Nachdem Sie Ihre JWT-Konfiguration eingerichtet und getestet haben, gibt Ihnen Document360 die volle Kontrolle darüber, wie sich jede Konfiguration in der Produktion verhält. Man kann einzelne Konfigurationen aktivieren oder deaktivieren, geheime Token regenerieren, verwalten, wie Reader zur richtigen JWT-Einrichtung geleitet werden, steuern, wie die Leser-Login-Seite angezeigt wird, und eine vollständige Audit-Spur aller Änderungen überprüfen.
Bevor du anfängst
- Nur Benutzer mit der Projektrolle Eigentümer oder Administrator können JWT-Konfigurationen verwalten.
- Mindestens eine JWT-Konfiguration muss bereits in deinem Projekt existieren. Falls du noch keinen erstellt hast, siehe JWT konfigurieren in Document360.
Verwaltung von Konfigurationen
Aktivieren oder deaktivieren Sie eine JWT-Konfiguration
Du kannst eine JWT-Konfiguration deaktivieren, ohne sie zu löschen. Das ist nützlich, wenn du eine Konfiguration vorübergehend aussetzen musst, ohne die Einstellungen zu verlieren.
- Gehe zu Einstellungen () > Benutzer & Berechtigungen > JWT.
- Finde die JWT-Konfiguration, die du verwalten möchtest.
- Klicken Sie auf das Edit ()-Symbol in der Konfiguration.
- Erweiterte Einstellungen für Erweiterte Einstellungen.
- Schalten Sie die Aktivierung der JWT-Authentifizierung zum Deaktivieren aus oder aktivieren, um sie erneut zu aktivieren.
- Klicken Sie auf Speichern.
Lösche eine JWT-Konfiguration
- Gehe zu Einstellungen () > Benutzer & Berechtigungen > JWT.
- Finde die JWT-Konfiguration, die du entfernen möchtest.
- Klicken Sie auf das Löschen ()-Symbol.
- Bestätigen Sie die Löschung, wenn Sie aufgefordert werden.
Geheime Token regenerieren
Jede JWT-Konfiguration hat einen primären Geheimtoken und einen sekundären Geheimtoken. Das sekundäre Token existiert speziell zur Unterstützung der Rotation: Es ermöglicht die Fortsetzung der Authentifizierung, während Sie das primäre Token in Ihrer Anwendung aktualisieren, wodurch jegliche Serviceunterbrechungen verhindert werden.
Die Neugenerierung eines Tokens macht den vorherigen Token sofort ungültig. Sie müssen Ihre Anwendung sofort mit dem neuen Token aktualisieren, um Authentifizierungsfehler zu vermeiden.
- Gehe zu Einstellungen () > Benutzer & Berechtigungen > JWT.
- Klicken Sie auf das Edit ()-Symbol in der Konfiguration.
- Unter JWT-Schlüsseln klickst du neben dem Token, das du ersetzen möchtest, auf Regenerieren .
- Kopiere sofort das neue Token. Token werden nur einmal angezeigt und nicht in Document360 gespeichert.
- Aktualisieren Sie Ihre Anwendung mit dem neuen Token.
- Klicken Sie auf Speichern.
Verwaltung des Leserzugriffs
Domänenbasierte Leser-Routing
Wenn mehrere JWT-Konfigurationen aktiv sind, leitet Document360 jeden Leser basierend auf dem Domainnamen, den er auf der Anmeldeseite eingibt, zur korrekten Konfiguration weiter.
Document360 wendet eine Regel für die meist-spezifisch-Übereinstimmung an. Wenn sowohl example.com als auch support.example.com konfiguriert sind, wird ein Reader, der eingeht support.example.com , an diese Konfiguration und nicht an die Elterndomäne weitergeleitet. Dies ermöglicht es, Subdomänen von dedizierten Konfigurationen ohne Konflikte zu verwalten.
Zusätzliche Routing-Regeln:
- Das Domainmatching ist kleinschreibungsabhängig und jeder Domainname muss über alle JWT-Konfigurationen im Projekt hinweg einzigartig sein.
- Wenn die abgestimmte Konfiguration inaktiv ist, wird der Leser zu den Standard-Anmeldeoptionen geleitet.
- Wenn kein Treffer gefunden wird, wird der Leser auf die Standard-Anmeldeoptionen weitergeleitet.
- Das Domainnamen-Feld gilt nur für JWT-Routing. SSO-Anbieter sind über dieses Feld nicht zugänglich.
JWT und SSO koexistieren
JWT- und SSO-(SAML- oder OpenID)-Konfigurationen können gleichzeitig im selben Projekt aktiv sein. Jeder Typ wird unabhängig verwaltet. Die Änderung einer JWT-Konfiguration hat keinen Einfluss auf SSO-Konfigurationen und umgekehrt. Dies ermöglicht es Organisationen, Leser verschiedener Identitätssysteme über ein einziges Knowledge Base-Portal zu unterstützen, ohne Konflikte zwischen den Authentifizierungsmethoden.
Beispiel: Unternehmenskunden können sich über JWT authentifizieren, das mit Ihrer Anwendung verknüpft ist, während interne Teammitglieder sich über einen zentralen Identitätsanbieter wie Okta mit SAML anmelden. Beide Methoden können gleichzeitig aktiv sein, ohne Störungen.
Einschränkungen der Login-Tasten
Maximal 3 JWT-Login-Buttons und 5 SSO-Login-Buttons können jederzeit auf der Reader-Login-Seite angezeigt werden. Diese Grenzen werden unabhängig voneinander angewendet.
| Authentifizierungstyp | Maximale Anzahl der angezeigten Login-Buttons | Zugang jenseits der Grenze |
|---|---|---|
| JWT | 3 | Die ersten 3 JWT-Konfigurationen werden als Anmeldetasten angezeigt, basierend auf ihrer CTA-Positionsreihenfolge. Leser können sich authentifizieren, indem sie ihren Domainnamen im Feld Domain Name eingeben. Bis zu 5 JWT-Konfigurationen können insgesamt aktiv sein. |
| SSO | 5 | Nur die ersten 5 SSO-Anbieter (nach CTA-Positionsreihenfolge) werden angezeigt. SSO-Anbieter jenseits dieses Limits sind für Leser auf keiner Weise zugänglich. |
Wenn zum Beispiel 5 JWT-Konfigurationen aktiv sind, erscheinen 3 als Login-Buttons und die restlichen 2 sind nur über Domain-Eingabe zugänglich. Wenn 6 SSO-Konfigurationen aktiv sind, sind nur 5 zugänglich. Der 6. ist für Leser nicht erreichbar.
Wenn das 3-Tasten-Limit für JWT erreicht ist, erhalten alle Projektadministratoren eine Systembenachrichtigung: "Sie haben das Limit von 3 JWT-Login-Buttons erreicht. Zusätzliche JWT-Konfigurationen erscheinen nicht als Buttons auf der Anmeldeseite. Leser können sich weiterhin anmelden, indem sie ihren Domainnamen eingeben."
Das Erreichen des JWT-Tastenlimits hat keinen Einfluss auf das SSO-Tastenlimit, und umgekehrt.
Login-Buttons neu reihen
Standardmäßig erscheinen Login-Buttons in der Reihenfolge, in der die SSO- und JWT-Konfigurationen erstellt wurden. Du kannst diese Reihenfolge über die Seitenanpassung ändern. Die Reihenfolge gilt sowohl für die Hauptschaltflächen als auch für den Bereich Weitere Anmeldeoptionen .
Um Login-Buttons neu zu ordnen:
- Klicken Sie im Einstellungs-Popup in der SSO-Konfiguration oder im Modus JWT konfigurieren auf Site Builder öffnen. Der Site-Builder öffnet sich direkt auf der Login-Seite.
- Stellen Sie sicher, dass der Basic-Stil ausgewählt ist.
- In der CTA-Positionsliste ziehen Sie die Anbieter in die gewünschte Reihenfolge. Die Liste zeigt alle aktivierten SSO- und aktiven JWT-Konfigurationen in einer einzigen zusammengeführten Liste.
- Klicken Sie auf Speichern und dann auf Veröffentlichen.

Die Vorschau zeigt nur die ersten beiden Tasten. Die übrigen Anbieter erscheinen nach der Veröffentlichung unter Andere Anmeldeoptionen .
Angaben auf der Leser-Login-Seite
Die Anmeldeseite, die den Lesern angezeigt wird, hängt von zwei Faktoren ab: dem Zustand des Standard-Login-Schalters deaktivieren und welche JWT- und SSO-Konfigurationen aktuell aktiv sind.
| Bundesstaat | Toggle | JWT aktiv | SSO aktiv | Lesererfahrung |
|---|---|---|---|---|
| 1 | OFF | Nein | Ja | Standardes E-Mail-/Passwortformular mit SSO-Anmeldebuttons |
| 2 | OFF | Ja | Ja | Standardes E-Mail-/Passwort-Formular mit SSO- und JWT-Anmeldebuttons |
| 3 | OFF | Ja | Nein | Standardes E-Mail-/Passwort-Formular mit JWT-Login-Buttons |
| 4 | ON | Nein | Ja | Nur SSO-Anmeldebuttons, kein E-Mail-/Passwortformular |
| 5 | ON | Ja | Nein | Domain-Eingabefeld mit JWT-Anmeldebuttons, kein E-Mail-/Passwort-Formular |
| 6 | ON | Ja | Ja | Domain-Eingabefeld mit JWT-Anmeldebuttons und SSO, kein E-Mail-/Passwortformular |
Wenn drei oder mehr Anbieter aktiv sind, erscheinen die ersten beiden in deiner konfigurierten CTA-Positionsreihenfolge als primäre Knöpfe. Verbleibende Anbieter erscheinen unter Andere Anmeldeoptionen als eine einzige, zusammengeführte Liste von SSO- und JWT-Anbietern in derselben konfigurierten Reihenfolge.
Regeln, die in allen Bundesstaaten gelten:
- Es werden nur aktive Konfigurationen angezeigt. Inaktive Konfigurationen werden den Lesern unabhängig vom Umschaltzustand nie angezeigt.
- Das Domain-Name-Eingabefeld wird angezeigt, wann immer der Schalter AN ist und mindestens eine JWT-Konfiguration aktiv ist. Dies stellt sicher, dass JWT-Konfigurationen ohne sichtbaren Anmeldeknopf über Domaineingabe erreichbar bleiben.
- Wenn alle JWT- und SSO-Konfigurationen inaktiv sind, während der Schalter AN ist, wird den Lesern eine Meldung angezeigt, dass derzeit keine Anmeldeoptionen verfügbar sind.
- Änderungen zum Umschalten von Zustand oder Konfigurationsstatus treten für neue Lesersitzungen sofort in Kraft. Bestehende authentifizierte Sitzungen sind nicht betroffen.
Aktivieren Sie den Standard-Login-Schalter nur nach vollständiger Konfiguration und Test der JWT- oder SSO-Authentifizierung. Wenn der externe Authentifizierungsanbieter falsch konfiguriert ist, können die Leser nicht auf die Wissensdatenbank zugreifen.
Überwachung und Prüfung
Audit-Logging
Alle JWT-Konfigurationsaktionen werden automatisch im Audit-Logbuch erfasst und liefern eine vollständige und manipulationssichere Aufzeichnung der Änderungen zu Compliance- und Sicherheitsüberprüfungszwecken.
Protokollierte Aktionen:
- Erstellen, aktualisieren, löschen
- Aktivieren, deaktivieren
- Primäres Token regenerieren, sekundäres Token regenerieren
- Direkte JWT-Anmeldung aktivieren/deaktivieren
- Standard-Login-Seite aktivieren/deaktivieren
Jeder Logeintrag zeichnet den Aktionstyp, den Zeitstempel (UTC), die Identität des Administrators, der die Aktion ausgeführt hat, und den Konfigurationsnamen zum Zeitpunkt der Aktion auf. Für Aktualisierungsaktionen erfasst das Log die spezifischen geänderten Felder sowie die vorherigen und neuen Werte. Token-Werte werden niemals aufgezeichnet; Nur die Tatsache der Rotation wird protokolliert, um die Sicherheit der Zugangsdaten zu schützen.
Logs werden mindestens 90 Tage aufbewahrt. Der Zugriff auf JWT-Auditprotokolle ist auf Benutzer mit Sicherheits- und Auditberechtigungen beschränkt.
Um die JWT-Aktivitätsverfolgung zu ermöglichen:
- Gehe zu Einstellungen () > Sicherheit & Audit > Team-Audit > Audit-Konfiguration.
- Aktivieren Sie die entsprechenden JWT-Event-Schalter.
- Sobald aktiviert, erscheint die JWT-Aktivität im Team-Auditing-Reiter . Verwenden Sie das Dropdown-Menü für Ereignisse und suchen Sie nach "JWT", um nach Ereignistyp zu filtern.
Empfänger von E-Mail-Benachrichtigungen:
| Ereignistyp | Preisträger |
|---|---|
| Alle JWT-Konfigurationsereignisse | Projektadministratoren |
| Geheime Token-Regeneration | Projektadministratoren und Projektverantwortliche |
Best Practices
- Verwenden Sie das sekundäre geheime Token als Rotationspuffer. Aktualisieren Sie immer zuerst das sekundäre Token in Ihrer Anwendung und rotieren Sie dann das primäre Token. Dies verhindert Authentifizierungsfehler während der Berechtigungsrotation.
- Deaktiviere statt lösche JWT-Konfigurationen bei der Fehlersuche. Das Deaktivieren bewahrt deine Einstellungen und lässt dich ohne Neukonfiguration wieder aktivieren.
- Aktiviere den direkten JWT-Login nur, wenn JWT die einzige Authentifizierungsmethode ist. Wenn mehrere Methoden aktiv sind, deaktivieren Sie es, damit die Leser ihre Anmeldeoption wählen können.
- Teste den Schalter "Standard-Login-Deaktivieren" in einer Staging-Umgebung, bevor du ihn in der Produktion aktivierst.
- Überprüfen Sie das Audit-Log regelmäßig, um unerwartete Konfigurationsänderungen oder Token-Regenerierungen zu erkennen.
- Behalte die Anzahl der aktiven JWT-Konfigurationen auf das, was du aktiv nutzt. Ungenutzte Konfigurationen verursachen unnötigen Verwaltungsaufwand und potenzielle Sicherheitsrisiken.
FAQ
Können JWT und SSO gleichzeitig aktiv sein?
Ja. JWT- und SSO-(SAML- oder OpenID)-Konfigurationen können im selben Projekt ohne Konflikte koexistieren. Jeder Typ wird unabhängig verwaltet und Änderungen an einem Typ beeinflussen den anderen nicht.
Was passiert, wenn ich mein geheimes Token verliere?
Geheime Marken werden bei der Erstellung nur einmal angezeigt. Wenn verloren, navigiere zum Konfigurationsmodus Bearbeiten und klicke auf Generieren für das entsprechende Token. Die Regeneration macht den bestehenden Token sofort ungültig. Aktualisieren Sie Ihre Anwendung sofort mit dem neuen Token, um Authentifizierungsfehler zu vermeiden.
Wie viele JWT-Konfigurationen kann ich in einem Projekt haben?
Du kannst bis zu 5 JWT-Konfigurationen pro Projekt erstellen. Bis zu drei davon können als Login-Buttons auf der Leser-Anmeldeseite erscheinen. Leser können zusätzliche Konfigurationen erreichen, indem sie ihren Domainnamen im Feld Domain Name auf der Anmeldeseite eingeben.
Wenn ich eine JWT-Konfiguration deaktiviere, wirkt sich das auf bestehende Lesesitzungen aus?
Nein. Das Deaktivieren einer Konfiguration verhindert neue Anmeldungen durch diese Konfiguration, beendet aber nicht bestehende authentifizierte Sitzungen. Diese Sitzungen bleiben aktiv, bis der Token abläuft.