Zum Inhalt

Erste Anmeldung

Login-Ablauf

  1. URL aufrufen: https://<hostname>/admin/
  2. Automatische Weiterleitung: Das System leitet auf /admin/login weiter, welches wiederum zur Keycloak-Login-Seite redirected.
  3. Keycloak-Anmeldung: Benutzername und Passwort eingeben (oder via konfiguriertem Identity Provider, z.B. LDAP/AD).
  4. Callback: Nach erfolgreicher Authentifizierung leitet Keycloak zurueck auf /admin/callback.
  5. Rollen-Extraktion: Das System dekodiert den JWT Access-Token und extrahiert die Realm-Rollen aus realm_access.roles. Als Fallback werden auch userinfo und id_token_claims geprueft.
  6. Session: Bei gueltiger Rolle wird eine Server-Session mit Benutzername, E-Mail, Name und Rollen erstellt. Der Benutzer wird auf /admin/ (Dashboard) weitergeleitet.

Screenshot

Platzhalter: Screenshot der Keycloak-Login-Seite einfuegen.

Gueltige Rollen

Nur diese vier Rollen werden vom System akzeptiert:

  • super-admin
  • avs-admin
  • avs-editor
  • avs-viewer

Alle anderen Keycloak-Rollen (z.B. default-roles-avs-chatbot, uma_authorization) werden ignoriert.

Fehlermeldung: "Keine Berechtigung"

Wenn dem Keycloak-Account keine der vier gueltigen Admin-Rollen zugewiesen ist, zeigt das System folgende Meldung:

Keine Berechtigung Ihrem Account sind keine Admin-Rollen zugewiesen.

In diesem Fall muss ein Keycloak-Administrator die entsprechende Rolle zuweisen. Siehe Keycloak/LDAP-Anleitung fuer die Rollenzuweisung.

Screenshot

Platzhalter: Screenshot der Fehlermeldung "Keine Berechtigung" einfuegen.

HTTP 403 auf geschuetzte Seiten

Wenn ein eingeloggter Benutzer eine Seite aufruft, fuer die seine Rolle nicht ausreicht (z.B. /admin/settings als avs-viewer), liefert das System den HTTP-Statuscode 403 mit der Meldung "Keine Berechtigung".

Logout

Der Logout erfolgt ueber den Button in der Sidebar oder direkt ueber /admin/logout. Dabei wird:

  1. Die Server-Session geloescht (session.clear())
  2. Auf die Keycloak-Logout-URL weitergeleitet, welche auch die Keycloak-Sitzung beendet
  3. Nach dem Keycloak-Logout zurueck auf /admin/login redirected

Audit-Protokollierung

Jede Anmeldung wird automatisch im Audit-Log erfasst:

  • Aktion: user_login
  • Entity-Typ: session
  • Details: Zugewiesene Rollen