In dieser Anleitung wird ausführlich erklärt, wie du SSO (Single Sign-On) mithilfe von SAML 2.0 (Security Assertion Markup Language) für Udemy Business konfigurierst.
- Rufe die Udemy Business-SAML-Metadaten für Azure AD auf.
- Teamweiterbildung: Hier wird erklärt, wie du SSO für CorpU (unsere Plattform für Teamweiterbildung) aktivierst.
Bitte beachten: Wenn du die App „Gallery“ (Galerie) verwendest, denke bitte daran, dass sie nicht mit SCIM kompatibel ist. Wenn du SCIM nutzen möchtest, erstelle bitte eine Nicht-Galerie-Anwendung.
SSO (Single Sign-On) in Azure konfigurieren
Melde dich bei deinem Azure-Portal an und klicke auf Microsoft Entra ID.
Wähle Enterprise applications (Unternehmensanwendungen).
Klicke nun oben in der Leiste auf + New application (+ Neue Anwendung).
Wähle Create your own application (Eigene Anwendung erstellen).
Gib einen Namen für die neue Anwendung ein und klicke unten im Fenster auf Integrate any other application you don't find in the gallery (Non-gallery) (Beliebige andere, nicht im Katalog zu findende Anwendung integrieren).
Wähle dann Set up single sign on (SSO einrichten).
Wähle als Single Sign-on Method (SSO-Methode) die Option SAML.
Führe die drei Schritte im Bildschirm Set up Single Sign-On with SAML (SSO mit SAML einrichten) aus. Azure AD bietet oben auf der Seite auch eine ausführliche Konfigurationsanleitung, die dir bei Bedarf weiterhilft.
In Schritt 1, „Basic SAML Configuration“ (Grundlegende SAML-Konfiguration):
- Gib in das Feld Identifier (Entity ID) (Bezeichner (Entitäts-ID)) Folgendes ein: https://www.udemy.com/sso/saml
Bitte beachten: Wenn die „Entity ID“ (Entitäts-ID) für eine andere SSO-Anwendung verwendet wird, dann kontaktiere bitte Udemy Business, um dir eine individuelle „Entity ID“ (Entitäts-ID) und Metadatendatei erstellen zu lassen.
- Gib in das Feld Reply URL (Antwort-URL) Folgendes ein: https://sso.connect.pingidentity.com/sso/sp/ACS.saml2
- Gib in das Feld Sign on URL (Anmelde-URL) die URL deines Udemy Business-Kontos ein: https://{deinesubdomain}.udemy.com
- Relay State (Übermittlungszustand) (optional): https://pingone.com/1.0/d905a6ca-adf9-45e2-9b9d-0d6485f27206
- Logout URL (Abmelde-URL) (optional): Wenn du Single Logout konfigurieren möchtest, gib Folgendes ein: https://sso.connect.pingidentity.com/sso/SLO.saml2
Klicke nach dem Hinzufügen dieser Felder auf Save (Speichern).
In Schritt 2, „User Attributes and Claims“ (Benutzerattribute und Claims):
Gehe zurück zum Tab Single Sign-on in der Seitenleiste und klicke im Bereich Attributes & Claims (Attribute & Claims) auf „Edit“ (Bearbeiten).
Klicke im Bereich Additional Claims (Weitere Claims) auf den Wert user.mail.
- Ändere die E-Mail-Adresse zu „email“ (achte auf die Kleinschreibung).
- Lösche den Namespace-URI.
- Gib unter „Source attribute“ (Quellattribut) den E-Mail-Wert an, den du von Azure AD zu Udemy übertragen willst. Dies wird der Hauptbezeichner für das Nutzerkonto sein.
Wenn du der SAML-Assertion weitere optionale Attribute (weitere Claims) hinzufügen möchtest, klicke auf Add new claim (Neuen Claim hinzufügen) oder bearbeite einen vorhandenen Claim und wiederhole den Vorgang:
Nachdem du alle Attribute hinzugefügt hast, klicke auf Save (Speichern), um die Konfiguration der Attribute abzuschließen.
Udemy Business unterstützt folgende SAML-Attribute
Hinweis: Bei allen Attributen müssen die Leerzeichen und die Groß-/Kleinschreibung beachtet werden. (Der Doppelpunkt gehört nicht zum Attribut.) Bitte kopiere die Attribute direkt aus der folgenden Liste, damit sie korrekt geschrieben sind:
Erforderliche Attribute
- email: die eindeutige E-Mail-Adresse des Nutzers
Optionale Attribute
- firstName: der Vorname des Nutzers
- middleName: der Mittelname des Nutzers (falls vorhanden)
- lastName: der Nachname (Familienname) des Nutzers
- displayName: der vollständig formatierte Name des Nutzers
- Name ID: eine Bezeichnung, die verwendet werden kann, falls ein Name doppelt vorhanden ist
- groups: die Liste von Gruppen, in denen der:die Nutzer:in Mitglied ist Hinweis: Wenn du die Gruppen nicht ändern möchtest, darf dieses Attribut nicht gesendet werden, da es die bestehenden Gruppen überschreibt.
- externalID: eine vom Kunden angegebene eindeutige Nutzer-ID
- lmsUserID: eine vom Kunden angegebene eindeutige Nutzer-ID
Für Schritt 3 klickst du im Abschnitt „SAML Signing Certificate“ (SAML-Signaturzertifikat) neben „Federation Metadata XML“ (Verbundmetadaten-XML) auf „Download“ (Herunterladen), um die Metadaten-Datei zu exportieren.
Rufe nach dem Download der Metadatendatei die Udemy Business-SSO-Einrichtung auf: Verwalten > Einstellungen > Single Sign-On (SSO). Klicke auf Einrichtung beginnen und wähle deinen Identitätsanbieter aus (in diesem Fall Azure).
Gib anschließend auf der SSO-Konfigurationsseite des Udemy Business-Kontos deiner Verbindung eine Bezeichnung ein, lade die von Azure heruntergeladene Metadaten-XML-Datei hoch und konfiguriere ggf. die gewünschten optionalen SSO-Einstellungen.
Genauere Angaben zu diesen Einstellungen findest du auf der Seite Konfiguration von SSO mit deinem Identitätsanbieter:
Achtung: Bevor du die Option Anmeldung nur über SSO-Anbieter aktivierst, solltest du die Verbindung unbedingt testen. Falls die SSO-Konfiguration nämlich fehlerhaft ist, würdest du damit alle Nutzer aussperren, weil sie sich dann nicht bei Udemy Business anmelden können.
Klicke auf Speichern.
Die SSO-Verbindung ist damit aktiviert.
- Du kannst deine Nutzer- und Gruppenverwaltung für Udemy Business nun direkt in deinem Azure-Mandanten konfigurieren. Eine allgemeine Übersicht über die entsprechenden Schritte findest du im Folgenden unter In Azure Nutzer und Gruppen zu Udemy Business hinzufügen.
- Hier wird erklärt, wie du die SCIM-Bereitstellung mit Azure Active Directory (AD) konfigurierst.
In Azure Nutzer und Gruppen zu Udemy Business hinzufügen
Klicke auf Azure Active Directory.
Wähle Enterprise applications (Unternehmensanwendungen).
Wähle deine neu erstellte Anwendung aus der Liste aus.
Klicke auf Users and groups (Nutzer und Gruppen).
Klicke auf Add User -> Users and Groups (Nutzer hinzufügen -> Nutzer und Gruppen).
Wähle alle Nutzer aus, die du der Anwendung hinzufügen möchtest. Klicke dann auf Select (Auswählen).
Die Konfiguration von SSO für Udemy Business mit Azure AD ist damit abgeschlossen.
Hinweis:
- SSO und Bereitstellung sind für Udemy Business-Kunden mit einem Enterprise-Abo verfügbar.
- Über Azure AD bereitgestellte Nutzer nehmen erst dann eine Lizenz in Anspruch, wenn sie sich zum ersten Mal bei der Udemy Business-App anmelden.
- Änderungen an der SCIM-Aktivierung können nur von Azure AD zu Udemy Business synchronisiert werden, in umgekehrter Richtung ist dies nicht möglich.
- An Nutzern und Gruppen, die mit SCIM in Azure AD verwaltet werden, können in der Udemy Business-App keine Änderungen vorgenommen werden. Alle Nutzer- und Gruppendaten stammen von SCIM und können nur dort geändert werden.
- Du kannst aber weiterhin Gruppen manuell in Udemy Business anlegen, wenn du Nutzer hast, die du nicht von Azure AD übertragen musst oder möchtest, z. B. befristete Mitarbeiter oder Aushilfen.