eine Mobiltelefonnummer angegeben werden. Ohne gültige Telefonnummer ist eine Anmeldung nicht möglich.
Info: Dieser Prozess kann nur über die “Administration”-Anwendung ausgeführt werden und ist unter Benutzereinstellungen nicht verfügbar.
Benutzer müssen auf ihrem Smartphone eine TOTP-Anwendung installieren (Google Authenticator wird empfohlen), die sowohl im App Store als auch im Play Store kostenlos erhältlich ist.
Anders als bei der SMS-Strategie muss TOTP von jedem einzelnen Benutzer eingerichtet werden. Das Einrichten kann durch Öffnen von Benutzereinstellungen in der oberen rechten Ecke und Klicken auf Zweifaktor-Authentifizierung einrichten gestartet werden.
Wenn TFA aktiviert ist, wird dem Benutzer ein QR-Code angezeigt, den er mit der zuvor installierten TOTP-App scannen muss.
Alternativ kann das Secret auch manuell eingegeben werden, falls das Scannen des QR-Codes nicht möglich ist.
Nach diesem Vorgang generiert die TOTP-App alle 30 Sekunden einen neuen Code, der zum Abschließen des Authentifizierungsprozesses verwendet werden kann.
Info: Wenngleich die Einrichtung von jedem einzelnen Benutzer vorgenommen werden muss, kann das Zurücksetzen des Secrets nur durch einen Benutzer mit der Berechtigung “Benutzerverwaltung ADMIN” in der “Administration”-Anwendung erfolgen. Wenn der Benutzer also sein Smartphone verliert oder die App deinstalliert, muss er einen Benutzer mit genau dieser Berechtigung kontaktieren.
Zum Zurücksetzen des Schlüssels führen Sie folgende Schritte durch:
Im Menü Einstellungen können Administratoren verschiedene Einstellungen des Kontos verwalten:
Klicken Sie auf Authentifizierung im Menü Einstellungen, wenn Sie die Anmelde- oder TFA-Einstellungen ändern möchten.
Info: Wenn das Menü nicht sichtbar ist, stellen Sie sicher, dass der Benutzer eine der folgenden Rollen hat:
ROLE_TENANT_ADMIN
oderROLE_TENANT_MANAGEMENT_ADMIN
.
Im Feld Bevorzugter Login-Modus können Sie eine der folgenden Optionen wählen:
Dieser Anmeldemodus wird von den Anwendungen der Plattform als Standardmethode zum Authentifizieren von Benutzern verwendet. Die Geräteauthentifizierung bleibt unverändert.
Im Feld Passwortgültigkeit begrenzen für können Sie die Gültigkeit von Benutzerpasswörtern beschränken, indem Sie die Anzahl der Tage eingeben, nach der Benutzer ihre Passwörter ändern müssen. Wenn Sie keine Passwortänderung erzwingen möchten, verwenden Sie “0” für die uneingeschränkte Gültigkeit von Passwörtern (Standardwert).
Info: Passwortbeschränkung und das Erzwingen starker Passörter sind möglicherweise nicht editierbar, falls vom Plattformadministrator so konfiguriert.
Info: Die Begrenzung der Passwort-Gültigkeitsdauer gilt für Benutzer mit der Rolle “devices”. Sie verhindert, dass Gerätepasswörter ablaufen.
Standardmäßig können Benutzer jedes Passwort verwenden, das 8 Zeichen oder mehr enthält. Wenn Sie Nur starke (grüne) Passwörter zulassen auswählen, müssen die Benutzer starke Passwörter verwenden, wie unter Erste Schritte > Aufrufen und Anmelden an der Cumulocity IoT-Plattform beschrieben.
Starke (grüne) Passwörter müssen “M” Zeichen haben. Die Verwendung bereits früher genutzter Passwörter wird standardmäßig eingeschränkt. Das System merkt sich die letzten “N” von einem Benutzer bereitgestellten Passwörter und erlaubt nicht, diese zu verwenden. Der Standardwert für “N” ist 10.
Info: “M” und “N” können vom Plattform-Administrator konfiguriert werden.
Klicken Sie auf Speichern, um Ihre Einstellungen anzuwenden.
Wichtig: Immer wenn Sie den Anmeldemodus ändern, werden Sie gezwungen, sich abzumelden. Andere Benutzer müssen sich ab- und wieder anmelden, damit die Änderung angewendet wird.
Aktivieren Sie die Checkbox Zwei-Faktor-Authentifizierung zulassen, wenn TFA bei Ihrem Mandanten zulässig sein soll (nur für Administratoren möglich).
Sie können eine der folgenden Optionen wählen:
SMS-basiert: unterstützt die folgenden Einstellungen:
Info: Für den Mandanten muss ein SMS-Gateway-Microservice konfiguriert werden. Es versteht sich von selbst, dass nur Benutzer, denen eine gültige Telefonnummer zugewiesen ist, diese Funktionalität nutzen können.
Google Authenticator (zeitabhängiges Einmal-Passwort = TOTP) zur Unterstützung der folgenden Einstellung:
Info: Die TOTP-Methode ist nur im Anmeldemodus “OAuth Internal” verfügbar.
Klicken Sie auf TFA-Einstellungen speichern, um Ihre Einstellungen zu speichern.
Wichtig: Immer wenn Sie die TFA-Methode ändern, werden Sie gezwungen, sich abzumelden. TFA-Einstellungen der Benutzer werden gelöscht und müssen erneut konfiguriert werden.
Info: Benutzer mit der Rolle “devices” sind von TFA und TOTP ausgeschlossen. Dies gilt auch dann, wenn TOTP für alle Benutzer erzwungen wird.
Cumulocity IoT OAuth Internal basiert auf JWT, das in einem Browser-Cookie gespeichert wird. Es unterstützt jedoch keine Aktualisierung und der Benutzer muss sich nach Ablauf der Gültigkeitsdauer des Tokens erneut anmelden.
Die Lebensdauer ist für Tokens wie auch für Cookies über Mandantenoptionen konfigurierbar, die der Kategorie oauth.internal
angehören.
Die Standard-Gültigkeitsdauer des Tokens beträgt zwei Wochen und dies kann mit Mandantenoptionen geändert werden:
oauth.internal
;basic-token.lifespan.seconds
;Der minimal zulässige Wert ist 5 Minuten.
Cookies zum Speichern eines Tokens in einem Browser haben eine eigene Gültigkeitsdauer, die mit Mandantenoptionen geändert werden kann:
oauth.internal
;basic-user.cookie.lifespan.seconds
;Der Standardwert ist zwei Wochen. Es kann auch ein beliebiger negativer Wert eingestellt werden, so dass das Cookie gelöscht wird, wenn der Benutzer den Browser schließt.
Weitere Informationen finden Sie unter Tenant API in Cumulocity IoT OpenAPI Specification.
Info: Falls die externe Kommunikation zum Management Tenanten blockiert wurde, kann nur auf sichere Weise auf den Mandanten zugegriffen werden (z. B. über SSH-Tunnel). Dies bedeutet, dass Sie ebenso gut die Basisauthentifizierung verwenden können. Darüber hinaus ist es nicht möglich, die OAuth-Authentifizierung zu verwenden, da die vom externen Autorisierungsserver kommende Kommunikation ebenfalls blockiert ist. Daher wird automatisch die Authentifizierungsmethode “Basisauthentifizierung” eingestellt, wenn der Management Tenant für das Blockieren der externen Kommunikation konfiguriert ist.
Cumulocity IoT bietet Single-Sign-On-Funktionalität, die es dem Anwender ermöglicht, sich mit einem einzigen 3rd-Party-Autorisierungsserver über ein OAuth2-Protokoll, beispielsweise Azure Active Directory, anzumelden. Aktuell wird die Vergabe von Autorisierungscodes nur mit Access Tokens im JWT-Format unterstützt.
Info: Die Single-Sign-On-Funktionalität verwendet Cookies-Technologien. Sie kann nur genutzt werden, wenn Cookies in den Einstellungen Ihres Browsers zugelassen sind.
Die Single-Sign-On-Funktionalität wurde mit der Cumulocity IoT-Version 10.4.6. aktiviert. Microservices müssen mit dem Microservice SDK der Version 10.4.6 oder höher erstellt sein, um korrektes Funktionieren zu gewährleisten.
Bevor Sie zur Single-Sign-On-Option wechseln, stellen Sie sicher, dass:
Info: Um die Single-Sign-On-Funktion für Enterprise Tenants nutzen zu können, muss die Enterprise-Domain in den Grundeinstellungen als Redirect-URI festgelegt sein. Sofern bei Single-Sign-On-Anbietern eine Liste der zulässigen Domains besteht, sollte die Enterprise-Domain dieser Liste hinzugefügt werden.
Um die Single-Sign-On-Funktionalität zu aktivieren, muss der Administrator eine Verbindung zum Autorisierungsserver konfigurieren. Diese erfolgt in der “Administration”-Anwendung.
Klicken Sie auf Single-Sign-On im Menü Einstellungen im Navigator.
Links oben können Sie eine Vorlage auswählen. Diese wirkt sich auf das Layout der Seite aus. Die Standardvorlage “Benutzerdefiniert” ermöglicht eine sehr detaillierte Konfiguration mit nahezu jedem Autorisierungsserver, der die Vergabe von OAuth2-Autorisierungscodes unterstützt. Andere Vorlagen bieten vereinfachte Ansichten bekannter und unterstützter Autorisierungsserver. Im Folgenden wird erklärt, wie Sie die benutzerdefinierte Vorlage verwenden, sowie eine Vorlage für das Azure Active Directory vorgestellt.
Da das OAuth-Protokoll auf der Ausführung von HTTP-Anfragen und -Redirects basiert, wird eine generische Anfragekonfiguration bereitgestellt.
Der erste Teil der Single-Sign-On-Seite besteht aus der Anfragekonfiguration. Hier werden die Anfrage-Adresse, Anfrageparameter, Kopfzeile sowie Body von Token- und Refresh-Anfragen konfiguriert. Die Autorisierungsmethode wird von POST-Anfragen als GET-, Token- und Refresh-Anfrage ausgeführt.
Info: Beachten Sie, dass das Text-Feld jeder Anfrage nach dem Ausfüllen der Platzhalter mit Werten in unveränderter Form in der Anfrage versendet wird. Es wird also nicht von Cumulocity IoT kodiert. Viele Autorisierungsserver verlangen, dass Werte im Text URL-kodiert (x-form-urlencoded) sind. Dies kann dadurch erreicht werden, dass bereits kodierte Werte in ein Text-Feld eingegeben werden.
Eine Abmeldeanfrage kann optional festgelegt werden. Sie führt ein Front-Channel Single Logout aus. Wenn diese Option konfiguriert ist, wird der Benutzer nach dem Abmelden aus Cumulocity IoT zur festgelegten Abmelde-URL des Autorisierungsservers weitergeleitet.
Der Bereich Grundeinstellungen der Single-Sign-On-Seite besteht aus den folgenden Konfigurationseinstellungen:
Feld | Beschreibung |
---|---|
Redirect-URI | Redirect-Parameter. Kann in Anfragedefinitionen als ${redirectUri}-Platzhalter verwendet werden. |
Client-ID | Client-ID der OAuth-Verbindung. Kann in Anfragedefinitionen als ${clientId}-Platzhalter verwendet werden. |
Name der Schaltfläche | Name auf der Schaltfläche auf der Anmeldeseite |
Issuer | OAuth-Token-Issuer |
Anbietername | Name des Anbieters |
Sichtbar auf der Anmeldeseite | Legt fest, ob die Anmeldeoption sichtbar sein soll |
Audience | Erwarteter “aud”-Parameter des JWT |
Gruppe | Gruppe, der der Benutzer beim ersten Anmelden zugeordnet wird (ab Version 9.20 ersetzt durch dynamische Rechtezuordnung, siehe unten) |
Anwendungen | Anwendungen, die dem Benutzer beim ersten Anmelden zugewiesen werden (ab Version 9.20 ersetzt durch dynamische Rechtezuordnung, siehe unten) |
Jedes Mal, wenn ein Benutzer sich anmeldet, wird der Inhalt des Access Tokens verifiziert und dient als Basis für den Benutzerzugang zur Cumulocity IoT-Plattform. Der folgende Abschnitt beschreibt die Zuordnung zwischen JWT-Claims und dem Zugang zur Plattform.
Wenn ein Benutzer versucht sich anzumelden, sieht der dekodierte JWT-Claim für das oben abgebildete Beispiel folgendermaßen aus:
{
...
"user": "john.wick",
...
}
Dem Benutzer werden die globale Rolle “business” und die Standardanwendung “cockpit” zugewiesen.
Falls keine Rechtezuordnung dem Benutzerzugriff-Token entspricht, erhält der Benutzer beim Versuch sich anzumelden eine “Zugriff verweigert”-Meldung. Dies geschieht auch, wenn keine Rechtezuordnung definiert ist, was dazu führt, dass sich sämtliche Benutzer nicht über SSO anmelden können.
Klicken Sie auf Rechtezuordnung hinzufügen, um weitere Berechtigungen zu vergeben. Eine Rechtezuordnungsanweisung kann mehrere Überprüfungen enthalten, wie im Beispiel unten. Klicken Sie auf und, um eine Regel zu einer vorhandenen Anweisung hinzuzufügen. Klicken Sie auf das Minus-Symbol, um eine Regel zu entfernen.
Von jeder passenden Rechtezuordnung werden dem Benutzer neue Rollen hinzugefügt. Wenn eine Rechtezuordnungsanweisung die Rolle “admin” und eine andere die Rolle “business” zuweist und beide die definierten Bedingungen erfüllen, erhält der Benutzer Zugriff auf die globalen Rollen “business” und “admin”.
Mit “=” als Operator können Sie Platzhalter im Feld Wert verwenden. Der unterstützte Platzhalter ist das Sternsymbol (*), das null oder mehr Zeichen entspricht. Wenn Sie beispielsweise “cur*” eingeben, entspricht dies den Zeichenketten “cur”, “curiosity”, “cursor” und allen anderen, die mit “cur” beginnen. “f*n” entspricht den Zeichenketten “fn”, “fission”, “falcon” und allen anderen, die mit “f” beginnen und mit “n” enden.
Soll der Platzhalter dem Sternsymbol selbst entsprechen, muss dieses durch Hinzufügen eines umgekehrten Schrägstrichs (\) geschützt werden. Um zum Beispiel eine genaue Übereinstimmung mit der Zeichenkette “Lorem*ipsum” zu erzielen, muss der Wert “Lorem\*ipsum” lauten.
In diesem Fall sieht der JWT-Claim folgendermaßen aus:
{
...
"user": {
"type": "human"
},
"role": [
"ADMIN"
],
...
}
Wie Sie sehen, besteht durch den “in”-Operator die Möglichkeit, zu verifizieren, ob ein Wert in einer Liste vorhanden ist. Werte können außerdem in andere Objekte eingebettet sein. Ein Punkt (".") im Schlüssel indiziert, dass es sich um ein eingebettetes Objekt handelt.
Wenn der Benutzer sich mit einem Access Token anmeldet, kann der Benutzername aus einem JWT-Claim abgeleitet werden. Der Name des Claims kann unter Benutzer-ID konfiguriert werden.
Danach kann das Benutzerdaten-Mapping konfiguriert werden:
Beim Benutzer-Login können Benutzerdaten wie Vorname, Nachname, E-Mail-Adresse und Telefonnummer auch von JWT-Claims abgeleitet werden. Jedes Feld repräsentiert den Claim-Namen, der zum Abrufen der Daten von JWT verwendet wird. Die Konfiguration des Benutzerdaten-Mappings ist optional und als Admin-Manager können Sie nur die erforderlichen Felder verwenden. Falls die Konfiguration leer ist oder der Claim-Name im JWT-Token nicht gefunden werden kann, werden die Werte in den Benutzerdaten als leer festgelegt.
Mapping für Alias ist nicht verfügbar, da es im Kontext von Single-Sign-On nicht verwendet wird.
Jedes Access Token wird durch ein Signing-Zertifikat signiert. Aktuell gibt es drei Möglichkeiten, die Signing-Zertifikate zu konfigurieren.
Info: Cumulocity IoT unterstützt nur Zertifikate mit RSA-Schlüssel, entweder in Form eines (“n”, “e”)-Parameter-Paars oder in Form einer “x5c”-Zertifikatskette. Andere Schlüsseltypen (zum Beispiel Elliptic-Curves) werden nicht unterstützt.
In einigen Feldern können Sie Platzhalter verwenden, die während der Laufzeit von Cumulocity IoT aufgelöst werden. Folgende Platzhalter sind verfügbar:
Platzhalter | Beschreibung |
---|---|
clientId | Wert des Felds Client-ID |
redirectUri | Wert des Felds Redirect-URI |
code | Wert, der vom Autorisierungsserver als Antwort auf die Autorisierungsanfrage zurückgegeben wird |
refreshToken | Refresh-Token, das vom Autorisierungsserver nach einer Token-Anfrage zurückgegeben wird |
Diese Platzhalter können in Autorisierungsanfragen, Token-Anfragen, Refresh-Anfragen und Abmeldeanfragen in folgenden Feldern verwendet werden: URL, Text, Kopfzeilen und Anfrageparameter
Um in einem Feld einen Platzhalter zu verwenden, schließen Sie diesen mit vorangehendem Dollarzeichen in geschweifte Klammern ein:
Platzhalter können auch als Textteile verwendet werden:
Platzhalter werden nicht auf Korrektheit geprüft. Jeder nicht erkannte oder falsch geschriebene Platzhalter wird im Text unverarbeitet gelassen.
Die Integration wurde erfolgreich mit Azure AD getestet. Die Konfigurationsschritte finden Sie unter https://docs.microsoft.com/de-de/azure/active-directory/develop/v1-protocols-oauth-code.
Verwenden Sie beim Konfigurieren Ihres Azure AD Ihre vollständige Domain-Adresse als Redirect-URI. In diesem Dokument verwenden wir beispielhaft “http://documentation.cumulocity.com/tenant/oauth”. Die Redirect-URI muss für eine Webanwendung und nicht für eine Einzelseitenanwendung festgelegt sein. In Azure AD sind keine weiteren Schritte erforderlich.
Wenn die Vorlage “Azure AD” ausgewählt ist, sehen die Grundeinstellungen in etwa folgendermaßen aus:
Feld | Beschreibung |
---|---|
Azure AD-Adresse | Adresse Ihres Azure AD-Mandanten |
Mandant | Name des Azure AD-Mandanten |
Anwendungs-ID | Anwendungs-ID |
Redirect-URI | Adresse Ihres Cumulocity IoT-Mandanten, gefolgt von /tenant/oauth |
Client-Secret | Azure AD-Client-Secret, falls vorhanden |
Name der Schaltfläche | Name der Schaltfläche |
Token-Issuer | Token-Issuer-Wert im Format einer HTTP-Adresse |
Optional kann Single Logout konfiguriert werden:
Feld | Beschreibung |
---|---|
Nach Abmeldung weiterleiten | Aktiviert Single Logout, indem der Benutzer nach dem Abmelden zum Abmelde-Endpunkt des Autorisierungsservers weitergeleitet wird. |
Redirect-URL | Adresse, an die der Benutzer weitergeleitet werden soll, nachdem er sich vom Autorisierungsserver erfolgreich abgemeldet hat. |
Der zweite Teil der Seite sieht genauso aus wie im Fall der benutzerdefinierten Vorlage und ermöglicht die Konfiguration der Rechtezuordnung, des Benutzerdaten-Mappings, der Benutzer-ID und der Signaturverifizierung.
Es kann besonders hilfreich sein, den Inhalt des an die Plattform gesendeten Autorisierungs-Tokens zu überprüfen, da einige seiner Felder die Informationen enthalten, die für die oben beschriebene korrekte Konfiguration benötigt werden.
In der “Administration-Anwendung” können Sie nach Klicken auf Konten > Audit-Logs nach der Kategorie “Single-Sign-On” filtern und nach den Einträgen “Json web token claims” suchen.
Die Kontexte des Tokens werden im JSON-Format dargestellt.
Klicken Sie auf Anwendung, um Anwendungseinstellungen zu bearbeiten.
Unter Standardanwendung können Sie eine Standardanwendung für alle Benutzer Ihres Mandanten festlegen.
Info: Alle Benutzer müssen Zugriff auf diese Anwendung haben.
Unter Zugriffskontrolle können Administratoren CORS (Cross-Origin Resource Sharing) über die Cumulocity IoT API aktivieren.
Die Einstellung Zulässige Domain ermöglicht es Ihren JavaScript-Webanwendungen, direkt mit REST APIs zu kommunizieren.
http://my.host.com
, http://myother.host.com
ein, um Anwendungen aus http://my.host.com
und http://myother.host.com
die Kommunikation mit der Plattform zu erlauben.Weitere Information erhalten Sie unter http://enable-cors.org.
Klicken Sie auf Attributsbibliothek im Menü Einstellungen, um Stammdaten-Objekten, Alarmen, Ereignissen und Mandanten benutzerdefinierte Attribute hinzuzufügen.
Mit benutzerdefinierten Attributen können Sie das Datenmodell der in Cumulocity IoT integrierten Objekte erweitern. Sie können die folgenden eigenen Attribute erstellen:
Info: Benutzerdefinierte Attribute sind für alle authentifizierten Benutzer des Mandanten sichtbar, unabhängig von ihrer Stammdatenrollen-Berechtigung.
Wählen Sie die Registerkarte für das gewünschte Attribut und klicken Sie auf Attribut hinzufügen.
Geben Sie im folgenden Dialog einen eindeutigen Namen als Bezeichnung und eine Beschriftung für das Attribut ein und wählen Sie einen Datentyp aus der Auswahlliste.
Wählen Sie außerdem Validierungsregeln für das neue Attribut aus:
Checkbox | Beschreibung |
---|---|
Erforderlich | Wenn ausgewählt, muss das Attribut bereitgestellt werden, z. B. beim Erstellen eines Alarms. Nicht verfügbar beim Attributtyp "Boolean". |
Standardwert | Stellen Sie einen Standardwert bereit, der automatisch in das benutzerdefinierte Attributfeld eingefügt wird. Nur verfügbar bei Attributen des Typs "Zeichenkette". |
Minimum | Geben Sie einen minimalen Integer-Wert ein. |
Maximum | Geben Sie einen maximalen Integer-Wert ein. |
Minimale Länge | Geben Sie eine minimale Länge ein, die für die Zeichenkette erforderlich ist. |
Maximale Länge | Geben Sie eine maximale Länge ein, die für die Zeichenkette erforderlich ist. |
Regulärer Ausdruck | Fügen Sie einen regulären Ausdruck hinzu, der zum Ausfüllen des benutzerdefinierten Attributfelds erforderlich ist. |
SMS werden für verschiedene Funktionen der Plattform verwendet wie Zwei-Faktor-Authentifizierung und Benachrichtigungen etwa bei Alarmen.
Durch Bereitstellung Ihrer Zugangsdaten ermöglichen Sie die Nutzung von Plattform-Funktionen, die SMS-Dienste verwenden.
Klicken Sie auf SMS-Anbieter im Menü Einstellungen.
Info: Um die SMS-Anbieter-Konfiguration einsehen zu können, benötigen Sie die Berechtigung SMS LESEN. Um die SMS-Anbieter-Konfiguration ändern zu können, benötigen Sie die Berechtigung SMS ADMIN.
Wählen Sie auf der Seite SMS-Anbieter einen der verfügbaren SMS-Anbieter aus der Auswahlliste SMS-Anbieter. Sie können mit der Eingabe beginnen, um Elemente zu filtern und Ihren bevorzugten Anbieter leichter zu finden.
Geben Sie im daraufhin angezeigten Dialog die erforderlichen Zugangsdaten und Attribute ein oder legen Sie optionale Einstellungen fest, die sich je nach gewähltem Anbieter unterscheiden.
Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.
Info: OpenIT betreut keine neuen Kunden mehr und ist dabei, das Geschäft mit SMS-Anbietern einzustellen. Wir empfehlen Ihnen daher, einen der anderen SMS-Anbieter zu wählen.
Auf der Seite Connectivity können Sie Zugangsdaten für verschiedene Anbieter verwalten. Zum Hinzufügen oder Ersetzen von Zugangsdaten sind ADMIN-Berechtigungen erforderlich.
Derzeit können folgende Anbietereinstellungen festgelegt werden:
Je nach gewähltem Anbieter können zusätzliche Felder vorhanden sein, die in der Dokumentation des entsprechenden Agents erläutert werden, siehe Protocol Integration Guide.
Vom Management Tenant aus können Sie Attribute konfigurieren, die global für die gesamte Cumulocity IoT-Bereitstellung gelten.
Klicken Sie auf Konfiguration im Menü Einstellungen, um die Seite Konfiguration aufzurufen.
Die meisten Einstellungen, die Sie hier konfigurieren können, sind auch im Enterprise Tenant verfügbar. Weitere Informationen finden Sie unter Enterprise Tenant > Anpassen der Plattform.
Darüber hinaus können die folgenden Einstellungen nur im Management Tenant konfiguriert werden.
Im Bereich Passwörter können Sie Passworteinstellungen wie Standardstärke, Länge oder Gültigkeit für die Benutzer in Ihrem Mandanten festlegen.
Aktivieren Sie die Checkbox Nur starke “grüne” Passwörter für alle Benutzer zulassen, um die Benutzer in Ihrem Mandanten zur Verwendung von Passwörtern zu zwingen, die die Bedingungen für “grüne” Passwörter erfüllen, siehe auch Erste Schritte > Benutzeroptionen und -einstellungen.
Im Bereich Supportbenutzer konfigurieren Sie die Parameter für den Supportbenutzerzugriff für Untermandanten-Benutzer.
Diese Funktion gibt den Anbietern der Cumulocity IoT-Plattform (im Falle von Public-Cloud-Instanzen die Software AG und bei lokalen Installationen der jeweilige Service-Provider) die Möglichkeit, ihre Kunden zu unterstützen, indem sie über einen Supportbenutzer auf deren Benutzer zugreifen. Ein Supportbenutzer ist ein Benutzer im Management Tenant mit spezifischen Berechtigungen, nämlich für den Zugriff auf Untermandanten-Benutzer im Falle von Problemen. Weitere Informationen finden Sie unter Supportbenutzerzugriff.
Legen Sie im Feld Supportbenutzer aktivieren fest, ob der Supportbenutzerzugriff für Untermandanten-Benutzer aktiviert sein soll. Hier sind folgende Werte möglich:
Im Feld Gültigkeitsdauer können Sie optional die Supportdauer angeben, d. h. um wie viele Stunden der Supportbenutzerzugriff nach einer Supportbenutzeranfrage verlängert wird. Geben Sie die Anzahl der Stunden ein. Der Standardwert ist 24 Stunden.
Ablaufdatum und -uhrzeit werden anhand der im Feld Gültigkeitsdauer angegebenen Dauer aktualisiert. Beispiel: Wenn das aktuelle Ablaufdatum 01/09/2018 15:00 lautet und die Dauer von 24 Stunden beibehalten wurde, aktualisiert der aktivierende Supportbenutzer das Ablaufdatum auf 01/10/2018 15:00.
Details zum Status von Supportanfragen und Supportbenutzerzugriff für einen Mandanten finden Sie in der Registerkarte Attribute des Mandanten, siehe Enterprise Tenant> Verwalten von Mandanten.
Ein Supportbenutzer ist ein Benutzer im Management Tenant mit spezifischen Berechtigungen. Dieser Benutzer kann sich beim Zielmandanten anmelden und sich als Zielbenutzer ausgeben.
Um einen Benutzer im Management Tenant als Supportbenutzer zu konfigurieren, müssen Sie dem Benutzer die entsprechenden Rollen zuweisen. Dies kann entweder durch Verwendung einer globalen Rolle oder durch Verwendung von Stammdatenrollen erfolgen.
Verwendung einer globalen Rolle
Verwendung von Stammdatenrollen
Mit Stammdatenrollen können Sie einen Supportbenutzer selektiv spezifischen Untermandanten zuweisen.
Info: Die Supportbenutzer-Funktion funktioniert nicht, wenn der Supportbenutzer Zwei-Faktor-Authentifizierung aktiviert, aber keine Telefonnummer hinterlegt hat. Die Telefonnummer muss zunächst hinterlegt werden, um sich als Supportbenutzer einloggen zu können.