Anbindung von TIA Portal und WinCC RT Advanced an die zentrale Benutzerverwaltung (UMC)

(1)

Anbindung von TIA Portal und

WinCC RT Advanced an die zentrale

Benutzerverwaltung (UMC)

TIA Portal / WinCC RT Advanced / User Management Component (UMC)

https://support.industry.siemens.com/cs/ww/de/view/109780337

Siemens Industry Online Support

(2)

Rechtliche Hinweise

Nutzung der Anwendungsbeispiele

In den Anwendungsbeispielen wird die Lösung von Automatisierungsaufgaben im Zusammenspiel mehrerer Komponenten in Form von Text, Grafiken und/oder Software-Bausteinen beispielhaft dargestellt. Die Anwendungsbeispiele sind ein kostenloser Service der Siemens AG und/oder einer Tochtergesellschaft der Siemens AG („Siemens“). Sie sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit und Funktionsfähigkeit hinsichtlich Konfiguration und Ausstattung. Die Anwendungsbeispiele stellen keine

kundenspezifischen Lösungen dar, sondern bieten lediglich Hilfestellung bei typischen Aufgabenstellungen. Sie sind selbst für den sachgemäßen und sicheren Betrieb der Produkte innerhalb der geltenden Vorschriften verantwortlich und müssen dazu die Funktion des jeweiligen Anwendungsbeispiels überprüfen und auf Ihre Anlage individuell anpassen.

Sie erhalten von Siemens das nicht ausschließliche, nicht unterlizenzierbare und nicht übertragbare Recht, die Anwendungsbeispiele durch fachlich geschultes Personal zu nutzen. Jede Änderung an den Anwendungs- beispielen erfolgt auf Ihre Verantwortung. Die Weitergabe an Dritte oder Vervielfältigung der Anwendungs- beispiele oder von Auszügen daraus ist nur in Kombination mit Ihren eigenen Produkten gestattet. Die Anwendungsbeispiele unterliegen nicht zwingend den üblichen Tests und Qualitätsprüfungen eines kosten- pflichtigen Produkts, können Funktions- und Leistungsmängel enthalten und mit Fehlern behaftet sein. Sie sind verpflichtet, die Nutzung so zu gestalten, dass eventuelle Fehlfunktionen nicht zu Sachschäden oder der Verletzung von Personen führen.

Haftungsausschluss

Siemens schließt seine Haftung, gleich aus welchem Rechtsgrund, insbesondere für die Verwendbarkeit, Verfügbarkeit, Vollständigkeit und Mangelfreiheit der Anwendungsbeispiele, sowie dazugehöriger Hinweise, Projektierungs- und Leistungsdaten und dadurch verursachte Schäden aus. Dies gilt nicht, soweit Siemens zwingend haftet, z.B. nach dem Produkthaftungsgesetz, in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der schuldhaften Verletzung des Lebens, des Körpers oder der Gesundheit, bei Nichteinhaltung einer übernommenen Garantie, wegen des arglistigen Verschweigens eines Mangels oder wegen der schuldhaften Verletzung wesentlicher Vertragspflichten. Der Schadensersatzanspruch für die Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegen oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist mit den vorstehenden Regelungen nicht verbunden. Von in diesem Zusammenhang bestehenden oder entstehenden Ansprüchen Dritter stellen Sie Siemens frei, soweit Siemens nicht gesetzlich zwingend haftet.

Durch Nutzung der Anwendungsbeispiele erkennen Sie an, dass Siemens über die beschriebene Haftungs- regelung hinaus nicht für etwaige Schäden haftbar gemacht werden kann.

Weitere Hinweise

Siemens behält sich das Recht vor, Änderungen an den Anwendungsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in den Anwendungsbeispielen und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.

Ergänzend gelten die Siemens Nutzungsbedingungen (https://support.industry.siemens.com).

Securityhinweise

Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.

Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts.

Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.B.

Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden.

Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden.

Weiterführende Informationen über Industrial Security finden Sie unter:

https://www.siemens.com/industrialsecurity.

Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen.

Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen.

Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter: https://www.siemens.com/industrialsecurity.

(3)

Inhaltsverzeichnis

Rechtliche Hinweise... 2

1 Einführung ... 4

1.1 Überblick ... 4

1.2 Funktionsweise ... 5

1.2.1 Anmeldung mit UMC an WinCC RT Advanced ... 5

1.2.2 Anmeldung mit UMC an TIA Portal ... 7

2 Engineering ... 8

2.1 Hardwareaufbau ... 8

Voraussetzung ... 8

2.2 UMC-Benutzer und Benutzergruppen ... 9

2.3 Konfiguration des Engineering-PCs ... 13

2.3.1 Konfiguration des Internet Information Services (IIS)... 13

2.3.2 HTTPS-Protokoll in IIS konfigurieren... 13

2.3.3 Anbindung des Engineering-PCs an die UMC-Domäne ... 17

2.3.4 Import von UMC-Benutzergruppen und Benutzern in TIA Portal ... 22

2.3.5 PM-LOGON installieren ... 27

2.3.6 WinCC RT Advanced konfigurieren... 27

3 Anhang ... 30

3.1 Service und Support ... 30

3.2 Industry Mall ... 31

3.3 Links und Literatur ... 31

3.4 Änderungsdokumentation ... 31

(4)

1 Einführung

1.1 Überblick

Ein effizientes Benutzermanagement ist ein wesentlicher Bestandteil jedes Sicherheits- Konzeptes. Die Benutzerverwaltung von User Management Component (UMC) ermöglicht die anlagenweite, zentrale Pflege von Benutzern mit optionaler Anbindung von Microsoft Active Directories. Dank personenspezifischer Zuweisung von Rollen und Rechten wird der Pflegeaufwand minimiert und zugleich hohe Transparenz erreicht. Die zentrale

Benutzerverwaltung bildet somit die Basis für eine effiziente und durchgängige Administration von personalisierten Zugriffsrechten in der Anlage. So können Sicherheitsrisiken deutlich reduziert werden.

UMC erlaubt die Einrichtung einer zentralen Benutzerverwaltung. D. h. Sie können Benutzer und Benutzergruppen software- und geräteübergreifend definieren und verwalten. Benutzer und Benutzergruppen können auch aus einer Microsoft Active Directory (AD) übernommen werden.

Die zentralen Benutzer und Benutzergruppen können Sie in die verschiedenen Applikationen importieren oder als temporäre Benutzer verwenden.

Was zeigen wir in diesem Dokument

Dieses Dokument baut auf dem Basisdokument unter derselben Beitrags-ID auf. Im Basisdokument ist die Installation und die Einrichtung von UMC beschrieben.

In diesem Anwendungsbeispiel lernen Sie, wie Sie Applikationen an einen bestehenden UMC- Ring-Server anbinden:

• TIA Portal

• WinCC RT Advanced mit PM-LOGON

(5)

1 Einführung

1.2 Funktionsweise

Der UMC-Server empfängt die Anmeldeanfragen der angebundenen Applikationen und überprüft die eingegebenen Daten des Benutzers. Anschließend wird der Applikation eine Rückmeldung gegeben, ob die Anmeldedaten korrekt sind und die Anmeldung wird freigegeben.

1.2.1 Anmeldung mit UMC an WinCC RT Advanced

Anmeldung mit PM-LOGON

Die folgende Abbildung zeigt die Anmeldung mit UMC an WinCC RT Advanced unter Verwendung von PM-LOGON.

WinCC RT Advanced nutzt Scripte und OPC UA für Verbindung und Kommunikation mit PM- LOGON. PM-LOGON ermöglicht die Teilnahme von WinCC RT Advanced am Desktop-SSO, d. h. der Benutzer wird automatisch aus einer Desktop-SSO-Session von UMC übernommen.

Durch die Software "PM-LOGON" wird das SLRA-Protokoll

(SIMATIC Logon Remote Authentication-Protokoll) auf den Single Sign-on (SSO) Mechanismus zur Authentifizierung beim UMC-Server übersetzt.

Abbildung 1-1

WinCC Runtime Advanced Station User Management Component

Eingabe der Daten prüfen PM Logon

Desktop- SSO Nutzeraktion, die

Berechtigung erfordert

Anmeldung freigeben Anmeldung

verweigern

Desktop-SSO

Fehlermeldung ausgeben

Nutzung von WinCC RT Advanced mit den

erhaltenen echten

Script, OPC UA

(6)

Anmeldung mit SIMATIC Logon Remote Authentication (SLRA)

Die folgende Abbildung zeigt die Anmeldung mit UMC an WinCC RT Advanced mit SIMATIC Logon Remote Authentication (SLRA).

Abbildung 1-2

WinCC Runtime Advanced Station User Management Component

Prüfen der Daten

SLRA Eingabe der

Nutzerdaten

verweigern

Nutzung von WinCC RT Advanced mit den zugewiesenen Rechten

(7)

1 Einführung

1.2.2 Anmeldung mit UMC an TIA Portal

Die folgende Abbildung zeigt die Anmeldung mit UMC an TIA Portal mit Desktop-SSO.

Abbildung 1-3

Engineering-PC with TIA Portal User Management Component

Prüfen der Daten

Desktop-SSO Eingabe der

Nutzerdaten

verweigern

Nutzung von TIA Portal mit den zugewiesenen

Rechten

(8)

2 Engineering

2.1 Hardwareaufbau

Die folgende Abbildung zeigt den Aufbau des Anwendungsbeispiels:

Abbildung 2-1

Microsoft Active Directory Sekundärer

UMC-Ring-Server

Windows Server 2016

Windows Server 2019 Primärer

UMC-Ring-Server

Windows Server 2016

UMC - Basisdokument

Windows 10 UMC-Server Engineering PC mit

TIA Portal, PM- LOGON und WinCC

Runtime Advanced

Der Engineering-PC mit TIA Portal, PM-LOGON und WinCC RT Advanced wird in diesem Applikationsbeispiel als UMC-Server der bestehenden UMC-Domäne hinzugefügt. Somit übernimmt der Engineering-PC die Authentifizierung über Desktop Single Sign-on.

Die WinCC RT Advanced und das TIA Portal Projekt können sich am UMC-Server für die Authentifizierung anmelden.

Voraussetzung

Dieses Anwendungsbeispiel baut auf dem Basisdokument auf. Stellen Sie sicher, dass die UMC-Domäne sowie ggf. die Microsoft Active Directory entsprechend eingerichtet sind.

Hinweis Damit im späteren Verlauf des Dokuments die Anmeldung der WinCC RT Advanced über Desktop-SSO funktioniert, muss der UMC-Ring-Server und der Engineering-PC in die Domäne der Microsoft Active Directory eingebunden sein.

(9)

2 Engineering

Beispiel-Benutzer und Gruppen

Die folgenden UMC-Benutzer und TIA Portal-Benutzer mit den zugehörigen Gruppen werden im Beispiel genutzt.

Tabelle 2-1

Benutzer Gruppen Beschreibung

admin Administrator für UMC-Ring-Server

AD100\John AD100\Operator Mitglied der Gruppe "Operator" im UMC-Ring- Server, die von der Microsoft Active Directory importiert wurde

Benutzer hat Leserecht auf der UMC.

AD100\Bob AD100\Operator Mitglied der Gruppe "Operator" im UMC-Ring- Server, die von der Microsoft Active Directory importiert wurde

MaxMuster TIAMaintenance Mitglied der Gruppe "TIAMiantenance" im UMC- Ring-Server

localAdmin TIA Portal Projekt Administrator

2.2 UMC-Benutzer und Benutzergruppen

Um einen Benutzer oder eine Benutzergruppe in den einzelnen Applikationen verwenden zu können, müssen diese im UMC-Ring-Server angelegt oder aus der Microsoft Active Directory in den UMC-Ring-Server importiert werden.

Web Based Management (WBM) von UMC öffnen

1. Öffnen Sie einen beliebigen Webbrowser auf dem primären UMC-Ring-Server.

Geben Sie im Browser "https://localhost:<Port>/UMC" oder "https://<IP-Adresse des UMC- Servers>:<Port>/UMC" ein.

2. Melden Sie sich als Administrator an.

(10)

Legen Sie eine Benutzergruppe an oder importieren Sie eine Benutzergruppe aus der Microsoft Active Directory, falls diese vorhanden ist.

Gruppe in UMC anlegen

1. Klicken Sie auf das Menü-Symbol.

2. Öffnen Sie das Menü "Gruppen" ("Groups").

3. Klicken Sie auf "Gruppe hinzufügen" ("Add Group"), um eine neue Gruppe zu erstellen.

4. Tragen Sie einen Gruppennamen, z. B. "TIAMaintenance", und optional eine Beschreibung, ein.

Hinweis Um die Beschreibung einer Gruppe nachträglich anzupassen, markieren Sie die gewünschte Gruppe und klicken Sie auf "Bearbeiten" ("Edit").

5. Markieren Sie die neu erstellte Gruppe 6. Klicken Sie auf "Details".

Die Detailansicht öffnet sich.

7. Öffnen Sie das Register "Gruppenmitglieder" ("Members").

8. Tragen Sie die Benutzer ein, die Mitglieder der Gruppe "TIAMaintenance" sein sollen.

9. Speichern Sie Ihre Eingaben.

Das Hinzufügen der Benutzer und der Benutzergruppen ist abgeschlossen.

(11)

2 Engineering

Gruppe aus der Microsoft Active Directory importieren 1. Klicken Sie auf das Menü-Symbol.

2. Öffnen Sie das Menü "Gruppen" ("Groups").

3. Klicken Sie auf "Domänengruppen importieren" ("Import Domain Groups"), um eine Gruppe aus der Microsoft Active Directory zu importieren.

Der Dialog "Domänengruppen importieren" ("Import Damain Groups") öffnet sich.

4. Wählen Sie die Domäne der Microsoft Active Directory aus.

Hinweis Der UMC-Ring-Server muss in die Domäne der Microsoft Active Directory eingebunden sein.

5. Um eine Gruppe aus der Microsoft Active Directory zu importieren, haben Sie folgende Möglichkeiten:

– Wenn die Gruppe bei UMC noch nicht bekannt ist, geben Sie drei Buchstaben des Namens der Gruppe ein.

– Wenn die Identität der Gruppe bekannt ist, tragen Sie den Namen der Gruppe ein.

6. Klicken Sie auf "Search", um die Gruppe UMC bekannt zu machen.

7. Klicken Sie auf die Schaltfläche "Importieren" ("Import").

(12)

Der Import der Benutzer und Benutzergruppen aus der Microsoft Active Directory ist abgeschlossen.

(13)

2 Engineering

2.3 Konfiguration des Engineering-PCs

In diesem Anwendungsbeispiel sind folgende Produkte auf dem Engineering-PC eingerichtet:

• TIA Portal V17

• WinCC RT Advanced V17

• UMC V2.9.3

• PM-LOGON V1.8

2.3.1 Konfiguration des Internet Information Services (IIS)

Hinweis Wenn der UMC-Ring-Server mit einer Microsoft Active Directory verbunden ist, ist es notwendig, dass sich der UMC-Ring-Server PC in derselben Domäne wie der PC, auf dem die Microsoft Active Directory installiert ist, befindet. Im Basisdokument ist beschrieben, wie Sie den UMC-Ring-Server PC in die Domäne einbinden.

Um die Anmeldung an UMC zu ermöglichen, ist es notwendig, bestimmte Funktionen und Rollen von Internet Information Services (IIS) zu installieren. IIS ist notwendig, um für die Anmeldung auf den Webserver von UMC zuzugreifen.

Nehmen Sie die Einstellungen entsprechend der Beschreibung im Handbuch

"UMC_InstallationManual", Kapitel 3.1 "IIS Prerequisites" für Ihr System vor.

Sie finden das Handbuch nach der Installation des TIA Portals einschließlich UMC in folgendem Standard-Pfad:

"C:/Program Files/Siemens/Automation/UserManagement/Documentation"

2.3.2 HTTPS-Protokoll in IIS konfigurieren

Nachdem Sie die IIS-Installation geprüft und erweitert haben, ist es notwendig, folgende IIS-Einstellungen vorzunehmen, um das HTTPS-Protokoll für den Zugriff auf den Webserver nutzen zu können:

Hinweis Schritt 2 und 3 können übersprungen werden, wenn ein Zertifikat bereits von der IT bereitgestellt wurde!

1. Öffnen Sie den Internet Information Services (IIS) Manager.

2. Markieren Sie den PC-Namen.

3. Doppelklicken Sie auf "Server-Zertifikate" ("Server Certificates").

(14)

Hinweis Achten Sie darauf, dass die IIS-Komponenten "URL Rewrite" und "Application Request Routing" installiert sind.

(15)

2 Engineering

4. Klicken Sie auf "Selbstsigniertes Zertifikat erstellen" ("Create Self-Signed Certifiate").

5. Geben Sie einen Namen für das Zertifikat ein.

6. Klicken Sie auf die Schaltfläche "OK".

7. Klicken Sie unter "Seiten" ("Sites") mit der rechten Maustaste auf "Default Web Site".

8. Öffnen Sie das Menü "Bindungen bearbeiten" ("Edit Bindings").

9. Klicken Sie auf die Schaltfläche "Hinzufügen" ("Add"), um eine neue Bindung hinzuzufügen.

10. Wählen Sie den Typ "https" aus.

11. Unter "SSL Zertifikat" ("SSL certificate") wählen Sie das zuvor erzeugte Zertifikat aus.

Achten Sie auf den zu verwendeten Port. Dieser sollte nach der Umstellung von "http" auf

"https" automatisch von Port 80 auf Port 443 wechseln.

12. Klicken Sie auf die Schaltfläche "OK", um die Einstellungen zu speichern.

(16)

10

11

12

Die Konfiguration des HTTPS-Protokolls im Internet Information Services (IIS) Manager ist abgeschlossen. Schließen Sie den Internet Information Services (IIS) Manager.

(17)

2 Engineering

2.3.3 Anbindung des Engineering-PCs an die UMC-Domäne

Sie haben folgende Möglichkeiten, den Engineering-PC als UMC-Server an die UMC-Domäne anzubinden:

• Über Befehle in der "Eingabeaufforderung" ("Command Prompt")

• Über den TIA Administrator.

1. Starten Sie den TIA Administrator.

2. Tragen Sie den Benutzernamen und das Passwort Ihres Windows Accounts ein.

3. Klicken Sie auf die Schaltfläche "Einloggen" ("Login").

Nach der erfolgreichen Anmeldung werden Sie auf die Hauptseite des TIA Administrator weitergeleitet.

(18)

4. Klicken Sie auf die Kachel "Central User Management", um den UMC-Server einzurichten.

Die Einstellungen für die zentrale Benutzerverwaltung öffnen sich.

5. Wählen Sie die Betriebsart "User Mangement im Betriebsmodus "UMC Server"" ("User Management in "Server" operating mode") aus.

6. Geben Sie im Feld "Serveradresse" ("Server address") den Namen des UMC-Ring-Servers ein.

7. Klicken Sie auf die Schaltfläche "Validieren" ("Validate"), um die Eingabe zu bestätigen.

Der UMC-Ring-Server liefert automatisch die Server-ID zurück.

8. Wenn die Server-ID angezeigt wird, klicken Sie auf die Schaltfläche "Bestätigen"

("Approve").

Hinweis Vergewissern Sie sich, dass die Server-ID auch der richtigen Server-ID entspricht. Diese Information bekommen Sie von dem Administrator des Systems. Dieser kann Ihnen die Server-ID zur Überprüfung zur Verfügung stellen.

Wenn die Server-ID nicht überprüft wird, ist es möglich, dass ein Man-in-the-middle Attack stattfinden kann.

(19)

2 Engineering

(20)

9. Geben Sie im Feld "Benutzername" ("User name") einen UMC-Benutzer an, der mindestens das Recht "UM_JOIN" besitzt. Dieses Recht wird benötigt, um einen unterlagerten UMC- Server an den UMC-Ring-Server anzubinden.

10. Geben Sie im Feld "Passwort" ("Password") das Passwort des UMC-Benutzers an. In diesem Beispiel wird der Benutzer "admin" mit Administrationsrechten auf dem UMC-Ring-Server verwendet.

11. Klicken Sie auf die Schaltfläche "Verbinden" ("Connect").

10

11

Wenn der UMC-Server erfolgreich an den UMC-Ring-Server angebunden wurde, wird eine Statusmeldung angezeigt, dass dieser verbunden ist.

Es ist notwendig weitere Einstellungen für die Verwendung von Desktop Single Sign-on vorzunehmen.

1. Wenn der UMC-Server erfolgreich an den UMC-Ring-Server angebunden ist, aktivieren Sie unter dem Punkt "Settings" folgende Funktionen:

– "Desktop Single Sign-on auf diesem Computer aktivieren" ("Enable desktop single sign- on on this computer")

Diese Funktion schaltet die Desktop-SSO- Funktionalität für die Anwendungen, z. B.

TIA Portal, frei.

– "SIMATIC Logon Protokoll auf diesem Computer aktivieren (Desktop Single Sign-on für WinCC Runtime Advaned)" ("Enable SIMATIC logon protocol on this computer (desktop single-sign-on support for WinCC Runtime Advanced)"

Diese Funktion schaltet das SLRA-Protokoll für diesen Computer und die Desktop- SSO-Unterstützung frei.

2. Klicken Sie auf die Schaltfläche "Einstellungen anwenden" ("Apply settings"), um die Einstellungen zu übernehmen.

(21)

2 Engineering

3. Melden Sie sich ab und schließen den TIA Administrator.

4. Starten Sie den PC neu, damit alle Dienste neu gestartet werden können oder starten Sie den Dienst "UMC Secure Communication" unter "Dienste" ("Services") manuell neu.

5. Nach dem Neustart öffnen Sie die Eingabeaufforderung ("CMD") als Administrator und wechseln Sie in das Verzeichnis mit Hilfe des folgenden Befehls:

cd C:\Program Files\SIEMENS\Automation\UserManagement\BIN

6. Führen Sie die Batch-Datei "dsso-prereq.bat" über die Eingabeaufforderung ("CMD") aus:

dsso_prereq.bat enable

Die Anbindung und Einrichtung des UMC-Servers sind abgeschlossen.

(22)

2.3.4 Import von UMC-Benutzergruppen und Benutzern in TIA Portal

Sie haben in TIA Portal die Möglichkeit, Projekte vor unbefugtem Zugriff zu schützen und Benutzern oder Benutzergruppen Rollen mit Rechten zuzuweisen. Statten Sie die Rollen mit Rechten aus, die der Benutzer für das Projekt benötigt, um es z. B. zu bearbeiten.

In TIA Portal werden die Benutzer und Benutzergruppen importiert und mit Rechten ausgestattet.

Lokalen Administrator anlegen

1. Öffnen Sie in der Projektnavigation die "Sicherheitseinstellungen" ("Security settings").

2. Doppelklicken Sie auf "Einstellungen" ("Settings"), um diese im Arbeitsbereich zu öffnen.

3. Klicken Sie auf die Schaltfläche "Dieses Projekt schützen" ("Protect this project").

Es öffnet sich ein Dialog, in dem Sie einen Benutzer anlegen müssen. Dieser Benutzer ist der lokale Administrator für das Projekt, der alle Rechte hat.

4. Legen Sie einen Benutzernamen und ein Passwort für den lokalen Administrator fest.

5. Klicken Sie auf die Schaltfläche "OK".

(23)

2 Engineering

Benutzergruppe importieren

1. Doppelklicken Sie in der Projektnavigation unter "Sicherheitseinstellungen" ("Security Settings") auf "Benutzer und Rollen" ("Users and roles"), um diese im Arbeitsbereich zu öffnen.

2. Öffnen Sie das Register "Benutzergruppen" ("User groups"), um eine neue Benutzergruppe hinzuzufügen.

3. Doppelklicken Sie auf das Feld "<Neue Benutzergruppe hinzufügen>" ("<Add new user group>").

Es öffnet sich ein Dialog, über den Sie sich bei UMC identifizieren müssen.

4. Tragen Sie den Benutzernamen und das Passwort eines UMC-Benutzers ein, der mindestens das Recht "UM_VIEW" besitzt.

5. Klicken Sie auf die Schaltfläche "OK", um sich an UMC anzumelden.

Wenn Sie erfolgreich an UMC angemeldet sind, öffnet sich ein Dialog mit den Gruppen in UMC, die Sie in das TIA Portal-Projekt importieren können.

6. Wählen Sie z. B. die Gruppen "AD100\Operator" und "TIAMaintenance" aus.

7. Klicken Sie auf die Schaltfläche "OK", um die ausgewählten Gruppen zu importieren.

(24)

(25)

2 Engineering

Rollen erstellen und zuweisen

Nach dem Import der Gruppen haben Sie die Möglichkeit, den Gruppen vordefinierte Rollen zuzuweisen oder selbst Rollen mit entsprechenden Rechten zu definieren.

1. Öffnen Sie das Register "Rollen" ("Roles").

2. Doppelklicken Sie auf das Feld "Neue Rolle hinzufügen" ("Add new role"), um eine neue Rolle zu erstellen.

3. Markieren Sie die neu erstellte Rolle.

4. Öffnen Sie das Register "Engineering-Rechte" ("Engineering rights"), um der Rolle die notwendigen Rechte zuzuweisen.

5. Aktivieren Sie alle Rechte, die die Rolle benötigt und die Sie der Rolle zuweisen möchten.

6. Öffnen Sie das Register "Benutzergruppen" ("User groups").

7. Markieren Sie eine Gruppe.

8. Öffnen Sie das Register "Assigned roles", um der Gruppe die selbst definierte Rolle zuzuweisen.

9. Aktivieren Sie die Rolle, die die Gruppe benötigt und die Sie der Gruppe zuweisen möchten.

(26)

Ergebnis

Sie können sich jetzt mit einem Benutzer der Gruppe am TIA Portal-Projekt anmelden. Hierfür melden Sie sich ab und öffnen das Projekt erneut. Sie haben die Möglichkeit, eine der

folgenden Anmeldemethoden auszuwählen:

– "Projektbenutzer" ("Project user") – "Globaler Benutzer" ("Global user") – "Anonymer Benutzer" ("Anonymous user") – "Single Sign-on" ("Single sign-on")

Um einen Gruppenbenutzer zu verwenden, ist es notwendig, die Anmeldemethode "Globaler Benutzer" ("Gobal user") oder "Single Sign-on" ("Single sign-on") auswählen.

Hinweis Der Benutzertyp "Anonymer Benutzer" ist nur verwendbar, wenn dieser aktiviert ist.

(27)

2 Engineering

2.3.5 PM-LOGON installieren

Hinweis Die Installation von PM-LOGON ist nur notwendig, wenn WinCC RT Advanced Desktop-SSO für die Authentifizierung von Benutzern bei der Anmeldung mit UMC verwendet.

PM-LOGON ist eine zusätzliche Software. PM-LOGON ermöglicht es WinCC RT Advanced, Desktop Single Sign-on für die Authentifizierung von Benutzern bei der Anmeldung mit UMC zu verwenden.

Sie erhalten die Software über den Siemens Technical Support:

support.industry.siemens.com/cs/my/src

Installieren Sie PM-LOGON, um WinCC RT Advanced die Teilnahme am Desktop-SSO zu ermöglichen.

Um PM-LOGON zu installieren, folgen Sie dem Hilfe-Dokument von PM-LOGON. Sie finden dieses Dokument auf der DVD von PM-Logon im Ordner "Documents" und dann in dem entsprechenden Sprache-Ordner. Das Dokument für die Installation heißt "PM-LOGON UMC- RT Advanced Sync.pdf". Hier sind alle notwendigen Schritte beschrieben, wie Sie PM-LOGON installieren müssen und welche Einstellungen Sie im WinCC RT Advanced-Projekt vornehmen müssen.

2.3.6 WinCC RT Advanced konfigurieren

Nachdem Sie PM-LOGON installiert haben und die notwendigen Einstellungen im

WinCC RT Advanced-Projekt vorgenommen haben, beginnen Sie mit der Benutzerverwaltung und der Zuweisung der zu schützenden Bedienelemente.

1. Öffnen Sie in der Projektnavigation den Geräteordner der PC-Station.

2. Öffnen Sie im Geräteordner der PC-Station den Ordner der Applikation

"WinCC RT Advanced".

3. Doppelklicken Sie auf "Benutzerverwaltung" ("User administration"), um diese im Arbeitsbereich zu öffnen.

4. Öffnen Sie das Register "Benutzergruppen" ("User groups").

5. Fügen Sie eine neue Gruppe hinzu.

6. Tragen Sie den Namen ein, den die Gruppe im UMC-Ring-Server hat.

7. Weisen Sie dieser Gruppe eine Autorisierung zu.

(28)

9. Markieren Sie im Bild eine Schaltfläche, die Sie mit einer Berechtigung ausstatten wollen.

10. Gehen Sie zu den Einstellungen der Schaltfläche und öffnen die Eigenschaft "Security".

11. In der Eigenschaft "Security" stellen Sie die Autorisierung ein.

Benutzer, die die eingestellte Autorisierung besitzen, haben die Möglichkeit, diese Schaltfläche zu betätigen.

12. Klicken Sie auf das Symbol , um die Einstellung zu übernehmen.

10

11

13. Übersetzen und speichern Sie Ihr Projekt.

14. Starten Sie die WinCC RT Advanced und öffnen Sie die WinCC RT Advanced Datei von Ihrem Projekt.

(29)

2 Engineering

15. Wenn Sie die Schaltfläche, die Sie zuvor geschützt haben, betätigen, öffnet sich das Web UI zur Anmeldung am UMC-Server.

16. Tragen Sie die Anmeldedaten ein, z. B. AD100\Bob.

17. Klicken Sie auf die Schaltfläche "Sign In", um sich anzumelden.

15

16

17

Ergebnis

In einem Ausgabefeld können Sie überprüfen, ob Sie an das System angemeldet sind. Sie sehen hier, dass Bob erfolgreich angemeldet wurde.

Abbildung 2-2

(30)

3 Anhang

3.1 Service und Support

Industry Online Support

Sie haben Fragen oder brauchen Unterstützung?

Über den Industry Online Support greifen Sie rund um die Uhr auf das gesamte Service und Support Know-how sowie auf unsere Dienstleistungen zu.

Der Industry Online Support ist die zentrale Adresse für Informationen zu unseren Produkten, Lösungen und Services.

Produktinformationen, Handbücher, Downloads, FAQs und Anwendungsbeispiele – alle Informationen sind mit wenigen Mausklicks erreichbar:

support.industry.siemens.com

Technical Support

Der Technical Support von Siemens Industry unterstützt Sie schnell und kompetent bei allen technischen Anfragen mit einer Vielzahl maßgeschneiderter Angebote

– von der Basisunterstützung bis hin zu individuellen Supportverträgen.

Anfragen an den Technical Support stellen Sie per Web-Formular:

support.industry.siemens.com/cs/my/src

SITRAIN – Digital Industry Academy

Mit unseren weltweit verfügbaren Trainings für unsere Produkte und Lösungen unterstützen wir Sie praxisnah, mit innovativen Lernmethoden und mit einem kundenspezifisch abgestimmten Konzept.

Mehr zu den angebotenen Trainings und Kursen sowie deren Standorte und Termine erfahren Sie unter:

siemens.de/sitrain

Serviceangebot

Unser Serviceangebot umfasst folgendes:

• Plant Data Services

• Ersatzteilservices

• Reparaturservices

• Vor-Ort und Instandhaltungsservices

• Retrofit- und Modernisierungsservices

• Serviceprogramme und Verträge

Ausführliche Informationen zu unserem Serviceangebot finden Sie im Servicekatalog:

support.industry.siemens.com/cs/sc

Industry Online Support App

Mit der App "Siemens Industry Online Support" erhalten Sie auch unterwegs die optimale Unterstützung. Die App ist für iOS und Android verfügbar:

support.industry.siemens.com/cs/ww/de/sc/2067

(31)

3 Anhang

3.2 Industry Mall

Die Siemens Industry Mall ist die Plattform, auf der das gesamte Produktportfolio von Siemens Industry zugänglich ist. Von der Auswahl der Produkte über die Bestellung und die

Lieferverfolgung ermöglicht die Industry Mall die komplette Einkaufsabwicklung – direkt und unabhängig von Zeit und Ort:

mall.industry.siemens.com

3.3 Links und Literatur

Tabelle 3-1

Nr. Thema

\1\ Siemens Industry Online Support https://support.industry.siemens.com

\2\ Link auf die Beitragsseite des Anwendungsbeispiels

https://support.industry.siemens.com/cs/ww/de/view/109780337

3.4 Änderungsdokumentation

Tabelle 3-2

Version Datum Änderung

V1.0 11/2021 Erste Ausgabe