Knowledge Base

 Mit Anmeldeinformationen wird festgelegt, welche Benutzer Zugang zu welchen Informationen auf einem Computer oder in einem Netzwerk erhalten sollen. Anmeldeinformationen verhindern, dass Personen unbefugterweise auf Daten, Ordner oder Inhalte zugreifen können.     Die Workflows in einer Gallery werden auf dem Servercomputer ausgeführt, der die Gallery hostet. Standardmäßig werden alle Workflows mit dem Dienstkonto ausgeführt. Das Dienstkonto auf dem jeweiligen Computer hat die Berechtigungen des Basiskontos, das Ihre IT-Abteilung eingerichtet hat.   Wenn ein Workflow für die erfolgreiche Ausführung mehr Berechtigungen benötigt als dem Dienstkonto erteilt wurden, haben Sie drei Optionen: ein „Ausführen als“-Benutzer, Anmeldeinformationen auf Abonnementebene oder Workflow-Anmeldeinformationen.   Die Anmeldeinformationen für Gallery-Workflows überschreiben andere Berechtigungen gemäß ihrer Priorität. Falls keine anderen Berechtigungen festgelegt sind, führt die Gallery alle Workflows mit dem Dienstkonto aus. Falls „Ausführen als“-Anmeldeinformationen festgelegt sind, verwendet die Gallery standardmäßig diese Anmeldeinformationen, und so weiter. Beachten Sie hierzu die folgende Pyramidendarstellung der Anmeldeinformationen.     Alle Workflow-Anmeldeinformationen benötigen die Berechtigung „Anmelden als Stapelverarbeitungsauftrag“ oder „Lokale Anmeldung“ für den Servercomputer. Ohne diese Berechtigungen ist keine Authentifizierung möglich. Weitere Details finden Sie in unserer Dokumentation zum Thema „Ausführen als“-Berechtigungen.   Festlegen von Anmeldeinformationen für Ihre private Gallery Der „Ausführen als“-Benutzer befindet sich unter „Systemeinstellungen > Worker > Ausführen als“. Hier können Sie die Standardkonten für die Ausführung von Workflows festlegen, falls Sie nicht das Dienstkonto verwenden möchten.       Sobald Sie diese Option auswählen, werden alle Workflows in der Gallery standardmäßig mit diesen Anmeldeinformationen ausgeführt.   Die Dienst- und „Ausführen als“-Anmeldeinformationen können auf Abonnement- und auf Workflowebene überschrieben werden. Die nächste Ebene sind Abonnements, die in der Alteryx Gallery auch als Studio bezeichnet werden.   Anmeldeinformationen auf Abonnementebene werden vom Gallery-Administrator in der Administratoransicht unter „Abonnements“ festgelegt. Die Option „Standardanmeldedaten für Workflows“ befindet sich gegen Ende der Abonnementeinstellungen. Gallery-Administratoren können die Standardanmeldedaten für Workflows ändern, indem sie die Option „Konto ändern“ auswählen.     In diesem Auswahlfenster können Sie zwischen den in der Gallery erstellten Workflow-Anmeldeinformationen wählen (Workflow-Anmeldeinformationen werden in der Registerkarte „Workflow-Anmeldeinformationen“ erstellt, blättern Sie dazu in diesem Artikel etwas weiter nach unten).     Anmeldeinformationen auf Abonnementebene sind praktisch für Berechtigungen innerhalb einer Abteilung (die Workflow-Anmeldeinformationen für die Personalabteilung enthalten beispielsweise andere Berechtigungen als die Anmeldeinformationen für die IT-Abteilung).   Workflow-Anmeldeinformationen sind die unterste Ebene von Anmeldeinformationen und überschreiben daher alle anderen Anmeldungseinstellungen. Workflow-Anmeldeinformationen werden in der Administratoransicht in der Gallery unter der Option „Workflow-Anmeldeinformationen“ hinzugefügt.     Auf dieser Seite gibt es zwei wichtige Punkte zu beachten. Als Erstes gibt es die Option zum Ändern der Einstellung für Anmeldeinformationen in Workflows.     Diese Einstellung hat drei Optionen zur Auswahl: Standardanmeldeinformationen verwenden, Benutzeranmeldeinformationen anfordern und Benutzeranmeldeinformationen dürfen Anmeldeinformationen auswählen.   Standardmäßig ist die Option „Standardanmeldeinformationen verwenden“ ausgewählt. Mit dieser Option werden sämtliche Workflows mit dem „Ausführen als“-Benutzer aus den Systemeinstellungen ausgeführt, bzw. mit den Abonnement-Anmeldeinformationen, falls vorhanden.   Mit der Option „Benutzeranmeldeinformationen anfordern“ können die Benutzer beim Ausführen von Workflows ihre eigenen Anmeldeinformationen eingeben.     Mit der Option „Benutzer dürfen Anmeldeinformationen auswählen“ können die Benutzer Anforderungen für die Anmeldeinformationen in einem Workflow festlegen, wenn sie einen Workflow aus Designer in der Gallery veröffentlichen. Sie haben drei Optionen zur Auswahl.     Der zweite wichtige Bereich in der Registerkarte „Workflow-Anmeldeinformationen“ ist die Option „Neue Anmeldeinformationen hinzufügen“, mit der Sie neue Anmeldeinformationen zu Ihrer Gallery hinzufügen können. Diese Anmeldeinformationen können für Workflows oder für Studios verwendet werden.      Nachdem Sie die Anmeldeinformationen in der Gallery erstellt haben, müssen Sie sie mit Benutzern und Studios teilen. Klicken Sie auf die Anmeldeinformationen, um festzulegen, mit wem Sie diese teilen möchten.     Navigieren Sie anschließend zur Registerkarte „Benutzer und Studios“.     In den Alteryx Server-Versionen >= 2018.1 können Sie auf der Registerkarte „Workflow-Ergebnisse“ ablesen, mit welchen Anmeldeinformationen ein Workflow ausgeführt wurde, um Probleme zu beheben.        Dies ist hilfreich, um herauszufinden, warum ein Workflow nicht ausgeführt wurde. Möglicherweise haben die erforderlichen Berechtigungen gefehlt.   Kurz gesagt ...   Wie bereits erwähnt überschreiben die Anmeldeinformationen für Gallery-Workflows andere Berechtigungen gemäß ihrer Priorität. Dabei werden jeweils die Anmeldeinformationen mit der höchsten verfügbaren Priorität verwendet. Falls keine Optionen für Anmeldeinformationen festgelegt wurden, verwendet die Gallery standardmäßig das Dienstkonto. Dies kann zu Problemen führen, da Dienstkonten oft über eingeschränkte Berechtigungen verfügen.   Weitere Informationen finden Sie in der Gallery-Dokumentation.  

SAML (Security Assertion Markup Language) ist eine standardisierte Methode für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen unterschiedlichen Parteien. Die häufigste Anwendungsart von SAML ist die einmalige Anmeldung in Webbrowsern. Alteryx Server unterstützt SAML seit Version 2018.2. SAML wurde in Alteryx Server für die beiden Anbieter PingOne und Okta validiert. In diesem Artikel behandeln wir die Konfiguration von SAML in Ihrem Alteryx Server für Okta.   Teil 1: Hinzufügen von Alteryx zu Okta   Für diesen Prozess konfigurieren wir zunächst die einmalige Anmeldung auf der Anbieterseite. Hier finden Sie eine Schritt für Schritt Anleitung zum Hinzufügen von Alteryx als Anwendung in Okta.   Hinweis: Diese Anleitung bezieht sich auf die klassische Benutzeroberfläche. Die Entwicklerkonsole hat ein anderes Erscheinungsbild. Sie können die Ansichten in der oberen linken Ecke in der Adminansicht umschalten.   1. Navigieren Sie in der Adminansicht in Okta zu Anwendungen und klicken Sie auf die Schaltfläche „Anwendung hinzufügen".   2. Wählen Sie „Neue App erstellen" aus.     3. Wählen Sie SAML 2.0 als Anmeldemethode aus.     4. Geben Sie einen App-Namen und ein Logo (optional) ein und klicken Sie auf „Weiter".    5. Geben Sie die URL für die einmalige Anmeldung im SAML-Konfigurieren-Bildschirm wie folgt ein: http://IHRGALLERYNAME/aas/Saml2/Acs        Geben Sie die Audience URI (SP Entity ID) wie folgt ein: http://IHRGALLERYNAME/aas/Saml2 und blättern Sie nach unten.     6. Ordnen Sie die Attribute E-mail, firstName (Vorname) und lastName (Nachname) zu den Werten user.email, user.firstName bzw. user.lastName zu, klicken Sie auf dieser Seite auf „Weiter“ und auf der nächsten Seite auf „Fertig stellen“.     7. Weisen Sie die App zu sich selbst und zu allen weiteren erforderlichen Benutzern zu. Sie finden diese Option unter Benutzerzuweisungen in der App-Ansicht.       Teil 2: Konfigurieren der Alteryx-Systemeinstellungen   Nachdem Alteryx zu Okta hinzugefügt wurde, können Sie SAML in den Alteryx Server-Systemeinstellungen konfigurieren.   1. Klicken Sie in den Alteryx-Systemeinstellungen auf „Weiter“, bis Sie zu „Gallery > Authentifizierung“ gelangen, und wählen Sie „SAML-Authentifizierung“ als Authentifizierungstyp aus. Das Feld „ACS-Basis-URL“ sollte mit der URL Ihrer Gallery ausgefüllt werden.     2. Wählen Sie als Option zum Abrufen der für den IDP erforderlichen Metadaten entweder die IDP-Metadaten-URL oder ein x509-Zertifikat und die IDP-SSO-URL aus. Okta unterstützt beide Optionen, daher empfehlen wir die IDP-Metadaten-URL, um die Einrichtung zu vereinfachen. Weitere Hinweise zur Einrichtung mit x509-Zertifikat und IDP-SSO-URL finden Sie im PingOne-Artikel.    Für die IDP-Metadaten-URL:   1. Klicken Sie in Okta auf den Link „Metadaten des Identitätsanbieters" direkt unter der Option „Setupanleitung anzeigen" auf der Seite „Anwendung > Anmeldung > Einstellungen".     2.  Dieser Link führt zu einer XML-Datei mit den SAML-Metadaten. Kopieren Sie die URL, die in der Browserregisterkarte ausgefüllt wird, wenn Sie auf diesen Link klicken.     3.  Fügen Sie die kopierte URL in das Feld „IDP-Metadaten-URL“ in den Alteryx-Systemeinstellungen ein.     4. Überprüfen Sie die Okta-Setupanleitung in der App-Ansicht unter „Anmeldung > Setupanleitung anzeigen", kopieren Sie die Aussteller-URL des Identitätsanbieters (Identity Provider Issuer URL) und fügen Sie sie in das Feld „IDP URL“ in den Alteryx-Systemeinstellungen ein.           5. Klicken Sie auf die Schaltfläche „IDP überprüfen".       Daraufhin wird möglicherweise eine Warnung zur Ausführung von Skripts in einem Popupfenster angezeigt. Dies ist ein bekanntes Problem, und Sie können einfach auf „Ja“ klicken, um fortzufahren. Dieser Vorgang muss unter Umständen mehrmals wiederholt werden.   6. Ein Okta-Anmeldebildschirm sollte angezeigt werden. Geben Sie Ihre Okta-Anmeldeinformationen ein und wählen Sie „Anmelden" aus.     7. Falls die Überprüfung erfolgreich war, wird eine Nachricht unten rechts in den Systemeinstellungen angezeigt. Hinweis: Der erste Benutzer, der sich bei der Überprüfung erfolgreich beim IDP anmeldet, wird standardmäßig als Gallery-Administrator (Kurator) festgelegt.     Nun können Sie die Konfiguration der Alteryx-Systemeinstellungen abschließen, indem sie in den restlichen Konfigurationsoptionen auf „Weiter“ und zum Abschluss auf „Fertig stellen“ klicken.   Wenn Sie Ihre Gallery öffnen und auf „Anmelden“ klicken, sollten Sie jetzt mit Ihren Okta-Anmeldeinformationen angemeldet werden. Juhu!    

SAML (Security Assertion Markup Language) ist eine standardisierte Methode für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen unterschiedlichen Parteien. Die häufigste Anwendungsart von SAML ist die einmalige Anmeldung in Webbrowsern. Alteryx Server unterstützt SAML seit Version 2018.2. SAML wurde in Alteryx Server für die beiden Anbieter PingOne und Okta validiert. In diesem Artikel behandeln wir die Konfiguration von SAML in Ihrem Alteryx Server für PingOne.   Teil 1: Hinzufügen von Alteryx zu PingOne   Für diesen Prozess konfigurieren wir zunächst die einmalige Anmeldung auf der Anbieterseite. Hier finden Sie eine Schritt für Schritt Anleitung zum Hinzufügen von Alteryx als Anwendung in PingOne.   Klicken Sie im PingOne-Konfigurationsfenster unter „Applications > My Applications“ (Anwendungen > Meine Anwendungen) auf „Add Application“ (Anwendung hinzufügen) und wählen Sie „New SAML Application“ (Neue SAML-Anwendung) aus.     2. Geben Sie Name, Beschreibung und Details für Alteryx ein. Klicken Sie anschließend auf „Continue to Next Step“ (Weiter zum nächsten Schritt).     3. Laden Sie im nächsten Schritt die SAML-Metadatendatei herunter und speichern Sie sie auf Ihrem Computer. Sie benötigen diese Datei zum Konfigurieren der Systemeinstellungen in Alteryx Server.         Geben Sie den folgenden Wert in das Feld „Assertion Consumer Service“ (Annahme Kundendienst) ein: https://URLIHRERGALLERY/aas/Saml2/Acs         Geben Sie den folgenden Wert in das Feld „Entity ID“ (Entitäts-ID) ein: https://URLIHRERGALLERY/aas/Saml2    Klicken Sie auf „Continue to Next Step“ (Weiter zum nächsten Schritt).   4. Fügen Sie unter SSO-Attributzuordnung die Anwendungsattribute email (E-Mail), firstName (Vorname) und lastName (Nachname) ein und legen Sie für die Attribute Bridge identifizieren bzw. Literaler Wert jeweils auf E-Mail, Vorname bzw. Nachname fest. Legen Sie alle drei zugeordneten SSO-Attribute gemäß Ihrer Anforderungen fest.     Wählen Sie speichern und veröffentlichen aus.     Teil 2: Konfigurieren der Alteryx-Systemeinstellungen   Nachdem Sie Alteryx zu PingOne hinzugefügt haben, können Sie SAML in den Alteryx Server-Systemeinstellungen konfigurieren.   Klicken Sie in den Alteryx-Systemeinstellungen auf „Weiter“, bis Sie zu „Gallery > Authentifizierung“ gelangen, und wählen Sie „SAML-Authentifizierung“ als Authentifizierungstyp aus.   2.  Sie können die für den Identitätsanbieter (Identity Provider, IDP) erforderlichen Metadaten auf zwei Arten abrufen. PingOne erlaubt momentan jedoch nur X509-Zertifikate und eine IDP SSO URL, daher müssen Sie diese Option auswählen.     3. Belassen Sie im Feld „ACE Base URL“ den ausgefüllten Wert bei.       Als „IDP URL“ wird die „entityID“ aus den SAML-Metadaten verwendet, die Sie in Teil 1, Schritt 3 aus PingOne exportiert haben.     Als „IDP SSO URL“ wird das Attribut „SingleSignOnService Binding Location“ aus demselben Metadatendokument verwendet.     Sie können das x509-Zertifikat aus dem SAML-Metadatendokument kopieren und einfügen.     Achtung: Ein bekanntes Problem führt momentan dazu, dass der Authentifizierungsdienst abstürzt, wenn die Zwischenablage beim Einfügen Wagenrückläufe (Carriage Return) enthält.  Fügen Sie das Zertifikat daher zunächst in Notepad oder eine ähnliche Anwendung ein, um die Formatierung zu entfernen.   4. Füllen Sie die Felder aus und klicken Sie anschließend auf die Schaltfläche „Verify IDP“ (IDP überprüfen).     5. Daraufhin sollte eine PingOne-Anmeldung angezeigt werden. Geben Sie Ihre PingOne-Anmeldeinformationen ein und wählen Sie „Sign On“ (Anmelden) aus.     6. Falls die Überprüfung erfolgreich war, wird eine Nachricht unten rechts in den Systemeinstellungen angezeigt. Hinweis: Der erste Benutzer, der sich bei der Überprüfung erfolgreich bei IDP anmeldet, wird standardmäßig als Gallery-Administrator (Kurator) festgelegt.     Nun können Sie die Konfiguration der Alteryx-Systemeinstellungen abschließen, indem sie in den restlichen Konfigurationsoptionen auf „Weiter“ und zum Abschluss auf „Fertig stellen“ klicken. Wenn Sie Ihre Gallery öffnen und auf „Anmelden“ klicken, sollten Sie jetzt mit Ihren PingOne-Anmeldeinformationen angemeldet sein. Juhu!