Übersicht

Die folgenden Abschnitte beschreiben detailliert alle Funktionalitäten der Administration-Anwendung. Zur besseren Orientierung folgt eine Übersicht über den Inhalt dieses Dokuments:

Abschnitt Inhalt
Startseite Enthält Informationen über Kapazitätsnutzung und abonnierte Anwendungen.
Verwalten von Benutzern Wie ein Benutzer hinzugefügt, bearbeitet, deaktiviert oder gelöscht wird.
Verwalten von Berechtigungen Wie globale Rollen und Stammdatenrollen hinzugefügt und bearbeitet werden, wie diese Benutzern zugewiesen werden und wie man Zugriff auf Anwendungen erteilt.
Verwalten von Anwendungen Wie in Ihrem Cumulocity IoT-Konto abonnierte Anwendungen verwaltet und wie eigene Anwendungen verwaltet und konfiguriert werden.
Verwalten von Geschäftsregeln Repriorisieren von Alarmen durch Alarmregeln.
Verwalten von Daten Wie Datenhaltungsregeln für Ihre Daten konfiguriert und wie Ihre gespeicherten Daten in der Dateiablage verwaltet werden.
Zwei-Faktor-Authentifizierung Wie die Zwei-Faktor-Authentifizierung für einen Benutzer aktiviert/deaktiviert wird.
Änderung von Einstellungen Wie Kontoeinstellungen, z. B. Anwendungseinstellungen oder Authentifizierungseinstellungen, geändert, wie die Attributsbibliothek verwaltet und wie Single-Sign-On konfiguriert werden.

Startseite

Die Startseite der “Administration”-Anwendung enthält Folgendes:

Home screen

Die Kapazitätsbereiche zeigen:

Verwalten von Benutzern

Die Benutzerverwaltungsfunktion ermöglicht es Ihnen, innerhalb Ihres Mandanten Benutzer zu verwalten. Sie bietet folgende Möglichkeiten:

Info
Für diese Funktionen muss der Benutzer eine Rolle mit den Benutzerverwaltungsberechtigungen ADMIN oder ERSTELLEN haben.

Wenn für Ihren Mandanten in Software AG Cloud die Verwendung von Single-Sign-On (SSO) konfiguriert ist, sollten neue Benutzer unter My Cloud angelegt werden, um die SSO-Funktion nutzen zu können. My Cloud kann über den Application Switcher in der oberen rechten Ecke aufgerufen werden.

Für Benutzer, die über einen externen Autorisierungsserver angelegt werden, haben die folgenden Einstellungen in Cumulocity IoT keine Auswirkung (sie werden bei der nächsten erneuten Benutzeranmeldung zurückgesetzt):

Außerdem ist das Zurücksetzen des Passworts in Cumulocity IoT für Benutzer deaktiviert, die über einen externen Autorisierungsserver angelegt wurden.

Info
Benutzer, die Single-Sign-On verwenden, können das Passwort von Benutzern, die von der Plattform verwaltet werden, nicht ändern.

Anzeigen von Benutzern

Klicken Sie auf Benutzer im Menü Konto, um eine Liste aller Benutzer in Ihrem Mandanten anzuzeigen.

Expanded view

Es wird eine Benutzerliste angezeigt, die für jeden Benutzer die folgenden Informationen bereitstellt:

Zum Filtern der Liste nach Benutzername können Sie das Filterfeld links in der oberen Menüleiste verwenden. Mit der Auswahlliste können Sie nach globalen Rollen filtern. Weitere Informationen zur Filterung finden Sie unter Erste Schritte > Eigenschaften und Funktionen der Benutzeroberfläche > Filtern.

Zum Anwenden der gewählten Filter klicken Sie auf Anwenden.

Standardmäßig zeigt die Seite Benutzer nur die Hauptbenutzer. Klicken Sie auf Alle ausklappen rechts in der oberen Leiste, um alle Benutzer in Ihrem Konto auf einmal anzuzeigen. Dadurch werden alle Hauptbenutzereinträge ausgeklappt, so dass auch die Unterbenutzer angezeigt werden. Klicken Sie auf Alle einklappen, um wieder nur die Hauptbenutzer anzuzeigen. Detaillierte Informationen zu Benutzerhierarchien finden Sie unter Verwalten von Benutzerhierarchien.

So fügen Sie einen Benutzer hinzu

  1. Klicken Sie auf Benutzer hinzufügen rechts in der oberen Menüleiste.

    Info
    Wenn Single-Sign-On für Ihren Mandanten aktiviert ist, werden Sie durch eine Meldung daran erinnert, dass Sie im Begriffe sind, einen lokalen Benutzer anzulegen, der sich nicht per Single-Sign-On anmelden kann. Legen Sie stattdessen in My Cloud neue Benutzer an, die über die Single-Sign-On-Funktion aktiviert werden können. My Cloud kann über den Application Switcher in der oberen rechten Ecke aufgerufen werden.

  2. Geben Sie links im Fenster Neuer Benutzer folgende Informationen ein, um den Benutzer zu identifizieren:

    Feld Beschreibung
    Benutzername Dient als eindeutige Benutzeridentifizierung am System. Beachten Sie, dass dieser Name nicht mehr geändert werden kann, wenn er einmal gespeichert wurde. Diese Eingabe ist obligatorisch.
    Login alias Zusätzlich zum Benutzernamen kann optional ein Login-Alias vergeben werden, der für die Anmeldung verwendet werden kann. Anders als der Benutzername kann der Alias bei Bedarf geändert werden. Für Geräte wird kein Benutzeralias unterstützt.
    Status Hier können Sie das Benutzerkonto aktivieren/ deaktivieren. Wenn das Benutzerkonto deaktiviert ist, kann der Benutzer sich nicht anmelden.
    E-Mail Eine gültige E-Mail-Adresse. Diese Eingabe ist obligatorisch.
    Vorname Vorname des Benutzers. Wenn der Benutzer angemeldet ist, erscheint dieser Name rechts in der oberen Leiste auf der Schaltfläche Benutzer.
    Nachname Nachname des Benutzers.
    Telefon Eine gültige Telefonnummer. Die Telefonnummer ist erforderlich, wenn für den Benutzer die Verwendung von Zwei-Faktor-Authentifizierung konfiguriert ist.
    Eigentümer Ein anderer Benutzer, der diesen Benutzer "besitzt" (verwaltet). Wählen Sie einen Benutzer aus der Auswahlliste und klicken Sie auf Fertig zum Bestätigen. Detaillierte Informationen zu Benutzerhierarchien finden Sie unter Verwalten von Benutzerhierarchien.
    Delegiert von Kann aktiviert werden, um Benutzerhierarchien und Berechtigungen an einen Benutzer zu delegieren. Weitere Informationen zum Delegieren finden Sie unter Verwalten von Benutzerhierarchien.
  3. Wählen Sie die Anmeldeoptionen für den Benutzer aus.

    • Zwei-Faktor-Authentifizierung (SMS) - Wenn ausgewählt, erhält der Benutzer per SMS einen Bestätigungscode, der zum Abschließen der Authentifizierung erforderlich ist. Die SMS wird an die oben konfigurierte Telefonnummer gesendet. Weitere Informationen finden Sie unter Zwei-Faktor-Authentifizierung.
    • Benutzer muss sein Passwort beim nächsten Anmelden zurücksetzen - Wenn ausgewählt, müssen Sie ein Passwort angeben, das der Benutzer beim nächsten Anmelden zurücksetzen muss. Geben Sie ein Passwort ein und bestätigen Sie es. Während der Passworteingabe wird die Stärke des Passworts geprüft. Weitere Informationen zum Zurücksetzen des Passworts und zur Passwortstärke finden Sie unter So ändern Sie Ihr Passwort.
    • Link für das Zurücksetzen des Passworts per E-Mail senden - Wenn ausgewählt, erhält der Benutzer eine E-Mail mit dem Link zum Setzen des Passworts. Die E-Mail wird zu der oben konfigurierten Adresse gesendet.
  4. Wählen Sie auf der rechten Seite die globalen Rollen für den Benutzer. Informationen zu den globalen Rollen finden Sie unter Verwalten von Berechtigungen.

  5. Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.

Der neue Benutzer wird der Benutzerliste hinzugefügt.

Info
Standardmäßig ist bei Benutzern, die manuell angelegt wurden, die Berechtigung “Own user management” aktiviert.

So bearbeiten Sie einen Benutzer

  1. Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Bearbeiten. Alle Felder mit Ausnahme von Benutzername und Link zum Zurücksetzen des Passworts per E-Mail senden können bearbeitet werden. Weitere Informationen zu den Feldern finden Sie unter So fügen Sie einen Benutzer hinzu.
  2. Klicken Sie auf Passwort ändern, um das Passwort zu ändern.
  3. Klicken Sie auf Speichern, um Ihre Eingaben zu speichern.
Info
Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.

So kopieren Sie Stammdatenrollen

  1. Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Stammdatenrollen eines anderen Benutzers kopieren.
  2. Im darauf folgenden Dialog können Sie auswählen, ob Sie die zu kopierenden Rollen mit den vorhandenen Rollen zusammenführen möchten (Standardeinstellung) oder ob Sie die vorhandenen Rollen ersetzen möchten.
  3. Wählen Sie den Benutzer, von dem Sie Rollen kopieren möchten, aus der Auswahlliste.
  4. Klicken Sie auf Kopieren.

Die Stammdatenrollen werden vom ausgewählten Benutzer kopiert.

Info
Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.

So delegieren Sie Benutzerhierarchien oder heben die Delegierung auf

Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Delegieren, um Ihre Benutzerhierarchien und Berechtigungen an einen Benutzer zu delegieren.

Klicken Sie auf Delegierung aufheben, um eine Delegierung zu entfernen.

Weitere Informationen zum Delegieren finden Sie unter Verwalten von Benutzerhierarchien.

Info
Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.

So deaktivieren/aktivieren Sie einen Benutzer

Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Deaktivieren, um einen aktiven Benutzer zu deaktivieren, bzw. auf Aktivieren, um einen deaktivierten Benutzer wieder zu aktivieren.

Info
Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.

So löschen Sie einen Benutzer

Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Löschen.

Info
Für diese Option müssen Sie eine Rolle mit Benutzerverwaltungsberechtigung haben.

So setzen Sie Benutzer-Tokens zurück

Im Falle eines Sicherheitsvorfalls, an dem die Sitzungs-Tokens der Benutzer Ihres Mandanten beteiligt sind, können Sie alle derzeit verwendeten Tokens außer Kraft setzen.

Um alle Sitzungs-Tokens zurückzusetzen, klicken Sie auf Tokens zurücksetzen rechts oben in der Menüleiste. Beim Zurücksetzen aller Tokens werden alle Benutzer abgemeldet, die über “OAI-Secure” oder “Single-Sign-On-Weiterleitung” angemeldet sind. Beachten Sie, dass von Ihren Geräten abgerufene JWT-Tokens ebenfalls zurückgesetzt werden.

Anforderungen
Um Tokens zurückzusetzen, müssen Sie über eine ADMIN-Berechtigung für den Berechtigungstyp “Benutzerverwaltung” verfügen.

Verwalten von Berechtigungen

Berechtigungen legen fest, welche Funktionen ein Benutzer in Cumulocity IoT-Anwendungen ausführen darf. Um das Verwalten von Berechtigungen zu vereinfachen, sind diese in sogenannte Rollen eingeteilt. Jedem Benutzer kann eine Reihe von Rollen zugewiesen werden, deren Berechtigungen addiert werden.

Die folgenden Rollen können zugewiesen werden:

Darüber hinaus kann der Zugriff auf Anwendungen erteilt werden.

Globale Rollen

Klicken Sie auf Rollen im Menü Konten, um die Liste der konfigurierten Rollen anzuzeigen.

Context menu

In der Registerkarte Globale Rollen finden Sie die Rollen, die Berechtigungen auf Systemebene erteilen. Es gibt verschiedene vordefinierte globale Rollen, aber Sie können auch eigene nach Ihren Bedürfnissen erstellen.

Info

Die vordefinierten Rollen sind als Muster für einen bestimmten Zweck konfiguriert. Sie können sie als Ausgangspunkt verwenden und dann weiter an Ihre Bedürfnisse anpassen.

Achten Sie beim Anlegen eines neuen Benutzers darauf, dass die globalen Rollen, die Sie diesem zuweisen, alle notwendigen Berechtigungen umfassen, die speziell für diesen Benutzer in beiden zugewiesenen Rollen relevant sind. Berechtigungen aus unterschiedlichen Rollen werden zusammengeführt, wenn sie demselben Benutzer zugewiesen werden. Wenn ein Benutzer z. B. nur die Rolle “Cockpit-Benutzer” hat (siehe unten), kann er auf nichts anderes als die Cockpit-Anwendung zugreifen. Wenn Sie jedoch auch eine Stammdatenberechtigung über einige der verfügbaren Rollen zuweisen, erhält der Benutzer Zugriff auf die gesamten Stammdaten wie Geräte, Gruppen und Konfigurationen.

Die Rollen “admins” und “devices” haben einen Sonderstatus:

Rolle    Beschreibung
admins Administrative Berechtigungen sind aktiviert. Der ursprüngliche Administrator, d. h. der erste in diesem Mandanten erstellte Benutzer, hat diese Rolle.
devices Typische Berechtigungskonfiguration für Geräte. Nach der Registrierung weist ein Gerät automatisch diese Rolle auf. Bearbeiten Sie diese Rolle, wenn Ihre Geräte weniger oder mehr Berechtigungen erfordern, oder weisen Sie Ihren Geräten andere Rollen zu.

Darüber hinaus werden anfänglich die folgenden vorkonfigurierten Rollen bereitgestellt:

Rolle Beschreibung
Regelmanager Hat Zugriff auf alle Smart Rules und Echtzeitregeln.
Cockpit-Benutzer Hat Zugriff auf die Anwendung Cockpit. Zusätzlich sollten Sie eine Rolle hinzufügen, die Geräten Zugriff gewährt.
Device Management-Benutzer Hat Zugriff auf die Anwendung Device Management. Der Benutzer kann damit den Simulator nutzen und Bulk-Operationen ausführen. Zusätzlich sollten Sie eine Rolle hinzufügen, die Geräten Zugriff gewährt.
Globaler Manager Hat Lese- und Schreibzugriff auf alle Geräte.
Globaler Leser Hat Lesezugriff auf alle Geräte.
Globaler Benutzermanager Kann alle Benutzer verwalten.
Geteilter Benutzermanager Kann untergeordnete Benutzer verwalten. Um untergeordnete Benutzer verwalten zu können, muss der Abonnementplan Benutzerhierarchien einschließen.
Mandantenmanager Kann mandantenweite Einstellungen verwalten, z. B. eigene Anwendungen, Datenvermittlung, Datenhaltung, Optionen und Mandantenstatistiken.

Unter Umständen werden auch die folgenden älteren Rollen angezeigt:

Rolle Beschreibung
business Hat Zugriff auf alle Geräte und deren Daten, aber hat keine Verwaltungsberechtigung für den Mandanten.
readers Kann alle Daten lesen (einschl. Benutzer, im Unterschied zu “Globaler Leser”).

So fügen Sie eine globale Rolle hinzu

Klicken Sie auf Globale Rolle hinzufügen in der Registerkarte Globale Rollen. Auf der Seite Neue globale Rolle sehen Sie links eine Liste mit Berechtigungstypen und rechts eine Liste der Anwendungen, auf die zugegriffen werden kann. Der folgende Screenshot zeigt die Einstellungen für die Rolle “admins”.

Admin example

Berechtigungsebenen

Für jeden Typen können Sie die folgenden Berechtigungsebenen wählen:

Info
ERSTELLEN-Berechtigungen sind mit dem Eigentumskonzept in Cumulocity IoT verbunden. Wenn Sie ein Objekt erstellt haben, sind Sie der Eigentümer und können das Objekt ohne weitere Berechtigungen verwalten. Wenn Sie beispielsweise die ERSTELLEN-Berechtigung für Stammdaten haben, können Sie Geräte und Gruppen erstellen und diese vollständig verwalten. Sie können jedoch keine Geräte und Gruppen, die Sie nicht selbst erstellt haben, verwalten, ohne dafür eine AKTUALISIEREN-Berechtigung oder eine zusätzliche Stammdatenrolle zu haben (siehe unten). Diese Konzept unterstützt es, Geräten minimale Berechtigungen zuzuweisen. Es ermöglicht Ihnen auch, Benutzerverwaltungsrechte auf untergeordnete Benutzer zu beschränken, wenn Sie Benutzerhierarchien abonniert haben.

Aktivieren Sie die Checkbox oben in einer Spalte, wenn Sie die entsprechende Berechtigungsebene auf alle Berechtigungstypen anwenden möchten.

Berechtigungskategorien

Die folgenden Berechtigungskategorien sind standardmäßig verfügbar:

Kategorie Beschreibung
Alarme Anzeigen oder Bearbeiten von Alarmen.
Anwendungsverwaltung Anzeigen oder Bearbeiten der in diesem Konto verfügbaren Anwendungen.
Audits Anzeigen oder Erstellen von Audit-Logs.
Bulk-Operationen Anzeigen oder Erstellen von Bulk-Operationen.
CEP management Anzeigen oder Bearbeiten von CEP-Regeln.
Data Broker Senden von Daten an andere Mandanten oder Empfangen von Daten von anderen Mandanten.
Gerätesteuerung Anzeigen oder Bearbeiten von Kommandos für Geräte bzw. Senden von Kommandos an Geräte. Wird auch für die Geräteregistrierung verwendet.
Ereignisse Anzeigen oder Erstellen von Ereignissen.
Globale Smart Rules Konfigurieren von globalen Smart Rules.
Identifikator Anzeigen oder Bearbeiten von Identifikatoren für Geräte.
Stammdaten Anzeigen oder Bearbeiten von Stammdaten.
Messwerte Anzeigen oder Erstellen von Messwerten.
Optionen Anzeigen oder Bearbeiten von Kontooptionen wie etwa Passwortregeln.
Datenhaltungsregeln Anzeigen oder Bearbeiten von Datenhaltungsregeln.
Planen von Berichten Verwalten von Berichts-Exportplänen
Simulator Konfigurieren von simulierten Geräten.
SMS Konfigurieren von SMS.
Mandanten Anzeigen, Erstellen, Bearbeiten oder Löschen von Untermandanten.
Mandantenstatistiken Anzeigen der Nutzungsdaten für dieses Konto, wie auf der Startseite der "Administration"-Anwendung gezeigt.
Benutzerverwaltung Anzeigen oder Bearbeiten von Benutzern, globalen Rollen und Berechtigungen.
Eigener Benutzer Anzeigen oder Bearbeiten Ihres eigenen Benutzers.

Möglicherweise werden weitere Berechtigungen angezeigt, abhängig von den Funktionalitäten in Ihrem Abonnementplan. Diese werden in Verbindung mit den jeweiligen Funktionalitäten beschrieben.

Wichtig
Werden neue Funktionen mit neuen Berechtigungen zu Cumulocity IoT hinzugefügt, so werden diese nicht automatisch zu bestehenden Rollen hinzugefügt. Sollten Sie feststellen, dass Sie eine kürzlich angekündigte Funktionalität nicht verwenden können, überprüfen Sie zunächst Ihre Berechtigungen.

Zuweisen von globalen Rollen

Sie können Benutzern globale Rollen entweder direkt in der Benutzerliste oder auf der entsprechenden Benutzerseite zuweisen.

Wichtig
Standardmäßig ist es nicht möglich, die (bei der SSO-Anmeldung automatisch erstellten) Rollen von SSO-Benutzern zu ändern, da diese durch die dynamische Rechtezuordnung überschrieben würden. Dieses Verhalten kann jedoch geändert werden. Weitere Informationen finden Sie unter Administration > Konfigurationseinstellungen im User Guide.
So weisen Sie globale Rollen aus der Benutzerliste zu
  1. Klicken Sie auf die Spalte Globale Rollen eines bestimmten Benutzers, um eine Liste mit globalen Rollen anzuzeigen.
  2. Aktivieren oder deaktivieren Sie die entsprechenden Checkboxen.
  3. Klicken Sie auf Anwenden, um Ihre Einstellungen zu speichern.
So weisen Sie globale Rollen aus der Benutzerseite zu
  1. Klicken Sie auf die Zeile des jeweiligen Benutzers in der Benutzerliste.
  2. Aktivieren oder deaktivieren Sie auf der Benutzerseite rechts die Checkboxen für die entsprechenden globalen Rollen.
  3. Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.

Stammdatenrollen

Stammdatenrollen enthalten Berechtigungen, die Sie Gerätegruppen zuweisen können. Eine Stammdatenrolle kann beispielsweise die Berechtigung enthalten, ein Gerät neu zu starten. Sie können diese Stammdatenrolle einer Gruppe von Geräten, z. B. “Region Nord”, und einem Benutzer, z. B. “Schmidt”, zuweisen. Daraus resultiert, dass der Benutzer “Schmidt” alle Geräte, die in der Gruppe “Region Nord” oder einer Untergruppe enthalten sind, neu starten kann.

Um die konfigurierten Stammdatenrollen anzuzeigen, wählen Sie Rollen im Menü Konten und wechseln Sie zur Registerkarte Stammdatenrollen.

Context menu

In der Registerkarte Stammdatenrollen können Sie Berechtigungen für bestimmte Gruppen und/oder deren Kinder verwalten. Es gibt verschiedene voreingestellte Stammdatenrollen, aber Sie können auch eigene Rollen nach Ihren Bedürfnissen erstellen.

Die folgenden Stammdatenrollen sind in neuen Mandanten voreingestellt:

Rolle Beschreibung
Manager Kann alle Daten des Assets lesen und alle Stammdaten verwalten, aber keine Operationen ausführen. Kann zusätzlich Stammdaten (einschließlich Dashboards) und Alarme verwalten.
Operationen: Alle Kann die Assets per Fernzugriff verwalten, indem er Operationen an ein Gerät sendet (z. B. Software-Updates, Fernkonfigurationen).
Operationen: Gerät neustarten Kann Geräte neustarten.
Leser Kann alle Daten des Assets lesen.

So fügen Sie eine Stammdatenrolle hinzu

Klicken Sie auf Stammdatenrolle hinzufügen in der Registerkarte Stammdatenrollen. Geben Sie auf der Seite “Stammdatenrolle” einen Namen und eine Beschreibung ein und weisen Sie die Berechtigungen für die neue Stammdatenrolle zu.

Role details

Die Berechtigungen sind in die folgenden Kategorien eingeteilt:

Kategorie Beschreibung
Alarme Berechtigungen für das Verwenden von Alarmen von Geräten.
Audits Berechtigungen für Audit-Logs.
Ereignisse Berechtigungen für das Arbeiten mit Ereignissen von Geräten.
Stammdaten Berechtigungen für das Anzeigen und Bearbeiten von Geräten.
Messwerte Berechtigungen für Messwerte.
Gerätesteuerung Berechtigungen für die Fernsteuerung von Geräten.
Voller Zugriff Vollständiger Zugriff auf die verbundenen Geräte, hauptsächlich zur Vereinfachung der Konfiguration.
Info
Service Provider sehen eine weitere Berechtigung “Support” in ihrem Management Tenant. Diese Berechtigung ermöglicht es Benutzern des Service Providers, den Benutzern ihrer Kunden Support zu geben, siehe Supportbenutzerzugriff.

Fügen Sie einer Rolle eine Berechtigung hinzu, indem Sie das Plus-Symbol neben der gewünschten Kategorie klicken.

Geben Sie im Feld Typ einen Typen ein, um den Datentypen weiter einzuschränken, für den diese Berechtigung gelten soll. Zugriff wird nur auf Objekte gewährt, die den angegebenen Typ enthalten.

Nehmen wir etwa an, ihr Gerät sendet Messwerte zum Device Management, wie “c8y_SignalStrength”, sowie aktuelle Produktionsmesswerte. Sie möchten aber, dass der Benutzer nur die Device Management-Messwerte sieht. In diesem Fall geben Sie “c8ySignalStrength” als Typ ein. So kann der Benutzer nur Messwerte sehen, die den Typ “c8y_SignalStrength” enthalten. Beachten Sie, dass der Benutzer dann das gesamte Messwertobjekt, einschließlich anderer Typen, die Teil desselben Messwertobjekts sind, sehen kann.

Standardmäßig enthält das Feld Typ ein Sternsymbol *, so dass alle Typen eingeschlossen sind.

Info
Weitere Informationen zu möglichen Typen finden Sie in Ihrer Gerätedokumentation, der Sensor Library von Cumulocity IoT oder der Device Management Library. Der Typ, der hier verwendet wird, ist der sogenannte “Fragmenttyp”, nicht das “Type”-Attribut. Sie müssen alle Fragmenttypen, die in einem Messwert gesendet werden, eingeben, damit der Messwert sichtbar wird; Ähnliches gilt für andere Datentypen.

Wählen Sie im Feld Berechtigung eine Berechtigungsebene aus der Auswahlliste:

Wichtig
Wenn Sie eine Berechtigung hinzufügen, erscheint möglicherweise ein kleines Ausrufungszeichen. Das Ausrufungszeichen weist darauf hin, dass die soeben hinzugefügte Rollen keine Auswirkung hat, da eine andere, “höhere” Berechtigung, die für den Benutzer gesetzt wurde, diese Berechtigung bereits umfasst. Überprüfen Sie in diesem Fall, ob Sie vollständigen Zugriff gewährt haben oder ob es im gleichen Abschnitt eine andere Berechtigung mit “*” als Typen und “Alle” als Berechtigung gibt.

Nehmen wir als weiteres Beispiel an, dass Sie Tracking-Geräte verwenden. Sie möchten, dass Ihr Benutzer alle Geräte sehen, aber nichts ändern kann. Außerdem soll der Benutzer in der Lage sein, die Wege von Geräten auf einer Karte zu verfolgen. Wege werden über ein Ereignis mit dem Fragmenttypen “c8y_Position” aufgezeichnet (siehe Sensor Library). Erteilen Sie dem Benutzer eine LESEN-Berechtigung auf Stammdaten und auf Ereignisse mit dem Typen “c8y_Position”, wie in der Abbildung unten dargestellt.

Permission example

Zuweisen von Stammdatenrollen zu Benutzern

Stammdatenrollen werden einem Benutzer und einer Gerätegruppe zugewiesen.

Klicken Sie auf Benutzer im Menü Konten, wählen Sie einen Benutzer aus der Benutzerliste und wechseln Sie zur Registerkarte Stammdatenrollen.

In der Registerkarte Stammdatenrollen sehen Sie einen Baum mit Gerätegruppen. Klicken Sie auf den Pfeil rechts von einer Gruppe, um eine Stammdatenrollen zuzuweisen. Wählen Sie die gewünschten Rollen und klicken Sie auf Anwenden. Weitere Informationen zu den Rollen erhalten Sie, wenn Sie den Mauszeiger über das Info-Symbol bewegen, oder unter Stammdatenrollen.

Wichtig
Wenn ein Benutzer bereits eine globale Rolle hat, die Stammdatenberechtigungen umfasst, kann der Benutzer alle Geräte sehen oder ändern, unabhängig von den hier zugewiesenen Stammdatenrollen.

Stammdatenrollen werden von Gruppen an alle ihre direkten und indirekten Untergruppen sowie die Geräte in der Gruppe vererbt. Wenn Sie etwa eine Rolle mit Leseberechtigung für Alarme für eine Gerätegruppe wählen, kann der Benutzer alle Alarme für alle Geräte in dieser Gruppe sowie in ihren Untergruppen sehen.

Wenn ein Benutzer Stammdatenzugriff für eine Gerätegruppe hat, hat er auch Zugriff auf alle Dashboards für diese Gruppe in der Cockpit-Anwendung.

Sie können auch Stammdatenrollen eines anderen Benutzers kopieren. Klicken Sie auf Stammdatenrollen eines anderen Benutzers kopieren, um Rollen zu kopieren. Wählen Sie im folgenden Fenster einen Benutzer aus und klicken Sie auf Kopieren. Oben können Sie auswählen, ob Sie die Rollen mit den vorhandenen Rollen zusammenführen möchten (Standardeinstellung), oder ob Sie die vorhandenen Rollen ersetzen möchten. Das Kopieren von Rollen erleichtert das Verwalten von Berechtigungen für viele Benutzer, da Sie einen Referenzbenutzer erstellen können, um von dort die Rollen zu kopieren.

Fehlerbehebung bei Berechtigungen

Wenn Sie Aktionen durchführen möchten für die Sie keine ausreichende Berechtigung haben, erhalten Sie eine Fehlermeldung.

Klicken Sie für Hilfe bei der Fehlersuche auf die Schaltfläche Benutzer (mit dem aktuellen Benutzernamen) in der rechten oberen Leiste. Wählen Sie aus dem Kontextmenü Verweigerte Anfragen. Im darauf folgenden Fenster finden Sie Details zu den verweigerten Anfragen. Ein Administrator oder der Produkt-Support können Ihnen helfen, die Berechtigungsprobleme zu beheben.

Verbesserung der Leistung

Die Cumulocity IoT-Plattform bietet optimierte UI-Leistung für Benutzer mit Zugriff über Stammdatenrollen. Insbesondere erfolgen Anfragen bei Mandanten mit großen Stammdatenhierarchien schneller.

Die Leistung der folgenden UI-Seiten wird verbessert:

Als Administrator können Sie die Leistungsfunktion auf folgende Weise deaktivieren:

Die Option sieht in der REST API wie folgt aus (siehe auch Cumulocity IoT OpenAPI Specification):

{"category": "configuration", "key": "acl.algorithm-version", "value": "LEGACY"}

Die Einstellung auf Mandantenebene hat Vorrang vor der Einstellung auf Plattformebene.

Diese Option ist standardmäßig aktiviert.

Gewähren von Anwendungszugriff

Die Registerkarte Anwendungen zeigt eine Liste aller verfügbaren Anwendungen in Ihrem Mandanten in alphabetischer Reihenfolge.

Um dem Benutzer Anwendungen zuzuweisen, wählen Sie einfach die entsprechenden Anwendungen aus und klicken Speichern.

Weitere Informationen zur Anwendungsverwaltung finden Sie unter Verwalten von Anwendungen.

Info
Wenn ein Benutzer die globale Berechtigung hat, alle Anwendungen einzusehen, wird eine entsprechende Information angezeigt.

Anzeigen von Audit-Logs

Audit-Logs zeigen die von Benutzern ausgeführten Operationen.

Um die Audit-Logs-Liste anzuzeigen, klicken Sie auf Audit-Logs im Menü Konten. Für jeden Logeintrag werden die folgenden Informationen bereitgestellt:

Spalte Beschreibung
Serverzeit Serverzeit bei der Verarbeitung der Operation.
Ereignis Typ der Operationen, z. B. "Alarm erstellt", "Smart Rule gelöscht". Darunter wird der Benutzer angezeigt, der die Operation verarbeitet hat.
Beschreibung Liefert je nach Operation weitere Informationen, z. B. Gerätename, Alarmtext, Operationsstatus.
Gerätezeit Gerätezeit bei der Verarbeitung der Operation. Diese kann sich von der Serverzeit unterscheiden.

Es werden nur die letzten 100 Logeinträge angezeigt. Scrollen Sie herunter zu Mehr laden, um weitere Logeinträge anzuzeigen.

Audit logs

Info
Die Audit-Logs-Liste wird nicht automatisch aktualisiert, wenn eine Echtzeitaktualisierung von Operationen erfolgt ist. Klicken Sie auf Neu laden rechts oben in der Menüleiste, um die Liste der Operationen zu aktualisieren.

Filtern von Logeinträgen

Um Logeinträge leichter durchsuchen zu können, können diese gefiltert werden nach:

Um einen Filter anzuwenden, klicken Sie auf die Schaltfläche Anwenden neben dem entsprechenden Filterfeld. Zum Aufheben von Filtern klicken Sie auf das X-Symbol neben der Schaltfläche Anwenden (wird nur angezeigt, wenn Filter gesetzt sind).

Verwalten von Anwendungen

Die Cumulocity IoT-Plattform unterscheidet zwischen Anwendungen und Microservices, siehe auch Developing applications im Concepts Guide.

Beides kann über das Menü Ecosystem im Navigator aufgerufen werden.

Zudem gibt es in Enterprise Tenants die Möglichkeit, Standardabonnements zu konfigurieren, d. h. eine Liste von Anwendungen festzulegen, die beim Anlegen standardmäßig für jeden neuen Mandanten und/oder bei einem Plattform-Upgrade für alle bestehenden Mandanten abonniert werden. Näheres dazu finden Sie unter Enterprise Tenant > Standardabonnements.

Anwendungen

Klicken Sie auf Anwendungen im Menü Ecosystem des Navigators, um eine Liste oder Tabelle aller Anwendungen in Ihrem Konto anzuzeigen.

All applications

In der Registerkarte Alle Anwendungen werden alle Anwendungen angezeigt, die in Ihrem Mandanten verfügbar sind. Es gibt zwei Arten von Anwendungen:

Ihre Anwendungen sind über den Application Switcher in der oberen Leiste verfügbar.

App switcher

Abonnierte Anwendungen

Cumulocity IoT stellt vielerlei Anwendungen für verschiedene Zwecke bereit. Je nach Ihrer Installation und/oder Ihren optionalen Services zeigt Ihr Mandant eine Auswahl der potenziell verfügbaren Anwendungen an.

Unten sind alle Anwendungen aufgelistet, die standardmäßig im Standard Tenanten oder im Enterprise Tenanten verfügbar sind. Darüber hinaus können zahlreiche optionale Anwendungen für Ihren Mandanten abonniert sein.

Info
In der Registerkarte Alle Anwendungen sind abonnierte Anwendungen als “Abonniert” gekennzeichnet. Abonnierte Anwendungen können nicht vom Benutzer hinzugefügt, geändert oder entfernt werden, sondern nur von einem Mandantenadministrator.

Standardmäßig abonnierte Anwendungen

Name auf der Benutzeroberfläche Funktionalität Identifikation in der API Technischer Typ Verfügbarkeit
Administration Gibt Konto-Administratoren die Möglichkeit, Rollen, Mandanten und Anwendungen zu verwalten administration Webanwendung Standard Tenant, Enterprise Tenant
Cockpit Verwalten und überwachen Sie IoT-Assets und Daten aus Geschäftssicht cockpit Webanwendung Standard Tenant, Enterprise Tenant
Device Management Verwalten und überwachen Sie Geräte und führen Sie die Steuerung und Fehlerbehebung von Geräten per Fernzugriff durch devicemanagement Webanwendung Standard Tenant, Enterprise Tenant
Streaming Analytics Analytics Builder-Modelle und EPL-Apps (sofern aktiviert) verwalten und bearbeiten Streaming Analytics Webanwendung Standard Tenant (eingeschränkte Version für Analytics Builder), Enterprise Tenant (Vollversion)

Benutzerdefinierte Anwendungen

Benutzerdefinierte Anwendungen können sein:

In der Registerkarte Alle Anwendungen sind benutzerdefinierte Anwendungen als “Benutzerdefiniert” gekennzeichnet.

So fügen Sie eine benutzerdefinierte Anwendung hinzu

Klicken Sie rechts oben in der Registerkarte Alle Anwendungen auf Anwendung hinzufügen.

Wählen Sie im darauf folgenden Dialog eine der folgenden Methoden:

So laden Sie eine Web-Anwendung hoch
  1. Klicken Sie rechts oben in der Registerkarte Alle Anwendungen auf Anwendung hinzufügen.
  2. Wählen Sie Web-Anwendung hochladen.
  3. Legen Sie im darauf folgenden Dialog eine entsprechende ZIP-Datei ab oder navigieren Sie in Ihrem Dateisystem zu der Datei.

Die Anwendung wird erstellt, sobald die ZIP-Datei erfolgreich hochgeladen wurde.

Wichtig
Die ZIP-Datei muss index.html und cumulocity.json in ihrem Stammverzeichnis enthalten, andernfalls funktioniert die Anwendung nicht.

So verweisen Sie auf eine externe Anwendung
  1. Klicken Sie rechts oben in der Registerkarte Alle Anwendungen auf Anwendung hinzufügen.
  2. Wählen Sie Externe Anwendung.
  3. Geben Sie im darauf folgenden Dialog einen Namen für die Anwendung ein. Der Name wird als Titel oben links auf der Anwendungsseite angezeigt.
  4. Geben Sie einen Anwendungsschlüssel ein, um diese Anwendung zu identifizieren.
  5. Geben Sie die externe URL ein, unter welcher auf die Anwendung zugegriffen werden kann.
  6. Klicken Sie auf Speichern, um die Anwendung zu erstellen.

Weitere Informationen zu den Feldern finden Sie auch unter Anwendungsattribute.

So installieren Sie eine Anwendung anhand eines Blueprints
  1. Klicken Sie rechts oben in der Registerkarte Alle Anwendungen auf Anwendung hinzufügen.
  2. Wählen Sie Verfügbare Pakete.
  3. Wählen Sie das gewünschte Paket aus.
  4. Geben Sie im darauf folgenden Dialog einen Namen für die Anwendung ein. Der Name wird als Titel oben links auf der Anwendungsseite angezeigt.
  5. Geben Sie einen Anwendungsschlüssel ein, um diese Anwendung zu identifizieren.
  6. Geben Sie den Pfad ein, unter dem auf die Anwendung zugegriffen werden kann.
  7. Klicken Sie auf Speichern, um die Anwendung zu erstellen.

Weitere Informationen zu den Feldern finden Sie auch unter Anwendungsattribute.

So duplizieren Sie eine Anwendung

Das Duplizieren einer Anwendung ist erforderlich, wenn Sie eine abonnierte Anwendung nach Ihren eigenen Bedürfnissen anpassen möchten. Das Duplizieren einer abonnierten Anwendung erzeugt ein entsprechendes Duplikat als eigene Anwendung mit einem Link auf die Originalanwendung.

  1. Klicken Sie rechts oben in der Registerkarte Alle Anwendungen auf Anwendung hinzufügen.
  2. Wählen Sie im folgenden Dialog Vorhandene Anwendung duplizieren.
  3. Wählen Sie die gewünschte Anwendung aus der Auswahlliste, z. B. “Cockpit”.
  4. Geben Sie im nächsten Fenster den Namen für die Anwendung, einen Anwendungsschlüssel zur Identifizierung der Anwendung und einen Pfad als Bestandteil der URL ein, um die Anwendung aufzurufen. Standardmäßig werden die Werte der Originalanwendung, erweitert durch eine Zahl, vorgeschlagen. Wenn Sie als Pfad den Pfad der abonnierten Originalanwendung verwenden, wird Ihre eigene Anwendung die abonnierte Anwendung überschreiben.
    Info
    Die Plattform schränkt die Verwendung des Präfixes “feature-” im Feld Name ein. Sie können keine Anwendungen mit diesem Präfix im Anwendungsnamen erstellen. Dies gilt auch für bestehende Anwendungen in Fällen, in denen die Funktion “Anwendung duplizieren” verwendet wird.
  5. Klicken Sie abschließend Duplizieren, um die Anwendung zu erstellen.
Info
Falls die Anwendung für diesen Mandanten abonniert wurde, steht ein weiterer Umschalter, Abonnierte Anwendungen überschreiben, zur Verfügung. Wenn Sie diesen Umschalter aktivieren, werden die Werte für Name, Schlüssel und Pfad aus der Originalanwendung geerbt und Ihre duplizierte Anwendung überschreibt die abonnierte Anwendung. Deaktivieren Sie die Option, um die Werte zu ändern.

Duplicate application

Weitere Informationen zu den Feldern finden Sie auch unter Anwendungsattribute.

Anwendungsattribute

Um weitere Details zu einer Anwendung anzuzeigen, klicken Sie auf sie, um ihre Registerkarte Attribute zu öffnen.

Application properties

In der Registerkarte Attribute werden bei jeder Anwendung je nach Anwendungstyp (gehostet oder extern) folgende Informationen angezeigt:

Feld Beschreibung Gehostet (Webanwendung) Extern
ID Eindeutige ID zur Identifikation der Anwendung Automatisch generiert Automatisch generiert
Name Anwendungsname; wird als Titel oben links auf der Anwendungsseite angezeigt und im Application Switcher verwendet Automatisch generiert Vom Benutzer vergeben
Anwendungsschlüssel Wird zur Identifikation der Anwendung verwendet. Wird außerdem verwendet, um sie als Abonnement zur Verfügung zu stellen, siehe Concepts Guide. Automatisch generiert Vom Benutzer vergeben
Typ Anwendungstyp Gehostet Extern
Pfad Teil der URL, die die Anwendung aufruft Automatisch generiert Vom Benutzer festgelegt; wenn Sie beispielsweise "hallo" als Anwendungspfad verwenden, lautet die URL der Anwendung "/apps/hallo".

Anwendungs-Plugins

Wechseln Sie zur Registerkarte Plugins, um alle für eine Anwendung installierten Plugins anzuzeigen. Plugins können verwendet werden, um eine vorhandene Anwendung zu erweitern, ohne sie neu erstellen zu müssen.

Plugins grid

Auf der Registerkarte Plugins können Sie Plugins hinzufügen und entfernen. Darüber hinaus können Sie Plugins in einer Anwendung installieren.

So bearbeiten Sie eine Anwendung

Klicken Sie einfach auf die Anwendung oder auf das Menüsymbol rechts neben einem Eintrag und anschließend auf Bearbeiten.

In der Registerkarte Attribute können einige Felder bearbeitet werden, abhängig vom Typ der Anwendung (siehe Anwendungsattribute).

Wichtig
Ändern Sie niemals Namen der Systemanwendungen (z. B. “Device Management”, “Cockpit”). Andernfalls schlägt die Mandanteninitialisierung fehl.

So löschen Sie eine Anwendung

Klicken Sie auf das Menüsymbol rechts neben einem Eintrag und anschließend auf Löschen.

Wenn Sie eine Anwendung löschen, die eine abonnierte Anwendung überschreibt, wird die derzeit abonnierte Anwendung für alle Benutzer verfügbar. Die Benutzer profitieren so außerdem von zukünftigen Upgrades der abonnierten Anwendung.

Abonnierte Anwendungen können nicht gelöscht werden. Dies kann nur durch den Eigentümer der Anwendung erfolgen.

Hochladen von Archiven

Bei benutzerdefinierten Anwendungen können mehrere Dateiversionen in Cumulocity IoT gespeichert werden, indem sie als ZIP- oder MON-Dateien hochgeladen werden. Jede Version wird als Archiv bezeichnet. Es können verschiedene Versionen gleichzeitig hochgeladen werden und Sie können zwischen den Versionen wechseln.

So laden Sie ein Archiv hoch

  1. Öffnen Sie die Anwendungsattribute für die entsprechende Anwendung, indem Sie darauf klicken.
  2. Klicken Sie unten im Abschnitt Aktivitätslog auf die Plus-Schaltfläche und navigieren Sie zu dem Archiv in Ihrem Dateisystem oder ziehen Sie einfach das Archiv auf das entsprechende Feld.
  3. Klicken Sie auf Hochladen, um das Archiv auf Ihr Cumulocity IoT-Konto hochzuladen.
Application archive

Das aktive Archiv (durch ein Cloud-Symbol gekennzeichnet) ist die Version der Anwendung, die aktuell den Benutzern Ihres Kontos zur Verfügung steht. Diese Version kann nicht gelöscht werden.

Info
Die Archiv-Funktionalität steht für abonnierte Anwendungen nicht zur Verfügung, da nur der Eigentümer der Anwendung ältere Versionen wiederherstellen kann.

So stellen Sie eine ältere Anwendungsversion wieder her

Benutzer können ältere Versionen einer Anwendung aus einem Archiv wiederherstellen.

  1. Öffnen Sie die Anwendungsattribute für die entsprechende Anwendung, indem Sie darauf klicken.
  2. Öffnen Sie im Abschnitt Aktivitätslog das Kontextmenü der gewünschten Version über das Menüsymbol und wählen Sie Auf Aktiv setzen, um diese Version zur aktiven Version zu machen.

So aktivieren Sie eine einzelne Anwendung erneut

Wurde eine gehostete Anwendung nicht korrekt gestartet, kann der Benutzer sie erneut aktivieren.

  1. Öffnen Sie die Anwendungsattribute für die entsprechende Anwendung, indem Sie darauf klicken.
  2. Öffnen Sie im Abschnitt Aktivitätslog das Kontextmenü der gewünschten Version über das Menüsymbol und wählen Sie Archiv erneut aktivieren.

Die gewählte Anwendung wird erneut aktiviert, indem die entsprechenden Dateien aus dem Anwendungsverzeichnis entfernt werden und das gehostete Anwendungspaket erneut entpackt wird.

Pakete

Pakete sind Kombinationen von Plugins und Blueprints, die sich zu einer einzigen Datei zusammenpacken und dann für die Plattform bereitstellen lassen. Dadurch bieten Pakete eine bessere gemeinsame Nutzbarkeit und Wiederverwendbarkeit von UI-Funktionen in verschiedenen Anwendungen und ermöglichen das Hinzufügen von UI-Funktionen zu Anwendungen ohne Programmierkenntnisse.

Pakete können zwei Arten von Anwendungen enthalten:

Pakete sind in der Registerkarte Pakete auf der Seite Anwendungen zu finden.

Packages view

Um ein neues Paket hinzuzufügen, klicken Sie oben rechts auf Paket hinzufügen.

Wenn Sie auf ein Paket klicken, sehen Sie Paketdetails wie etwa die Paketübersicht, die eine Beschreibung und Bilder sowie einige Meta-Informationen enthält, die aus package.json stammen.

Zudem können Sie rechts alle verfügbaren Plugins innerhalb des gewählten Pakets sehen. Um ein Plugin zu installieren, klicken Sie auf Plugin installieren und wählen Sie die gewünschte Anwendung aus.

Packages overview

In der Registerkarte Versionen sehen Sie alle bisher hochgeladenen Binärdateien im Zusammenhang mit dem aktuellen Paket. Die auf dieser Registerkarte angezeigten Binärdateien können über das Kontextmenü neben dem jeweiligen Paketversionseintrag heruntergeladen werden.

Versions view

Sie können verschiedene Versionen auswählen oder hochladen. Die Versionen geben Auskunft über den Zustand des Pakets. Über sie kann überprüft werden, ob ein bestimmtes Paket veraltet ist und aktualisiert werden muss. Wenn Sie auf eine Version klicken, werden weitere Informationen wie Paketinhalt, Anwendungen oder Plugins angezeigt. Tags können verwendet werden, um Versionen mit aussagekräftigen Namen zu versehen. Das Tag “Aktuellste” dient zur Angabe der Standardversion, die ausgewählt wird, wenn kein Tag bereitgestellt wird. Das Tag “Aktuellste” wird standardmäßig auf die neueste Version gesetzt, wann immer eine Version ohne ein bestimmtes Tag hochgeladen wird.

Um zu einer anderen Version zu wechseln, öffnen Sie das Kontextmenü der gewünschten Version und klicken Sie auf Als letzte einstellen. Um eine Version zu löschen, klicken Sie auf Löschen.

Funktionen

Funktionen sind integrierte Anwendungen, die nicht durch ein spezielles Artefakt (Microservice oder Webanwendung) dargestellt werden.

Auf der Registerkarte Funktionen finden Sie eine Liste aller Funktionen, die in Ihrem Mandanten abonniert werden. In einem Enterprise Tenanten sind folgende Funktionen standardmäßig verfügbar:

Name auf der Benutzeroberfläche Funktionalität Identifikation in der API Verfügbarkeit
Funktion-Branding Passen Sie das Erscheinungsbild Ihrer Mandanten nach Ihren Vorlieben an feature-branding Enterprise Tenant
Funktion-Broker Teilen Sie Daten gezielt mit anderen Mandanten feature-broker Enterprise Tenant
Funktion-Benutzer-Hierarchie Hiermit können Sie in Cumulocity IoT verschiedene Organisationen getrennt verwalten, die dieselbe Datenbank teilen feature-user-hierarchy Enterprise Tenant
Info
Alle hier aufgelisteten Anwendungen sind vom Typ “Funktion”.

Je nach den konkreten Abonnements Ihres Mandanten können auch andere Funktionen angezeigt werden.

Verwalten und Überwachen von Microservices

Klicken Sie auf Microservices im Menü Ecosystem des Navigators, um eine Liste oder Tabelle aller Microservices anzuzeigen, die für Ihr Konto abonniert werden.

Microservices list

Ein Microservice ist eine spezielle Art von Anwendung, und zwar eine serverseitige Anwendung, die zum Entwickeln von Zusatzfunktionalitäten für Cumulocity IoT dient. Als Webanwendungen können Microservices entweder von der Plattform oder von einem Service Provider für Ihren Mandanten abonniert werden oder als benutzerdefinierte Anwendungen in Ihrem Besitz sein, siehe Abonnierte Miroservices.

Abonnierte Microservices

Cumulocity IoT stellt vielerlei Microservice-Anwendungen für verschiedene Zwecke bereit. Je nach Ihrer Installation und/oder Ihren optionalen Services zeigt Ihr Mandant eine Auswahl der potenziell verfügbaren Anwendungen an.

Nachstehend finden Sie eine Liste aller Microservices, die in einem Standard Tenanten und/oder Enterprise Tenanten standardmäßig abonniert sind. Darüber hinaus können zahlreiche optionale Microservices für Ihren Mandanten abonniert sein.

Standardmäßig abonnierte Microservices

Name auf der Benutzeroberfläche Funktionalität Identifikation in der API Verfügbarkeit
Apama-ctrl-250mc-1g Vollversion des Microservice "Apama". Laufzeit für Analytics Builder, EPL Apps und Smart Rules apama-ctrl-250mc-1g Enterprise Tenant
Apama-ctrl-starter Eingeschränkte Version des Microservice "Apama". Laufzeit für eine unbeschränkte Anzahl von Smart Rules und eine beschränkte Anzahl von Analytics Builder-Modellen apama-ctrl-starter Standard Tenant
Apama-ctrl-smartrulesmt Eingeschränkte Version des Microservice "Apama". Laufzeit nur für Smart Rules, keine Analytics Builder-Modelle oder EPL-Apps verfügbar apama-ctrl-smartrulesmt Nur für selbst gehostete Installationen verfügbar
Device-simulator Simulation aller Aspekte von IoT-Geräten device-simulator Standard Tenant, Enterprise Tenant
Report agent Planen von Datenexporten aus der Cockpit-Anwendung heraus report agent Standard Tenant, Enterprise Tenant
Smartrule Verwenden Sie die Smart Rules Engine und erstellen Sie Smart Rules, um Aktionen anhand von Echtzeitdaten auszuführen. Erfordert einen der folgenden Microservices: apama-ctrl-1c-4g, apama-ctrl-starter oder apama-ctrl-smartrules smartrule Standard Tenant, Enterprise Tenant
Sslmanagement Aktivieren eines eigenen benutzerdefinierten Domain-Namens durch Verwendung eines SSL-Zertifikats sslmanagement Enterprise Tenant
Info
Alle hier aufgelisteten Anwendungen sind vom Typ “Microservice”.

Benutzerdefinierte Microservices

So fügen Sie einen Microservice als benutzerdefinierte Anwendung hinzu

  1. Klicken Sie rechts oben auf Microservice hinzufügen.
  2. Legen Sie im darauf folgenden Dialog eine entsprechende ZIP-Datei ab oder navigieren Sie in Ihrem Dateisystem zu der Datei. Beachten Sie, dass die hochzuladende Datei nicht größer als 500 MB sein darf.
  3. Der Microservice wird erstellt, sobald die ZIP-Datei erfolgreich hochgeladen wurde.
Wichtig
Um Microservices zur Plattform hinzuzufügen, muss die ZIP-Datei die Manifest-Datei und das Docker Image für den Microservice enthalten. Zur Vorbereitung und Bereitstellung des Microservice-Pakets lesen Sie den Abschnitt General aspects im Microservice SDK Guide. Den Namen des Microservice können Sie in dessen Manifestdatei angeben. Wird in der Manifestdatei kein Name angegeben, leitet ihn die Plattform vom Namen der ZIP-Datei ab, indem sie das erkannte Versionssuffix weglässt. In jedem Fall darf der entstehende Name nicht länger als 23 Zeichen sein.

Microservice-Attribute

Um weitere Details zu einem Microservice anzuzeigen, klicken Sie auf ihn, um seine Registerkarte Attribute zu öffnen.

Microservice properties

In der Registerkarte Attribute werden für jeden Microservice folgende Informationen angezeigt:

Feld Beschreibung Kommentar
ID Eindeutige ID zur Identifikation des Microservice Automatisch generiert
Name Anwendungsname; wird als Titel der Microservice-Anwendung in der oberen Leiste angezeigt Wird automatisch vom Namen der ZIP-Datei abgeleitet (erkannte Versionsnummer wird weggelassen), es sei denn, er ist in der Manifestdatei des Microservice angegeben
Anwendungsschlüssel Wird zur Identifikation des Microservice verwendet. Wird außerdem verwendet, um ihn als Abonnement zur Verfügung zu stellen, siehe Concepts Guide. Automatisch generiert, basierend auf dem Namen der ZIP-Datei
Typ Anwendungstyp Microservice
Pfad Teil der URL, die die Anwendung aufruft Automatisch generiert als .../service/

Nachstehend finden Sie zusätzlich Informationen zur Microservice-Version sowie zur Isolationsstufe und zum Abrechnungsmodus. Details zu diesen Parametern siehe Enterprise Tenant > Nutzungsstatistiken und Abrechnung > Microservice-Nutzung.

Microservice-Abonnement

Rechts oben in der Registerkarte Attribute finden Sie einen Umschalter zum Abonnieren oder Abbestellen eines Microservice.

Eine Änderung des Abonnements ist nur möglich bei benutzerdefinierten Microservices, d. h. bei Microservices, die Sie besitzen.

Microservice-Berechtigungen

In der Registerkarte Berechtigungen können Sie die Berechtigungen, die für den jeweiligen Microservice erforderlich sind, und die dafür bereitstehenden Rollen anzeigen.

Überwachen von Microservices

Es gibt zwei Möglichkeiten, Microservices in der Cumulocity IoT-Plattform zu überwachen.

Statusinformation

Der Status eines Microservice kann in der Registerkarte Status der entsprechenden Microservice-Anwendung überprüft werden.

Microservice status

Zum Anzeigen des Status benötigen Sie folgende Berechtigungen: Rolle Anwendungsverwaltung LESEN und Rolle Stammdaten LESEN.

Folgende Information werden in der Registerkarte Status angezeigt:

Die Statusinformation ist sowohl für abonnierte als auch für eigene Anwendungen verfügbar. Die Informationen zu den abonnierten Mandanten sind jedoch nur für den Besitzer der Anwendung sichtbar.

Alarme und Ereignisse

Die meisten in der Registerkarte Status angezeigten Alarme und Ereignisse sind rein technische Beschreibungen dessen, was mit dem Microservice geschieht.

Es gibt zwei benutzerfreundliche Alarmtypen:

Benutzerfreundliche Alarme werden nur für den Microservice-Eigentümer-Mandanten erzeugt. Sie werden auch automatisch gelöscht, wenn der Normalzustand wiederhergestellt ist, d. h. wenn alle Microservice-Instanzen korrekt funktionieren.

Benutzerfreundliche Alarme können zum Erstellen von Smart Rules verwendet werden. Weitere Informationen zum Erstellen verschiedener Arten von Smart Rules finden Sie unter Smart Rules.

Soll zum Beispiel eine E-Mail gesendet werden, wenn ein Microservice außer Betrieb ist, erstellen Sie eine Smart Rule “Bei Alarm E-Mail senden”.

Verwenden Sie im Bereich Bei Alarm vom Typ den Alarmtyp c8y_Application_Down. Wählen Sie als Ziel-Asset den Microservice, den Sie überwachen möchten, z. B. “echo-agent-server”.

Logdateien

Cumulocity IoT ermöglicht das Anzeigen von Logdaten, die weitere Informationen zum Status von Microservices liefern.

Um Logdaten anzuzeigen, öffnen Sie die Registerkarte Logdaten des jeweiligen Microservice.

Links oben auf der Seite können Sie die Microservice-Instanz auswählen, für die Sie Logdaten anzeigen möchten.

Info
Falls Ihr Microservice in zwei Instanzen aufgeteilt wurde, können Sie zwar zwischen diesen wechseln, es ist jedoch nicht möglich, die Logdaten beider Instanzen gleichzeitig anzuzeigen.

Neben der Instanz-Auswahlliste können Sie das Zeitintervall wählen, in dem die Logeinträge angezeigt werden sollen, indem Sie ein Datum im Kalender auswählen und eine Uhrzeit eingeben.

Info
Die hier eingegebene Uhrzeit kann sich aufgrund unterschiedlicher Zeitzonen von der Uhrzeit des Servers unterscheiden.

Rechts oben stehen weitere Funktionalitäten zur Verfügung:

Anfänglich werden auf der Registerkarte Logdaten der ausgewählten Microservice-Instanz die neuesten Logdaten angezeigt.

Rechts unten finden Sie die folgenden Navigationsschaltflächen:

Wenn im ausgewählten Zeitintervall keine Logdaten verfügbar sind, wird eine entsprechende Meldung angezeigt:

Microservice log
Info

Es gibt keine Möglichkeit, die Logdaten der zuvor ausgeführten Instanzen oder die Logdaten aus den zuvor rotierten Protokollen mit über 35 MB anzuzeigen. Allerdings wird in jeder Instanz ein Docker-Container ausgeführt, und wenn nur dieser (nicht die gesamte Instanz) neu gestartet wurde, sollten die Logdaten des aktuell aktiven sowie des kürzlich beendeten Docker-Containers angezeigt werden.

Logdaten werden aus dem Docker-Container immer mittels der beiden Quellen stdout und stderr geladen und es gibt keine Möglichkeit, nach der Quelle zu unterscheiden bzw. zu filtern.

Verwalten von Geschäftsregeln

Alarmregeln

Alarmregeln ermöglichen es, den Schweregrad und Text von Alarmen zu ändern, um diese den Prioritäten Ihres Unternehmens anzupassen. Der Abbruch einer Verbindung wird beispielsweise standardmäßig als WICHTIG eingestuft, kann aber in Ihrem Fall KRITISCH sein. Daher können Sie eine Alarmregel definieren, die Alarme im Zusammenhang mit Verbindungsabbrüchen als KRITISCH einstuft.

Klicken Sie auf Alarmregeln im Menü Geschäftsregeln, um eine Liste aller Alarmregeln anzuzeigen.

Alarm mapping

Zu jeder Alarmregel werden der Alarmschweregrad, der Alarmtyp und eine Beschreibung (optional) angezeigt.

So fügen Sie eine Alarmregel hinzu

  1. Klicken Sie auf Alarmregel hinzufügen in der oberen Menüleiste.
  2. Geben Sie den Alarmtypen ein, den Sie ändern möchten.
  3. Geben Sie im Feld Neue Beschreibung optional eine neue Beschreibung für den Alarm ein. Wenn Sie dieses Feld frei lassen, wird der ursprüngliche Text des Alarms beibehalten.
  4. Wählen Sie den gewünschten neuen Schweregrad aus, oder wählen Sie “Ignorieren”, um den Alarm ganz zu unterdrücken.
  5. Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.
Info
Der als Alarmregel bereitgestellte Alarmtyp wird als Alarmtyp-Präfix interpretiert: "<type-prefix>*". Wenn Sie z. B. eine Alarmregel erstellen, die Alarme des Typs "crit-alarm" adressieren soll, gilt die Regel für jeden Alarmtyp, der mit diesem Wert beginnt, z. B. "crit-alarm-1", "crit-alarm-2" oder "crit-alarm-xyz".

So bearbeiten Sie eine Alarmregel

Um Alarmregeln zu bearbeiten, klappen Sie diese aus. Sie können die Beschreibung und den Alarmschweregrad ändern. Der Alarmtyp ist nicht editierbar.

Info
Aktualisieren die Liste, um Änderungen zu verwerfen, ohne sie zu speichern.

So löschen Sie eine Alarmregel

Zum Löschen einer Alarmregel bewegen Sie den Mauszeiger darüber und klicken Sie auf das Löschen-Symbol, das beim Bewegen des Mauszeigers über die Zeile sichtbar wird.

Verwalten von Daten

Datenhaltungsregeln

Mit Datenhaltungsregeln können Sie steuern, wie lange Daten in Ihrem Konto gespeichert bleiben. Standardmäßig werden alle historischen Daten nach 60 Tagen gelöscht (konfigurierbar in den Systemeinstellungen).

Vielleicht möchten Sie jedoch Messwerte 90 Tage speichern, Alarme aber bereits nach 10 Tagen löschen.

Datenhaltungsregeln werden üblicherweise während der Nacht ausgeführt. Wenn Sie eine Datenhaltungsregel bearbeiten, sehen Sie daher keine unmittelbare Auswirkung in der Nutzung, die auf der Startseite der Anwendung angezeigt wird.

Klicken Sie auf Datenhaltungsregeln im Menü Verwaltung, um eine Liste aller Datenhaltungsregeln in Ihrem Konto anzuzeigen.

Retention rules

Für jede Regel wird der Name, Details zu den Daten, die gelöscht werden sollen (Fragmenttyp, Typ und Quelle, siehe unten) und die maximale Anzahl an Tagen angezeigt.

Das Sternsymbol ("*") zeigt an, dass alle Daten, unabhängig vom jeweiligen Wert, entfernt werden.

Datentypen

Die Datenhaltungsregeln erstrecken sich auf folgende Datentypen:

Info
Datenhaltungsregeln gelten nicht für Dateien, die in der Dateiablage gespeichert sind.

So fügen Sie eine Datenhaltungsregel hinzu

  1. Klicken Sie auf Regel hinzufügen in der oberen Menüleiste.
  2. Wählen Sie im darauf folgenden Dialog den Datentyp aus, den Sie löschen möchten (Alarm, Messung, Ereignis, Operation, Audit oder Alle).
  3. Geben Sie einen Fragmenttypen ein, wenn Sie die zu löschenden Daten genauer spezifizieren möchten. Geben Sie im Feld Typ ein “type”-Attribut als Filter ein. Um beispielsweise alle Alarme im Zusammenhang mit Verbindungsabbrüchen zu löschen, wählen Sie als Datentyp “Alarm” und geben Sie “c8y_UnavailabilityAlarm” als Attribut ein.
  4. Wenn Sie nur die Daten für ein bestimmtes Gerät löschen möchten, geben Sie die entsprechende Geräte-ID in das Feld Quelle ein.
  5. Geben Sie das maximale Alter in Tagen an (maximal zulässiger Wert ist 10 Jahre in Tagen).
  6. Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.

Die Datenhaltungsregel wird zu den Berichtsdetails hinzugefügt.

Info
Standardmäßig ist in allen Feldern außer im Feld Maximales Alter ein Sternsymbol ("*") gesetzt, um alle Werte einzuschließen. Alarme werden nur entfernt, wenn sie den Status AUFGEHOBEN aufweisen.

So bearbeiten Sie eine Datenhaltungsregel

Klicken Sie einfach auf die Zeile der zu löschenden Regel.

Weitere Informationen zu den Feldern finden Sie unter So fügen Sie eine Datenhaltungsregel hinzu.

So löschen Sie eine Datenhaltungsregel

Bewegen Sie die Maus über die Zeile mit der Regel, die Sie löschen möchten, und klicken Sie rechts auf das Löschen-Symbol.

Info

Alle Datenhaltungsregeln werden sequenziell und unabhängig voneinander ausgeführt. Wenn es zwei Datenhaltungsregeln gibt, von denen eine spezifischere mit einem höheren maximalen Alter eine Untermenge von den Dokumenten definiert, die durch eine allgemeinere Regel mit einem niedrigeren maximalen Alter definiert werden, wird alles so abgearbeitet, als gäbe es nur eine einzige, allgemeinere Regel.

Betrachtet man beispielsweise die beiden folgenden Regeln:

Datentyp Fragmenttyp Typ Quelle Maximales Alter
MESSUNG * c8y_Temperature * 30 Tage
MESSUNG * c8y_Temperature 12345 60 Tage

Alle Messwerte vom Typ c8y_Temperature, die älter als 30 Tage sind, werden entfernt, einschließlich der Messwerte, bei denen die Quelle 12345 entspricht.

Wenn jedoch die folgenden Datenhaltungsregeln definiert wurden:

Datentyp Fragmenttyp Typ Quelle Maximales Alter
MESSUNG * c8y_Temperature * 30 Tage
MESSUNG * * * 60 Tage

Der Datenhaltungsprozess entfernt alle Messwerte vom Typ c8y_Temperature, die älter als 30 Tage sind. Alle anderen Messwerte werden erst entfernt, wenn sie älter als 60 Tage sind.

Info
Der Quellparameter ist die ID des Geräts. Wenn dieser definiert ist, entfernt der Datenhaltungsprozess nur die Dokumente, die direkt mit dem durch die Quelle dargestellten Gerät verbunden sind, nicht jedoch die der Kinder oder zugehörigen Gruppen.

Verwalten von Daten in der Dateiablage

Die Dateiablage bietet einen Überblick über die Dateien, die in Ihrem Konto gespeichert sind.

Klicken Sie auf Dateiablage im Menü Verwaltung, um eine Liste aller Dateien anzuzeigen.

Die angezeigten Dateien können aus verschiedenen Quellen stammen. Es kann sich um Software Images, Konfigurationssnapshots von Geräten, Logdateien von Geräten oder um Webanwendungen, die auf der Seite Alle Anwendungen hochgeladen wurden, handeln.

Für jede Datei werden der Name, der Eigentümer, der Dateityp (z. B. image/bmp, text/csv), die Dateigröße und das Datum der letzten Aktualisierung angezeigt.

Files Repository

So laden Sie eine Datei aus Ihrem Dateisystem hoch

Klicken Sie auf Datei hochladen in der oberen Menüleiste. Wählen Sie im darauf folgenden Dialog eine Datei zum Hochladen aus. Wenn Sie mehrere Dateien hochladen möchten, klicken Sie auf Datei hinzufügen, um eine weitere Datei auszuwählen. Sie können eine Datei vor dem Hochladen auch löschen, indem Sie rechts neben dem Dateifeld auf das Löschen-Symbol klicken.

So laden Sie eine Datei von Ihrem Konto herunter

Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Herunterladen.

So löschen Sie eine Datei aus Ihrem Konto

Klicken Sie auf das Menüsymbol rechts neben der jeweiligen Zeile und anschließend auf Löschen.

Info
Wenn die Datei einer aktiven Anwendung entspricht, kann sie nicht gelöscht werden. Sie müssen die Anwendung erst entfernen oder ein Upgrade ausführen, um die Datei löschen zu können.

Ändern von Einstellungen

Im Menü Einstellungen können Administratoren verschiedene Einstellungen des Kontos verwalten:

Ändern von Authentifizierungseinstellungen

Klicken Sie auf Authentifizierung im Menü Einstellungen, wenn Sie die Anmelde- oder TFA-Einstellungen ändern möchten.

Authentication settings

Info
Um den Menüeintrag Authentifizierung sehen zu können, benötigen Sie die ADMIN-Berechtigung “Mandanten-Management” (ROLE_TENANT_ADMIN oder ROLE_TENANT_MANAGEMENT_ADMIN).

Login-Einstellungen

Im Feld Bevorzugter Login-Modus können Sie eine der folgenden Optionen wählen:

Dieser Anmeldemodus wird von den Anwendungen der Plattform als Standardmethode zum Authentifizieren von Benutzern verwendet. Die Geräteauthentifizierung bleibt unverändert.

Wichtig
Immer wenn Sie den Anmeldemodus ändern, werden Sie gezwungen, sich abzumelden. Andere Benutzer müssen sich ab- und wieder anmelden, damit die Änderung angewendet wird.

Im Feld Gültigkeitsdauer des Passworts können Sie die Gültigkeit von Benutzerpasswörtern beschränken, indem Sie die Anzahl der Tage eingeben, nach der Benutzer ihre Passwörter ändern müssen. Wenn Sie keine Passwortänderung erzwingen möchten, verwenden Sie “0” für die uneingeschränkte Gültigkeit von Passwörtern (Standardwert).

Info
Die Begrenzung der Passwort-Gültigkeitsdauer gilt für Benutzer mit der Rolle “devices”. Sie verhindert, dass Gerätepasswörter ablaufen.

Standardmäßig können Benutzer jedes Passwort verwenden, das 8 Zeichen oder mehr enthält. Wenn Sie Verwenden von starken (grünen) Passwörtern erzwingen auswählen, müssen die Benutzer starke Passwörter verwenden, wie unter Erste Schritte > Benutzeroptionen und -einstellungen > So ändern Sie Ihr Passwort beschrieben.

Info
Passwort-Gültigkeitsdauer und Passwortstärke sind möglicherweise nicht editierbar, falls dies vom Plattformadministrator so konfiguriert wurde.

Einschränkungen bei “Basic Auth”

Auch wenn für die Benutzer die Authentifizierung “OAI-Secure” konfiguriert wird, bleibt die Basisauthentifizierung für Geräte und Microservices, die die Plattform nutzen, verfügbar. Um ein höheres Maß an Sicherheit zu erzielen, kann die Basisauthentifizierung eingeschränkt werden.

Mit dem Umschalter Nicht für Web-Browser zugelassen können Sie die Verwendung der Basisauthentifizierung in Webbrowsern unterbinden. Zudem können Sie die folgenden Parameter festlegen:

Info
Wird der Benutzer-Agent in der Liste der vertrauenswürdigen oder verbotenen Benutzer-Agenten nicht gefunden, versucht Cumulocity IoT zu überprüfen, ob es sich um einen Webbrowser handelt, der eine externe Bibliothek verwendet.

OAI-Secure

OAI-Secure ist eine sicherere Alternative zum Basic Auth-Modus, der auch die Anmeldung mittels Benutzername und Passwort unterstützt. Im OAI-Secure-Modus werden die Zugangsdaten bei der ersten Anfrage durch ein JWT-Token ersetzt, das als Cookie im Webbrowser gesetzt oder im Antworttext zurückgegeben wird. Je nach Konfiguration kann OAI-Secure volle Sitzungsverwaltung unterstützen oder aber als standardmäßige JWT-Authentifizierung fungieren, wenn die Lebensdauer der Benutzersitzung durch die Ablaufzeit des Tokens begrenzt ist.

OAI-Secure ohne Konfiguration für die Sitzungsverwaltung (Sitzungskonfiguration deaktiviert)

Wenn keine sitzungsbezogene Konfiguration vorliegt, gibt OAI-Secure ein JWT-Token mit einer bestimmten Lebensdauer heraus. Wenn das Token abläuft, ist der Benutzer gezwungen, sich erneut anzumelden, da die Token-Aktualisierung nicht unterstützt wird. Bei kurzer Token-Lebensdauer ist dieses Verhalten für den Benutzer äußerst unpraktisch, da er sich häufig neu anmelden muss.

OAI-Secure mit Konfiguration der Sitzungsverwaltung (Sitzungskonfiguration aktiviert)

Die Verwendung von OAI-Secure mit aktivierter Sitzungskonfiguration ist praktischer und sicherer. So erzielen Sie ein Verhalten, das der Authentifizierung auf Basis von HTTP-Sitzungen ähnelt.

Das OAI-Secure-Token fungiert als Client-seitige Sitzungs-ID (Webbrowser). Eine solche im Cookie gespeicherte Token-ID kann eine vorkonfigurierte kurze Lebensdauer haben. Die Cumulocity IoT-Plattform ist dann dafür verantwortlich, die Sitzungs-ID ohne eine Benutzerinteraktion zu erneuern. Es reicht aus, dass die Benutzeraktion den Webbrowser dazu veranlasst, eine Anfrage an Cumulocity IoT zu senden. Cumulocity IoT kann dann prüfen, ob die Erneuerung der Sitzungs-ID erfolgen soll, und gegebenenfalls die Operation durchführen. Cumulocity IoT bietet umfangreiche Konfigurationsmöglichkeiten für dieses Verhalten, so dass die Mandantenadministratoren die Konfiguration nach ihren Wünschen anpassen können.

Wenn die Option Sitzungskonfiguration verwenden aktiviert ist, können folgende Einstellungen vom Mandantenadministrator auf Mandantenebene konfiguriert werden:

Feld Beschreibung Standardwert
Validierung des Benutzer-Agenten erforderlich Wenn aktiviert, werden die vom Benutzer-Agenten gesendeten Kopfzeilen von aufeinanderfolgenden Anfragen im Geltungsbereich einer Sitzung verglichen und eine Anfrage mit geändertem Benutzer-Agenten wird nicht autorisiert. false
Absolute Zeitüberschreitung der Sitzung Definiert den maximalen Zeitraum, den der Benutzer Cumulocity IoT verwenden kann, ohne sich neu authentifizieren zu müssen. 14 Tage
Zeitüberschreitung bei der Sitzungserneuerung Es wird erwartet, dass diese viel kürzer ist als die absolute Zeitüberschreitung. Definiert die Zeit, nach der Cumulocity IoT versucht, ein neues Token (Sitzungs-ID) bereitzustellen. Die Erneuerung kann nur stattfinden, wenn Cumulocity IoT eine HTTP-Anfrage von einem Client mit einem nicht abgelaufenen Token erhält und der Zeitraum zwischen dem Erhalt des Tokens und der Ausführung der Anfrage größer als die Zeitüberschreitung bei der Erneuerung ist. 1 Tag
Maximale Anzahl der parallelen Sitzungen pro Benutzer Definiert die maximale Anzahl der Sitzungen, die von einem Benutzer gestartet werden können (z. B. auf verschiedenen Maschinen oder Browsern). Wenn ein Benutzer dieses Limit überschreitet, wird die älteste Sitzung beendet und der Benutzer wird auf dem jeweiligen Gerät abgemeldet. 5 Sitzungen
Token-Laufzeit Definiert, wie lange ein Token aktiv ist. Der Benutzer kann nur mit einem gültigen Token auf Cumulocity IoT zugreifen. Diese Konfigurationsoption ist stets verfügbar, unabhängig von der Sitzungskonfiguration. Siehe Token-Erzeugung mit OAI-Secure unten. 2 Tage
Info

Die Zeitparameter sollten in folgender Weise voneinander abhängig sein: Zeitüberschreitung bei der Erneuerung < Token-Laufzeit < absolute Zeitüberschreitung. Außerdem sollte die Zeitüberschreitung bei der Erneuerung etwa die Hälfte der Token-Laufzeit betragen.

Somit werden für einen Standard-Anwendungsfall folgende Einstellungen für OAI-Secure empfohlen:

  • Absolute Zeitüberschreitung der Sitzung: 28 800 Sekunden (8 Stunden)
  • Zeitüberschreitung bei der Sitzungserneuerung: 2700 Sekunden (45 Minuten)
  • Token-Laufzeit: 5400 Sekunden (90 Minuten)

In solchen Konfigurationen liegt die Leerlauf-Zeitüberschreitung im Bereich von 45 bis 90 Minuten, je nachdem, wann die letzte Aktivität für die Sitzung stattfand.

Während der Erneuerung des Sitzungs-Tokens wird das vorherige Token zurückgesetzt und durch ein neues ersetzt. Der Parameter Verzögerung bei Erneuerung des Tokens definiert die Verzögerung, die dafür sorgt, dass der Prozess für den Benutzer reibungslos und nicht störend verläuft. In diesem Zeitraum (standardmäßig 1 Minute) ist das alte Token weiterhin gültig. Somit werden sowohl das alte als auch das neue Token von Cumulocity IoT akzeptiert. Dieser Parameter ist nur auf Plattform-Ebene konfigurierbar und kann vom Mandantenadministrator nicht geändert werden.

Token-Erzeugung mit OAI-Secure

OAI-Secure basiert im Wesentlichen auf JWT, das in einem Browser-Cookie gespeichert wird. Außerdem kann OAI-Secure zum Erzeugen eines JWT im Antworttext verwendet werden. Die Lebensdauer der Tokens und des Cookies ist über Mandantenoptionen konfigurierbar, die der Kategorie oauth.internal angehören.

Im Browser-Cookie gespeicherte JWT-Tokens haben standardmäßig eine Gültigkeitsdauer von zwei Wochen. Dies kann mit Mandantenoptionen geändert werden:

Der minimal zulässige Wert ist 5 Minuten.

Lebensdauerkonfiguration von Cookies

Cookies zum Speichern eines JWT-Tokens in einem Browser haben eine eigene Gültigkeitsdauer, die mit Mandantenoptionen geändert werden kann:

Der Standardwert ist zwei Wochen. Damit das Cookie gelöscht wird, wenn der Benutzer den Browser schließt, geben Sie hier einen beliebigen negativen Wert an.

Lebensdauerkonfiguration von JWT im Antworttext

Die Lebensdauer von JWT-Tokens, die im Antworttext erzeugt werden, wird mit den folgenden Mandantenoptionen konfiguriert:

Weitere Informationen finden Sie unter Tenant API in Cumulocity IoT OpenAPI Specification.

Info
Falls die externe Kommunikation zum Management Tenanten blockiert wurde, kann nur auf sichere Weise auf den Mandanten zugegriffen werden (z. B. über SSH-Tunnel). Dies bedeutet, dass Sie ebenso gut die Basisauthentifizierung verwenden können. Darüber hinaus ist es nicht möglich, Single-Sign-On zu verwenden, da die vom externen Autorisierungsserver kommende Kommunikation ebenfalls blockiert ist. Daher wird automatisch die Authentifizierungsmethode “Basisauthentifizierung” eingestellt, wenn der Management Tenant für das Blockieren der externen Kommunikation konfiguriert ist.

TFA-Einstellungen

Aktivieren Sie die Checkbox Zwei-Faktor-Authentifizierung zulassen, wenn TFA bei Ihrem Mandanten zulässig sein soll (nur für Administratoren möglich).

Sie können eine der folgenden Optionen wählen:

Info
Für den Mandanten muss ein SMS-Gateway-Microservice konfiguriert werden. Es versteht sich von selbst, dass nur Benutzer, denen eine gültige Telefonnummer zugewiesen ist, diese Funktionalität nutzen können.
Info
Die TOTP-Methode ist nur im Anmeldemodus “OAI-Secure” verfügbar.

Klicken Sie auf TFA-Einstellungen speichern, um Ihre Einstellungen zu speichern.

Wichtig
Immer wenn Sie die TFA-Methode ändern, werden Sie gezwungen, sich abzumelden. TFA-Einstellungen der Benutzer werden gelöscht und müssen erneut konfiguriert werden.
Info
Benutzer mit der Rolle “devices” sind von TFA und TOTP ausgeschlossen. Dies gilt auch dann, wenn TOTP für alle Benutzer erzwungen wird.

Ändern von Anwendungseinstellungen

Klicken Sie auf Anwendung, um Anwendungseinstellungen zu bearbeiten.

Application settings

Unter Standardanwendung können Sie eine Standardanwendung für alle Benutzer Ihres Mandanten festlegen. Wenn auf die Plattform z. B. nur über den Domain-Namen ohne Erwähnung einer bestimmten Anwendung zugegriffen wird, wird die als Standardanwendung gewählte Anwendung als Standard-Landing-Page verwendet.

Info
Alle Benutzer müssen Zugriff auf diese Anwendung haben.

Unter Zugriffskontrolle können Administratoren CORS (Cross-Origin Resource Sharing) über die Cumulocity IoT API aktivieren.

Die Einstellung Zulässige Domain ermöglicht es Ihren JavaScript-Webanwendungen, direkt mit REST APIs zu kommunizieren.

Weitere Information erhalten Sie unter http://enable-cors.org.

Verwalten der Attributsbibliothek

Klicken Sie auf Attributsbibliothek im Menü Einstellungen, um Stammdaten-Objekten, Alarmen, Ereignissen und Mandanten benutzerdefinierte Attribute hinzuzufügen.

Properties library

Mit benutzerdefinierten Attributen können Sie das Datenmodell der in Cumulocity IoT integrierten Objekte erweitern. Sie können die folgenden eigenen Attribute erstellen:

Info
Benutzerdefinierte Attribute sind für alle authentifizierten Benutzer des Mandanten sichtbar, unabhängig von ihrer Stammdatenrollen-Berechtigung.

So fügen Sie ein benutzerdefiniertes Attribut hinzu

  1. Wählen Sie die Registerkarte für das gewünschte Attribut und klicken Sie auf Attribut hinzufügen.

  2. Geben Sie im folgenden Dialog einen eindeutigen Namen als Bezeichnung und eine Beschriftung für das Attribut ein und wählen Sie einen Datentyp aus der Auswahlliste.

  3. Wählen Sie außerdem Validierungsregeln für das neue Attribut aus:

Checkbox Beschreibung
Erforderlich Wenn ausgewählt, muss das Attribut bereitgestellt werden, z. B. beim Erstellen eines Alarms. Nicht verfügbar beim Attributtyp "Boolean".
Standardwert Stellen Sie einen Standardwert bereit, der automatisch in das benutzerdefinierte Attributfeld eingefügt wird. Nur verfügbar bei Attributen des Typs "Zeichenkette".
Minimum Geben Sie einen minimalen Integer-Wert ein.
Maximum Geben Sie einen maximalen Integer-Wert ein.
Minimale Länge Geben Sie eine minimale Länge ein, die für die Zeichenkette erforderlich ist.
Maximale Länge Geben Sie eine maximale Länge ein, die für die Zeichenkette erforderlich ist.
Regulärer Ausdruck Fügen Sie einen regulären Ausdruck hinzu, der zum Ausfüllen des benutzerdefinierten Attributfelds erforderlich ist.
  1. Klicken Sie auf Speichern, um das neue Attribut zu erstellen.

So bearbeiten Sie ein benutzerdefiniertes Attribut

  1. Klicken Sie auf den Namen eines Attributs in der Liste, um dieses zu öffnen.
  2. Nehmen Sie die gewünschten Bearbeitungen vor. Weitere Informationen zu den Feldern finden Sie unter So fügen Sie ein benutzerdefiniertes Attribut hinzu.
  3. Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.

So entfernen Sie ein benutzerdefiniertes Attribut

  1. Klicken Sie auf den Namen eines Attributs in der Liste, um dieses zu öffnen.
  2. Klicken Sie auf Entfernen, um das Attribut zu löschen.

Bereitstellen von Zugangsdaten für den SMS-Anbieter

SMS werden für verschiedene Funktionen der Plattform wie Zwei-Faktor-Authentifizierung und Benachrichtigungen verwendet, z. B. bei Alarmen.

Durch Bereitstellung Ihrer Zugangsdaten ermöglichen Sie die Nutzung von Plattform-Funktionen, die SMS-Dienste verwenden.

So geben Sie die Zugangsdaten für den SMS-Anbieter ein

  1. Klicken Sie auf SMS-Anbieter im Menü Einstellungen.
Info
Um die SMS-Anbieter-Konfiguration einsehen zu können, benötigen Sie die Berechtigung SMS LESEN. Um die SMS-Anbieter-Konfiguration ändern zu können, benötigen Sie die Berechtigung SMS ADMIN.
  1. Wählen Sie auf der Seite SMS-Anbieter einen der verfügbaren SMS-Anbieter aus der Auswahlliste SMS-Anbieter. Sie können mit der Eingabe beginnen, um Elemente zu filtern und Ihren bevorzugten Anbieter leichter zu finden.

  2. Geben Sie im daraufhin angezeigten Dialog die erforderlichen Zugangsdaten und Attribute ein oder legen Sie optionale Einstellungen fest, die sich je nach gewähltem Anbieter unterscheiden.

  3. Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.

Info
OpenIT betreut keine neuen Kunden mehr und ist dabei, das Geschäft mit SMS-Anbietern einzustellen. Wir empfehlen Ihnen daher, einen der anderen SMS-Anbieter zu wählen.

Verwalten der Konnektivitätseinstellungen

Auf der Seite Connectivity können Sie Zugangsdaten für verschiedene Anbieter verwalten. Zum Hinzufügen oder Ersetzen von Zugangsdaten sind ADMIN-Berechtigungen erforderlich.

Derzeit können folgende Anbietereinstellungen festgelegt werden:

So können Sie Zugangsdaten bereitstellen oder ersetzen

  1. Wechseln Sie zur Registerkarte Ihres gewünschten Anbieters.
  2. Geben Sie die URL des Anbieters ein.
  3. Geben Sie die Zugangsdaten Ihrer Anbieterplattform ein. Je nach Anbieter handelt es sich hierbei entweder um Zugangsdaten für Ihr Konto auf der Anbieterplattform oder um die Zugangsdaten, mit denen Sie sich auf der Cumulocity IoT-Konnektivitätsseite registrieren können. Diese werden in Ihrem Konto in der Anbieter-Plattform angezeigt.
  4. Klicken Sie abschließend auf Speichern, um Ihre Einstellungen zu speichern.

Je nach gewähltem Anbieter können zusätzliche Felder vorhanden sein, die in der Dokumentation des entsprechenden Agents erläutert werden, siehe Protocol Integration Guide.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (TFA, two-factor authentication) ist eine zusätzliche Sicherheitsebene, mit der eine Authentifizierung nur durch eine Kombination von zwei verschiedenen Faktoren möglich ist: etwas, was die Benutzer wissen (Benutzername und Passwort), und etwas, was sie haben (z. B. Smartphone) oder sind (z. B. Fingerabdruck). Näheres zum Konfigurieren der TFA erfahren Sie im Abschnitt zum Thema Authentifizierungseinstellungen.

Es gibt zwei mögliche TFA-Strategien: SMS (Short Message Service) und TOTP (Time-based One-Time Password). Es kann immer nur eine von beiden aktiv sein.

Ob TFA für einen bestimmten Benutzer aktiviert ist, können Sie überprüfen, indem Sie die Seite Benutzer aufrufen und in der Spalte “TFA-Status” rechts neben der Spalte “Passwortstärke” nachsehen. Ein Schlüsselsymbol bedeutet, dass TFA aktiviert ist, und indem Sie den Mauszeiger darüber bewegen, können Sie sehen, welche Strategie verwendet wird.

TFA status

SMS

Anforderungen
Wenn Sie einen Benutzer hinzufügen und TFA aktiviert ist, muss eine Mobiltelefonnummer angegeben werden. Ohne gültige Telefonnummer ist eine Anmeldung nicht möglich.

So aktivieren Sie einen bestimmten Benutzer

  1. Navigieren Sie in der Anwendung “Administration” zu Konten > Benutzer und wählen Sie auf der Seite Benutzer einen Benutzer aus.
  2. Aktivieren Sie die Checkbox Zwei-Faktor-Authentifizierung aktivieren.
  3. Klicken Sie auf Speichern.

Enable TFA

Info
Dieser Prozess kann nur über die “Administration”-Anwendung ausgeführt werden und ist unter Benutzereinstellungen nicht verfügbar.

TOTP (Google Authenticator)

Anforderungen
Benutzer müssen auf ihrem Smartphone eine TOTP-Anwendung installieren (Google Authenticator wird empfohlen), die sowohl im App Store als auch im Play Store kostenlos erhältlich ist.

Einrichten

Anders als bei der SMS-Strategie muss TOTP von jedem einzelnen Benutzer eingerichtet werden. Das Einrichten kann durch Öffnen von Benutzereinstellungen in der oberen rechten Ecke und Klicken auf Zweifaktor-Authentifizierung einrichten gestartet werden. Trigger TOTP setup

Wenn TFA aktiviert ist, wird dem Benutzer ein QR-Code angezeigt, den er mit der zuvor installierten TOTP-App scannen muss.

Alternativ kann das Secret auch manuell eingegeben werden, falls das Scannen des QR-Codes nicht möglich ist.

TOTP setup process

Nach diesem Vorgang generiert die TOTP-App alle 30 Sekunden einen neuen Code, der zum Abschließen des Authentifizierungsprozesses verwendet werden kann.

Zurücksetzen des Secrets

Wenn ein Benutzer den Zugriff auf den TFA-Code verliert, z. B. wenn er sein Smartphone verliert oder die Anwendung deinstalliert, und den Code wiederherstellen will, muss das Secret zurückgesetzt werden. TOTP muss von jedem einzelnen Benutzer eingerichtet werden.

Anforderungen

Benutzer können ihr eigenes TOTP-Secret nicht zurücksetzen. Das Secret eines Benutzers wird nur von seinem jeweiligen übergeordneten Benutzer zurückgesetzt. Weitere Informationen zu Benutzerhierarchien finden Sie unter Enterprise Tenant > Verwalten von Benutzerhierarchien im User Guide.

ROLLEN UND BERECHTIGUNGEN:

  • Zum Zurücksetzen des Secrets: ADMIN- oder ERSTELLEN-Berechtigung für Berechtigungstyp “Benutzerverwaltung”
  1. Navigieren Sie in der Anwendung “Administration” zu Konten > Benutzer und wählen Sie auf der Seite Benutzer einen Benutzer aus.
  2. Scrollen Sie herunter zu Anmeldeoptionen.
  3. Klicken Sie auf TOTP-Secret zurücksetzen.
  4. Bestätigen Sie dies durch Klicken auf Zurücksetzen.

TOTP secret revoke

Deaktivieren von TOTP für einen Benutzer

Wenn ein Benutzer die Verwendung von TOTP (und damit der TFA) vollständig ausschalten möchte, muss das Secret zurückgesetzt und die Erzwingung von TOTP deaktiviert werden. TOTP muss von jedem einzelnen Benutzer eingerichtet werden.

Anforderungen

ROLLEN UND BERECHTIGUNGEN:

  • Zum Zurücksetzen des Secrets: ADMIN- oder ERSTELLEN-Berechtigung für Berechtigungstyp “Benutzerverwaltung”
  • Zum Deaktivieren der TOTP-Erzwingung: ADMIN-Berechtigung für Berechtigungstyp “Benutzerverwaltung”

Um TOTP für einen Benutzer zu deaktivieren, führen Sie folgende Schritte aus:

  1. Navigieren Sie in der Anwendung “Administration” zu Konten > Benutzer und wählen Sie auf der Seite Benutzer den Benutzer aus.
  2. Scrollen Sie herunter zu Anmeldeoptionen.
  3. Deaktivieren Sie das Kontrollkästchen TOTP-Einstellung für den Benutzer erzwingen.
  4. Klicken Sie auf TOTP-Secret zurücksetzen.
  5. Bestätigen Sie dies durch Klicken auf Zurücksetzen.
  6. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.

TOTP disable user

Konfigurieren von Single Sign-On

Cumulocity IoT bietet Single-Sign-On-Funktionalität (SSO), die es dem Anwender ermöglicht, sich mit einem einzigen 3rd-Party-Autorisierungsserver über ein OAuth2-Protokoll, z. B. Azure Active Directory (AAD), anzumelden. Aktuell wird die Vergabe von Autorisierungscodes nur mit Access Tokens im JWT-Format unterstützt.

Anforderungen

Zur Verwendung der SSO-Funktion muss gewährleistet sein, dass:

  • der Autorisierungsserver, den Sie verwenden, die Vergabe von OAuth2-Autorisierungscodes unterstützt.
  • das Access Token als JWT ausgegeben wird und Sie wissen, was der Token Content enthalten muss.
  • das JWT aus einer einzigartigen Benutzeridentifikation (unique user identifier) sowie aus den Feldern “iss” (issuer), “aud” (audience) und “exp” (expiration time) besteht.
  • Cumulocity IoT-Plattform Version 10.4.6 oder vorzugsweise höher verwendet wird.
  • alle Microservices mit dem Microservice Java SDK, Version 10.4.6 oder vorzugsweise höher, erstellt wurden. Informationen zu benutzerspezifischen Microservices finden Sie unter General aspects > Security im Microservice SDK Guide.
  • Bei lokalen Installationen ist die Domain-basierte Mandantenabbildung bereits korrekt konfiguriert.
  • Für Enterprise Tenants muss die Enterprise-Domain in den Grundeinstellungen als Redirect-URI festgelegt sein. Sofern bei SSO-Anbietern eine Liste der zulässigen Domains besteht, sollte die Enterprise-Domain dieser Liste hinzugefügt werden.
  • Sie müssen dem Benutzer eine Rolle zuweisen, die für “Eigener Benutzer” mindestens die LESEN-Berechtigung besitzt, andernfalls kann sich der Benutzer nicht anmelden.
  • In den Browsereinstellungen der Benutzer müssen Cookies aktiviert sein, da die SSO-Funktion auf der Cookies-Technologie aufbaut.

Konfigurationseinstellungen

Um die SSO-Funktion zu aktivieren, muss der Administrator eine Verbindung zum Autorisierungsserver konfigurieren. Diese erfolgt in der “Administration”-Anwendung.

Konfigurationszugriff

SSO-Konfigurationen können so eingerichtet werden, dass sie ausschließlich vom Management Tenanten aufrufbar sind, um zu verhindern, dass andere Mandanten auf sie zugreifen können. Benutzer solcher Mandanten können die Konfiguration nicht aktualisieren. Dies beseitigt die Gefahr, dass andere Benutzer sich wegen einer falsch konfigurierten SSO-Funktion nicht über SSO anmelden können. Der Management Tenant kann den Zugriff auf SSO-Konfigurationen für bestimmte Mandanten gewähren oder einschränken. Weitere Informationen zum Konfigurationszugriff finden Sie unter Login options API in der Cumulocity IoT OpenAPI Specification.

Konfigurationsansicht

Klicken Sie auf die Registerkarte Single-Sign-On auf der Seite Authentifizierung. Beachten Sie, dass die Registerkarte nur für Mandanten sichtbar ist, die Zugriff auf die SSO-Konfiguration haben.

Links oben können Sie eine Vorlage auswählen. Die gewählte Option wirkt sich auf das Layout der Seite aus. Die Standardvorlage “Benutzerdefiniert” ermöglicht eine sehr detaillierte Konfiguration mit nahezu jedem Autorisierungsserver, der die Vergabe von OAuth2-Autorisierungscodes unterstützt. Andere Vorlagen bieten vereinfachte Ansichten bekannter und unterstützter Autorisierungsserver. Im Folgenden wird erklärt, wie Sie die benutzerdefinierte Vorlage verwenden, sowie eine Vorlage für das Azure Active Directory vorgestellt.

Benutzerdefinierte Vorlage

Custom authorization request

Da das OAuth-Protokoll auf der Ausführung von HTTP-Anfragen und -Redirects basiert, wird eine generische Anfragekonfiguration bereitgestellt.

Der erste Teil der Single-Sign-On-Seite besteht aus der Anfragekonfiguration. Hier werden die Anfrage-Adresse, Anfrageparameter, Kopfzeile sowie Body von Token- und Refresh-Anfragen konfiguriert. Die Autorisierungsmethode wird von POST-Anfragen als GET-, Token- und Refresh-Anfrage ausgeführt.

Info
Beachten Sie, dass das Text-Feld jeder Anfrage nach dem Ausfüllen der Platzhalter mit Werten in unveränderter Form in der Anfrage versendet wird. Es wird also nicht von Cumulocity IoT kodiert. Viele Autorisierungsserver verlangen, dass Werte im Text URL-kodiert (x-form-urlencoded) sind. Dies kann dadurch erreicht werden, dass bereits kodierte Werte in ein Text-Feld eingegeben werden.

Eine Abmeldeanfrage kann optional festgelegt werden. Sie führt ein Front-Channel Single Logout aus. Wenn diese Option konfiguriert ist, wird der Benutzer nach dem Abmelden aus Cumulocity IoT zur festgelegten Abmelde-URL des Autorisierungsservers weitergeleitet.

Custom logout request

Der Bereich Grundeinstellungen der Single-Sign-On-Seite besteht aus den folgenden Konfigurationseinstellungen:

Custom basic configuration

Feld Beschreibung
Redirect-URI Redirect-Parameter. Kann in Anfragedefinitionen als ${redirectUri}-Platzhalter verwendet werden.
Client-ID Client-ID der OAuth-Verbindung. Kann in Anfragedefinitionen als ${clientId}-Platzhalter verwendet werden.
Token-Issuer OAuth-Token-Issuer
Schaltflächenname Name auf der Schaltfläche auf der Anmeldeseite
Anbietername Name des Anbieters
Audience Erwarteter “aud”-Parameter des JWT
Sichtbar auf der Anmeldeseite Legt fest, ob die Anmeldeoption sichtbar sein soll.

Jedes Mal, wenn ein Benutzer sich anmeldet, wird der Inhalt des Access Tokens verifiziert und dient als Basis für den Benutzerzugang zur Cumulocity IoT-Plattform. Der folgende Abschnitt beschreibt die Zuordnung zwischen JWT-Claims und dem Zugang zur Plattform.

Custom access mapping

Wenn ein Benutzer versucht sich anzumelden, sieht der dekodierte JWT-Claim für das oben abgebildete Beispiel folgendermaßen aus:

{
...
"user": "john.wick",
...
}

Dem Benutzer werden die globale Rolle “business” und die Standardanwendung “cockpit” zugewiesen.

Falls keine Rechtezuordnung dem Benutzerzugriff-Token entspricht, erhält der Benutzer beim Versuch sich anzumelden eine “Zugriff verweigert”-Meldung. Dies geschieht auch, wenn keine Rechtezuordnung definiert ist, was dazu führt, dass sich sämtliche Benutzer nicht über SSO anmelden können.

Klicken Sie auf Rechtezuordnung hinzufügen, um weitere Berechtigungen zu vergeben. Eine Rechtezuordnungsanweisung kann mehrere Überprüfungen enthalten, wie im Beispiel unten. Klicken Sie auf und, um eine Regel zu einer vorhandenen Anweisung hinzuzufügen. Klicken Sie auf das Minus-Symbol, um eine Regel zu entfernen.

Von jeder passenden Rechtezuordnung werden dem Benutzer neue Rollen hinzugefügt. Wenn eine Rechtezuordnungsanweisung die Rolle “admin” und eine andere die Rolle “business” zuweist und beide die definierten Bedingungen erfüllen, erhält der Benutzer Zugriff auf die globalen Rollen “business” und “admin”.

Mit “=” als Operator können Sie Platzhalter im Feld Wert verwenden. Der unterstützte Platzhalter ist das Sternsymbol (*), das null oder mehr Zeichen entspricht. Wenn Sie beispielsweise “cur*” eingeben, entspricht dies den Zeichenketten “cur”, “curiosity”, “cursor” und allen anderen, die mit “cur” beginnen. “f*n” entspricht den Zeichenketten “fn”, “fission”, “falcon” und allen anderen, die mit “f” beginnen und mit “n” enden.

Soll der Platzhalter dem Sternsymbol selbst entsprechen, muss dieses durch Hinzufügen eines umgekehrten Schrägstrichs (\) geschützt werden. Um zum Beispiel eine genaue Übereinstimmung mit der Zeichenkette “Lorem*ipsum” zu erzielen, muss der Wert “Lorem\*ipsum” lauten.

Custom access mapping

In diesem Fall sieht der JWT-Claim folgendermaßen aus:

{
...
"user": {
   "type": "human"
},
"role": [
   "ADMIN"
],
...
}

Durch den “in”-Operator besteht die Möglichkeit zu verifizieren, ob ein Wert in einer Liste vorhanden ist. Werte können außerdem in andere Objekte eingebettet sein. Ein Punkt (".") im Schlüssel indiziert, dass es sich um ein eingebettetes Objekt handelt.

Standardmäßig ist die Konfiguration für dynamische Rechtezuordnung ausgewählt: Die Rollen, die in den obigen Regeln für einen Benutzer ausgewählt wurden, werden diesem Benutzer bei jedem Login wieder zugewiesen. Nicht gewählte Rollen werden entfernt. Dies bedeutet: Bei jeder Anmeldung des Benutzers weist die dynamische Rechtezuordnung Benutzerrollen anhand des Access Tokens zu. Es ist nicht möglich, die Benutzerrollen innerhalb von Cumulocity IoT zu ändern, da sie bei der nächsten Anmeldung des Benutzers überschrieben würden. Um dieses Verhalten zu ändern, wählen Sie unten im Abschnitt Rechtezuordnung eine der folgenden Optionsfelder:

Custom access mapping

Durch die Auswahl einer der oben genannten Optionen können Administratoren auch die Rollen von SSO-Benutzern in der Benutzerverwaltung bearbeiten. Nähere Informationen finden Sie unter Administration > Verwalten von Berechtigungen.

Wenn der Benutzer sich mit einem Access Token anmeldet, kann der Benutzername aus einem JWT-Claim abgeleitet werden. Der Name des Claims kann unter Benutzer-ID konfiguriert werden. Die Benutzer-ID kann auf ein beliebiges Top-Level-Feld der Autorisierungstoken-Nutzdaten gesetzt werden, die während des Anmeldeprozesses vom Autorisierungsserver an die Plattform gesendet werden. Wir empfehlen, das Autorisierungstoken in den Audit-Logs zu überprüfen und sicherzustellen, dass das richtige Feld verwendet wird (siehe Fehlerbehebung).

User ID configuration

Wenn das Kontrollkästchen Konstanten Wert verwenden aktiviert ist, wird eine konstante Benutzer-ID für alle Benutzer verwendet, die sich über SSO an der Cumulocity IoT-Plattform anmelden. Dies bedeutet, dass alle Benutzer, die sich über SSO anmelden, dasselbe Benutzerkonto in der Cumulocity IoT-Plattform nutzen. Die Verwendung dieser Option wird nicht empfohlen.

Danach kann das Benutzerdaten-Mapping konfiguriert werden:

User data mappings

Beim Benutzer-Login können Benutzerdaten wie Vorname, Nachname, E-Mail-Adresse und Telefonnummer auch von JWT-Claims abgeleitet werden. Jedes Feld repräsentiert den Claim-Namen, der zum Abrufen der Daten von JWT verwendet wird. Die Konfiguration des Benutzerdaten-Mappings ist optional und als Admin-Manager können Sie nur die erforderlichen Felder verwenden. Falls die Konfiguration leer ist oder der Claim-Name im JWT-Token nicht gefunden werden kann, werden die Werte in den Benutzerdaten als leer festgelegt.

Mapping für Alias ist nicht verfügbar, da es im Kontext der SSO-Anmeldung nicht verwendet wird.

Jedes Access Token wird durch ein Signing-Zertifikat signiert. Aktuell gibt es drei Möglichkeiten, die Signing-Zertifikate zu konfigurieren.

  1. Durch Spezifizieren der URL für den öffentlichen Schlüssel des Azure AD-Zertifikats.

Signature verification Azure

  1. Durch Spezifizieren der ADFS-Manifest-Adresse (für ADFS 3.0).

Signature verification ADFS

  1. Durch manuelles Bereitstellen des öffentlichen Schlüssels eines Zertifikats für Cumulocity IoT. Eine Zertifikatsdefinition benötigt eine Algorithmus-Information, einen Wert für den öffentlichen Schlüssel und ein Gültigkeitsintervall.

Signature verification Custom

  1. Durch Spezifizieren der JWKS (JSON Web Key Set)-URI. JWKS ist eine Gruppe von JWK-Objekten, die einen öffentlichen Schlüssel zum Verifizieren von Tokens enthalten, die vom Autorisierungsserver ausgegeben werden.

Signature verification JWKS

Info
Cumulocity IoT unterstützt nur Zertifikate mit RSA-Schlüssel, entweder in Form eines (“n”, “e”)-Parameter-Paars oder in Form einer “x5c”-Zertifikatskette. Andere Schlüsseltypen (z. B. Elliptic-Curves) werden nicht unterstützt.

Platzhalter

In einigen Feldern können Sie Platzhalter verwenden, die während der Laufzeit von Cumulocity IoT aufgelöst werden. Folgende Platzhalter sind verfügbar:

Platzhalter Beschreibung
clientId Wert des Felds Client-ID
redirectUri Wert des Felds Redirect-URI
code Wert, der vom Autorisierungsserver als Antwort auf die Autorisierungsanfrage zurückgegeben wird
refreshToken Refresh-Token, das vom Autorisierungsserver nach einer Token-Anfrage zurückgegeben wird

Diese Platzhalter können in Autorisierungsanfragen, Token-Anfragen, Refresh-Anfragen und Abmeldeanfragen in folgenden Feldern verwendet werden:

Um in einem Feld einen Platzhalter zu verwenden, schließen Sie diesen mit vorangehendem Dollarzeichen in geschweifte Klammern ein: Placeholder standalone

Platzhalter können auch als Textteile verwendet werden: Placeholder text

Info
Platzhalter werden nicht auf Korrektheit geprüft. Jeder nicht erkannte oder falsch geschriebene Platzhalter wird im Text unverarbeitet gelassen.

Integration mit Azure AD

Die Integration wurde erfolgreich mit Azure AD getestet. Die Konfigurationsschritte finden Sie unter https://docs.microsoft.com/de-de/azure/active-directory/develop/v1-protocols-oauth-code.

Die folgenden Schritte verdeutlichen, wie Azure AD (Azure Active Directory) für SSO in Cumulocity IoT verwendet werden kann.

Anforderungen
Sie benötigen Administratorzugriff auf Ihr Azure AD.

Konfigurieren von Azure AD

Um Cumulocity IoT mit Azure AD zu verbinden, müssen Sie in Azure AD eine App-Registrierung erstellen.

  1. Wählen Sie links unter Manage die Option App Registrations und klicken Sie oben auf New Registration.
  2. Geben Sie im darauf folgenden Fenster einen Namen für die neue App-Registrierung ein.
  3. Wählen Sie unter Redirect URI type die Option “Web” und geben Sie die URL zum OAuth-Endpunkt Ihres Mandanten ein, z. B. “https://documentation.cumulocity.com/tenant/oauth”*". Sie können diesen Wert von Ihrem Cumulocity IoT-Mandanten ableiten. Navigieren Sie zu Administration > Einstellungen > Authentifizierung > Single-Sign-On. Die Redirect-URL wird von der Plattform vorgegeben.
  4. Klicken Sie auf Register, um die App-Registrierung zu erstellen.

Die Übersicht auf der Detailseite Ihrer App-Registrierung enthält mehrere IDs und Endpunkte, die Sie später benötigen, z. B. die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID) (für Ihren Mandanten in Cumulocity IoT).

App registration overview

Darüber hinaus erfordert die App-Registrierung ein Secret, das von Cumulocity IoT zur Authentifizierung verwendet wird.

  1. Klicken Sie auf der Detailseite Ihrer App-Registrierung links unter Manage auf Certificates & secrets.
  2. Wählen Sie New client secret.
  3. Geben Sie eine Beschreibung ein und wählen Sie einen Ablaufzeitpunkt.
  4. Klicken Sie auf Hinzufügen, um das Secret hinzuzufügen.
Vorsicht
  • Kopieren Sie den Wert des neuen Secrets an einen anderen Ort. Sobald Sie die Seite verlassen, ist der Wert nicht mehr sichtbar.
  • Die Secret-Zeichenkette darf nicht das Zeichen “=” enthalten, da dieses bei der späteren Verwendung in einer URL zu Konflikten führen kann. Ist dies der Fall, erstellen Sie eine neue Zeichenkette.

Optional können Sie in Azure AD einen Benutzer erstellen, den Sie mit Cumulocity IoT verwenden möchten.

Konfigurieren von SSO für Azure AD in Cumulocity IoT

Navigieren Sie in der Anwendung Administration zu Einstellungen > Authentifizierung und wechseln Sie zur Registerkarte Single-Sign-On.

Senden Sie zum Abrufen der entsprechenden Informationen eine GET-Anfrage an:

https://login.microsoftonline.com/&lt;Directory tenant ID>/.well-known/openid-configuration

Die Antwort sieht so aus:

  {
      "token_endpoint": "https://login.microsoftonline.com/4d17551b-e234-4e18-9593-3fe717102dfa/oauth2/token",
      "token_endpoint_auth_methods_supported": [
          "client_secret_post",
          "private_key_jwt",
          "client_secret_basic"
      ],
      "jwks_uri": "https://login.microsoftonline.com/common/discovery/keys",
      "response_modes_supported": [
          "query",
          "fragment",
          "form_post"
      ],
      "subject_types_supported": [
          "pairwise"
      ],
      "id_token_signing_alg_values_supported": [
          "RS256"
      ],
      "response_types_supported": [
          "code",
          "id_token",
          "code id_token",
          "token id_token",
          "token"
      ],
      "scopes_supported": [
          "openid"
      ],
      "issuer": "https://sts.windows.net/4d17551b-e234-4e18-9593-3fe717102dfa/",
      "microsoft_multi_refresh_token": true,
      "authorization_endpoint": "https://login.microsoftonline.com/4d17551b-e234-4e18-9593-3fe717102dfa/oauth2/authorize",
      "device_authorization_endpoint": "https://login.microsoftonline.com/4d17551b-e234-4e18-9593-3fe717102dfa/oauth2/devicecode",
      "http_logout_supported": true,
      "frontchannel_logout_supported": true,
      "end_session_endpoint": "https://login.microsoftonline.com/4d17551b-e234-4e18-9593-3fe717102dfa/oauth2/logout",
      "claims_supported": [
          "sub",
          "iss",
          "cloud_instance_name",
          "cloud_instance_host_name",
          "cloud_graph_host_name",
          "msgraph_host",
          "aud",
          "exp",
          "iat",
          "auth_time",
          "acr",
          "amr",
          "nonce",
          "email",
          "given_name",
          "family_name",
          "nickname"
      ],
      "check_session_iframe": "https://login.microsoftonline.com/4d17551b-e234-4e18-9593-3fe717102dfa/oauth2/checksession",
      "userinfo_endpoint": "https://login.microsoftonline.com/4d17551b-e234-4e18-9593-3fe717102dfa/openid/userinfo",
      "kerberos_endpoint": "https://login.microsoftonline.com/4d17551b-e234-4e18-9593-3fe717102dfa/kerberos",
      "tenant_region_scope": "EU",
      "cloud_instance_name": "microsoftonline.com",
      "cloud_graph_host_name": "graph.windows.net",
      "msgraph_host": "graph.microsoft.com",
      "rbac_url": "https://pas.windows.net"
  }

Geben Sie nun in der Konfiguration die folgenden Werte ein:

Azure Cumulocity IoT Wert
Login URL; OpenID config; Beginning of token endpoint Azure AD-Adresse Adresse Ihres Azure AD-Mandanten, z. B. “https://login.microsoftonline.com”
Home > Overview > Primary Domain Mandant <directoryName>.onmicrosoft.com, z. B. “admtest.onmicrosoft.com”
OpenID config “issuer” Token-Issuer Token-Issuer-Wert im Format einer HTTP-Adresse: “https://sts.windows.net/<Verzeichnis-Mandanten-ID>/”. Beachten Sie, dass dies nur mit einem Schrägstrich am Ende funktioniert.
App registration > <app> > Application (client) ID Anwendungs-ID z. B. “7fd1ed48-f4b6-4362-b0af-2b753bb1af2b”
Redirect-URI Adresse Ihres Cumulocity IoT-Mandanten, gefolgt von /tenant/oauth
App registration - <app> > Certificates & secrets > Value Client-Secret Azure AD-Client-Secret, z. B. “hE68Q~uC1.BlSzGJSDC3_UEFvvyIZvRcCxbvV345”
Aus der OpenID-Konfiguration URL für den öffentlichen Schlüssel “https://login.microsoftonline.com/common/discovery/keys” oder “https://login.microsoftonline.com//discovery/keys”

Optional kann Single Logout konfiguriert werden:

Feld Beschreibung
Nach Abmeldung weiterleiten Aktiviert Single Logout, indem der Benutzer nach dem Abmelden zum Abmelde-Endpunkt des Autorisierungsservers weitergeleitet wird.
Redirect-URL Adresse, an die der Benutzer weitergeleitet werden soll, nachdem er sich vom Autorisierungsserver erfolgreich abgemeldet hat.

Nachdem Sie SSO in Cumulocity IoT konfiguriert haben, können Sie versuchen, sich anzumelden. Wenn für den Benutzer noch keine Rechtezuordnung vorliegt, kann ein Fehler des Typs “Zugriff verweigert” gemeldet werden. In den Audit-Logs (Administration > Konten > Audit-Logs) sollten jedoch ein “Benutzer-Login”-Ereignis und ein JSON-Web-Token zu sehen sein.

Der Inhalt sieht folgendermaßen aus:

{
    "typ": "JWT",
    "alg": "RS256",
    "x5t": "2ZQpJ3UpbjAYXYGaXEJl8lV0TOI",
    "kid": "2ZQpJ3UpbjAYXYGaXEJl8lV0TOI"
} {
    "aud": "7fd1ed48-f4b6-4362-b0af-2b753bb1af2b",
    "iss": "https://sts.windows.net/4d17551b-e234-4e18-9593-3fe717102dfa/",
    "iat": 1660815959,
    "nbf": 1660815959,
    "exp": 1660820080,
    "acr": "1",
    "aio": "ASQA2/8TAAAAg0xPUeu6HKAlgK3vZJsW8TdejlNB3BGSz4XFmJLzPt0=",
    "amr": [
        "pwd"
    ],
    "appid": "7fd1ed48-f4b6-4362-b0af-2b753bb1af2b",
    "appidacr": "1",
    "family_name": "Doe",
    "given_name": "Jane",
    "ipaddr": "51.116.186.93",
    "name": "Jane Doe",
    "oid": "afbff765-592e-4ae1-9334-b968dad59c84",
    "rh": "0.AXkAG1UXTTTiGE6Vkz_nFxAt-kjt0X-29GJDsK8rdTuxryuUAAw.",
    "scp": "openid User.Read User.Read.All User.ReadBasic.All",
    "sub": "zRTnTukAjU11ME1aqiPMOdwk9jVNmInXbeuoUr_3cYk",
    "tid": "4d17551b-e234-4e18-9593-3fe717102dfa",
    "unique_name": "jane@admtest.onmicrosoft.com",
    "upn": "jane@admtest.onmicrosoft.com",
    "uti": "IcTqpKPIA0G_P1Lyw6xBAA",
    "ver": "1.0"
} [
    256 crypto bytes
]

In der gleichen Weise, wie für die benutzerdefinierte Vorlage beschrieben, können Sie nun mithilfe der Claims Benutzerattribute zuordnen und Berechtigungen erteilen.

Integration mit Keycloak

Globale Abmeldefunktion (verfügbar für Keycloak ab Version 12.0.0)

Die Integration mit Keycloak gibt Administratoren die Möglichkeit, eine globale Abmeldefunktion auf Basis von OpenID Connect zu verwenden. Ein Ereignis vom Keycloak-Autorisierungsserver wird an alle Anwendungen (einschließlich der Cumulocity IoT-Plattform) gesendet, und zwar mit einem Logout-Token, das in gleicher Weise verifiziert wird wie das Token im Anmeldeprozess. Diese Funktion ermöglicht die Beendigung von Sitzungen auf beiden Seiten - Anwendungen und Keycloak - für den jeweiligen Benutzer.

So konfigurieren Sie die globale Abmeldefunktion:

  1. Gehen Sie zur Administratorkonsole.
  2. Wählen Sie das Realm aus, das in der SSO-Konfiguration für den Mandanten verwendet wird.
  3. Navigieren Sie im Abschnitt Configure zu Clients.
  4. Wählen Sie den Client aus, der in der SSO-Konfiguration verwendet wird.
  5. Setzen Sie das Feld Backchannel Logout URL auf “https://mytenant.cumulocity.com/user/logout/oidc”.

So verwenden Sie die globale Abmeldefunktion:

  1. Gehen Sie zur Administratorkonsole.
  2. Wählen Sie das Realm aus, das in der SSO-Konfiguration für den Mandanten verwendet wird.
  3. Navigieren Sie im Abschnitt Manage zu User.
  4. Wählen Sie den jeweiligen Benutzer aus.
  5. Navigieren Sie im Abschnitt Manage zur Registerkarte Sessions und klicken Sie auf Logout.

Funktion zum Abmelden aller Benutzer

Keycloak bietet auch eine Funktion, mit der Administratoren sämtliche SSO-Benutzer abmelden können.

So konfigurieren Sie die Funktion zum Abmelden aller Benutzer:

  1. Gehen Sie zur Administratorkonsole.
  2. Wählen Sie das Realm aus, das in der SSO-Konfiguration für den Mandanten verwendet wird.
  3. Navigieren Sie im Abschnitt Configure zu Clients.
  4. Wählen Sie den Client aus, der in der SSO-Konfiguration verwendet wird.
  5. Setzen Sie das Feld Admin URL auf “https://mytenant.cumulocity.com/user/keycloak”.

So verwenden Sie die Funktion zum Abmelden aller Benutzer:

  1. Gehen Sie zur Administratorkonsole.
  2. Wählen Sie das Realm aus, das in der SSO-Konfiguration für den Mandanten verwendet wird.
  3. Navigieren Sie im Abschnitt Manage zur Registerkarte Sessions und klicken Sie auf Logout all.

Beachten Sie, dass das Abmeldeereignis für alle Benutzer nur im Geltungsbereich eines einzigen Realms ausgeführt wird. Zudem wird es nur an die Mandanten gesendet, bei denen der Client, der als Konfiguration für die SSO-Funktion dient, den korrekten Admin URL-Wert aufweist.

In der Registerkarte Session kann der Keycloak-Administrator auch überprüfen, wie viele aktive Sitzungen auf dem jeweiligen Client existieren, und abschätzen, wie viele Mandanten und Benutzer von dem Abmeldeereignis betroffen sind.

Um festzustellen, ob das Abmeldeereignis für alle Benutzer oder einen einzelnen Benutzer vom Mandanten empfangen wurde, kann der Cumulocity IoT-Administrator überprüfen, ob Informationen zum Abmeldeereignis in den Audit-Logs vorliegen. Die Audit-Logs sind in der Anwendung Administration unter Accounts in der Registerkarte Audit-Logs verfügbar.

Troubleshooting

Es kann besonders hilfreich sein, den Inhalt des an die Plattform gesendeten Autorisierungs-Tokens zu überprüfen, da einige seiner Felder die Informationen enthalten, die für die oben beschriebene korrekte Konfiguration benötigt werden.

In der “Administration-Anwendung” können Sie nach Klicken auf Konten > Audit-Logs nach der Kategorie “Single-Sign-On” filtern und nach den Einträgen “Json web token claims” suchen.

Die Kontexte des Tokens werden im JSON-Format dargestellt.

Audit token content

Plattform-Konfigurationseinstellungen

Vom Management Tenant aus können Sie Attribute konfigurieren, die global für die gesamte Cumulocity IoT-Bereitstellung gelten.

Klicken Sie auf Konfiguration im Menü Einstellungen, um die Seite Konfiguration aufzurufen.

Configuration settings

Die meisten Einstellungen, die Sie hier konfigurieren können, sind auch im Enterprise Tenant verfügbar. Weitere Informationen finden Sie unter Enterprise Tenant > Anpassen der Plattform.

Darüber hinaus können die folgenden Einstellungen nur im Management Tenant konfiguriert werden.

Passwörter

Im Bereich Passwörter können Sie Passworteinstellungen wie Standardstärke, Länge oder Gültigkeit für die Benutzer in Ihrem Mandanten festlegen.

Aktivieren Sie die Checkbox Nur starke “grüne” Passwörter für alle Benutzer zulassen, um die Benutzer in Ihrem Mandanten zur Verwendung von Passwörtern zu zwingen, die die Bedingungen für “grüne” Passwörter erfüllen, siehe auch Erste Schritte > Benutzeroptionen und -einstellungen.

Supportbenutzer

Im Bereich Supportbenutzer konfigurieren Sie die Parameter für den Supportbenutzerzugriff für Untermandanten-Benutzer.

Diese Funktion gibt den Anbietern der Cumulocity IoT-Plattform (im Falle von Public-Cloud-Instanzen die Software AG und bei lokalen Installationen der jeweilige Service-Provider) die Möglichkeit, ihre Kunden zu unterstützen, indem sie über einen Supportbenutzer auf deren Benutzer zugreifen. Ein Supportbenutzer ist ein Benutzer im Management Tenant mit spezifischen Berechtigungen, nämlich für den Zugriff auf Untermandanten-Benutzer im Falle von Problemen. Weitere Informationen finden Sie unter Enterprise Tenant > Supportbenutzerzugriff.

Legen Sie im Feld Supportbenutzer aktivieren fest, ob der Supportbenutzerzugriff für Untermandanten-Benutzer aktiviert sein soll. Hier sind folgende Werte möglich:

Im Feld Gültigkeitsdauer können Sie optional die Supportdauer angeben, d. h. um wie viele Stunden der Supportbenutzerzugriff nach einer Supportbenutzeranfrage verlängert wird. Geben Sie die Anzahl der Stunden ein. Der Standardwert ist 24 Stunden.

Ablaufdatum und -uhrzeit werden anhand der im Feld Gültigkeitsdauer angegebenen Dauer aktualisiert. Beispiel: Wenn das aktuelle Ablaufdatum 01/09/2018 15:00 lautet und die Dauer von 24 Stunden beibehalten wurde, aktualisiert der aktivierende Supportbenutzer das Ablaufdatum auf 01/10/2018 15:00.

Details zum Status von Supportanfragen und Supportbenutzerzugriff für einen Mandanten finden Sie in der Registerkarte Attribute des Mandanten, siehe Enterprise Tenant> Verwalten von Mandanten.

Konfigurieren eines Supportbenutzers

Ein Supportbenutzer ist ein Benutzer im Management Tenant mit spezifischen Berechtigungen. Dieser Benutzer kann sich beim Zielmandanten anmelden und sich als Zielbenutzer ausgeben.

Um einen Benutzer im Management Tenant als Supportbenutzer zu konfigurieren, müssen Sie dem Benutzer die entsprechenden Rollen zuweisen. Dies kann entweder durch Verwendung einer globalen Rolle oder durch Verwendung von Stammdatenrollen erfolgen.

Verwendung einer globalen Rolle

  1. Erstellen Sie eine Rolle “Support” mit der Berechtigung “Support READ” und “Support ADMIN”.
  2. Weisen Sie die Rolle “Support” dem entsprechenden Benutzer zu und entfernen Sie alle anderen Rollen für den Benutzer.

Verwendung von Stammdatenrollen

Mit Stammdatenrollen können Sie einen Supportbenutzer selektiv spezifischen Untermandanten zuweisen.

  1. Erstellen Sie eine Stammdatenrolle namens “Support” mit Typ = “*” und Berechtigung = “Alle”.
  2. Erstellen Sie eine Gruppe aller Untermandanten, die vom Benutzer unterstützt werden sollen.
  3. Weisen Sie die Stammdatenrolle “Support” der oben genannten Gruppe zu, wie unter Administration > Verwalten von Berechtigungen > Zuweisen von Stammdatenrollen zu Benutzern beschrieben.
Info
Die Supportbenutzer-Funktion funktioniert nicht, wenn der Supportbenutzer Zwei-Faktor-Authentifizierung aktiviert, aber keine Telefonnummer hinterlegt hat. Die Telefonnummer muss zunächst hinterlegt werden, um sich als Supportbenutzer einloggen zu können.