SSO (Single Sign-On) konfigurieren

Dieser Artikel beschreibt die auf der Plattform verfügbaren SSO-Funktionen (Single Sign-On) und erklärt, wie dein Unternehmen SSO aktivieren kann. Wenn du SSO für dein Unternehmen konfigurieren möchtest, dann kontaktiere bitte deinen Customer-Success-Manager.

Überblick

Wir unterstützen SAML 2.0 SSO (Single Sign-On). SAML (Security Assertion Markup Language) erstellt Endpunkte, sodass die Unternehmensnutzer sich über eine bestimmte URL anmelden und die Anwendungen auswählen können, zu deren Nutzung sie berechtigt sind. Dies erhöht die Sicherheit und vereinfacht gleichzeitig die Nutzerauthentifizierung, weil die Nutzer keine weiteren Anmeldedaten eingeben müssen, wenn sie innerhalb einer Session zu anderen Anwendungen wechseln.

Die Verwendung von SSO bietet folgende Vorteile:

  • Optimiertes Kundenerlebnis
  • Senkung der internen Betriebskosten
  • Zentralisierte Nutzerverwaltung
  • Bessere Absicherung der Unternehmenssysteme
  • Einhaltung von Compliance-Vorschriften (SOX, HIPPA)

Unterstützte Standards

  • Wir unterstützen den Standard OASIS SAML (Security Assertion Markup Language) 2.0 für SSO (Single Sign-On).
  • SAML 2.0 unterstützt die Integration in viele gängige Identitätsanbieter, z. B. Microsoft Active Directory (über ADFS), Tivoli Federated Identity Manager, Okta und weitere Verbundauthentifizierungsplattformen.

Allgemeine Grundsätze

  • Wir erfüllen die Rolle des Dienstanbieters in der SAML-2.0-Vertrauensstellung.
  • Wir benötigen SAML 2.0-konforme Identitätsanbieter-Metadatendateien vom Identitätsanbieter. Die Identitätsanbieter-Metadatendatei enthält Folgendes:
    • Den Standpunkt des SSO-Service-Endpunkts
    • Ein öffentliches X.509-Zertifikat, das zum Signieren der Assertion verwendet wird (sofern erforderlich)
  • Wir bieten eine Dienstanbieter-Metadatendatei, die Folgendes enthält:
    • Den Dienstanbieter-Endpunkt

Entwicklungsprozess

Ein typischer Integrations-Workflow läuft wie folgt ab:

  • Entscheide gemeinsam mit deinem Konto-Manager, welche Konfigurationsoptionen verwendet werden sollen.
  • Wir stellen eine URL zur Dienstanbieter-Metadatendatei bereit.
  • Du stellst die Identitätsanbieter-Metadatendatei bereit.
  • Nun wird die Integration getestet und eventuelle Probleme werden behoben, bis die für die Integration verantwortlichen Personen bestätigen, dass die Integration ordnungsgemäß funktioniert. Es sollten sowohl der vom Identitätsanbieter initiierte als auch der vom Service-Provider initiierte Zugriff getestet werden. An diesem Punkt wird ein Produktionszeitfenster vereinbart.

Unterstützte Konfigurationen

Zurzeit unterstützen wir folgende SAML-Konfigurationen:

  • Einmalige Abmeldung (Single Logout, SLO)
    • Deaktiviert. SLO wird derzeit nicht unterstützt.
  • NameID-Format
    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (STANDARD)
    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
    • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    • urn:oasis:names:tc:SAML:2.0:nameid-format:entity
  • Assertionen sind signiert
    • Nein / Ja (STANDARD)
  • Authentifizierungsanfragen sind signiert
    • Nein
  • Neue Nutzer bereitstellen
    • Deaktiviert (STANDARD) / Aktiviert
  • Vorhandene Nutzerattribute aktualisiert
    • Deaktiviert (STANDARD) / Aktiviert
  • Bevorzugte Bindung für Authentifizierungsanfragen:
    • Post (STANDARD) / Weiterleitung

Fragen zur Einrichtung

Wenn du SSO verwenden möchtest, musst du als Erstes ein Gespräch mit deinem Customer-Success-Manager vereinbaren, bei dem die folgenden Fragen zur Einrichtung und SSO-Konfiguration beantwortet werden müssen:

  1. Was soll in deinem System als eindeutige ID für deine Nutzer verwendet werden?
    • Unsere Plattform unterstützt die Verwendung einer E-Mail-Adresse oder einer externen GUID (globale eindeutige ID).
    • In der Regel wird eine externe GUID verwendet, damit es keine Probleme bzw. keinen Zusatzaufwand gibt, wenn sich die E-Mail-Adresse eines Nutzers später ändert. In den meisten Unternehmen wird die Mitarbeiternummer der Mitarbeiter als externe GUID verwendet.
  2. Sollen die Nutzerdaten zum Zeitpunkt der Authentifizierung aktualisiert werden?
    • Wenn ja, welche Felder sollen einbezogen werden und sind alle Felder innerhalb des SSO-Systems verfügbar? Wie werden diese Felder in der SAML-Assertion aufgerufen und wie werden sie den Feldern in der Plattform zugeordnet?
  3. Soll zum Zeitpunkt der Authentifizierung ein neuer Nutzer in der Plattform erstellt werden, falls der Nutzer noch kein Konto in der Plattform hat?
    • Wenn ja, welche Felder sollen einbezogen werden und sind alle Felder innerhalb des SSO-Systems verfügbar? Wie werden diese Felder in der SAML-Assertion aufgerufen und wie werden sie den Feldern in der Plattform zugeordnet?
  4. Soll jeder Nutzer, der Zugriff auf die Plattform benötigt, SSO nutzen können?
    • Falls nein, benötigst du zwei Anmeldeoptionen, d. h., soll sowohl die Anmeldung mit Nutzername/Passwort als auch die Anmeldung über SSO angeboten werden?

Konfiguration von SSO

Wenn wir deine SSO-Anforderungen geklärt haben, können wir mit der Einrichtung beginnen. Das sind die nächsten Schritte:

  1. Wir stellen die Dienstanbieter-Metadaten-XML-Datei bereit.
  2. Du konfigurierst SSO in deinem System und stellst unserem Team die Identitätsanbieter-Metadaten-XML-Datei bereit.
  3. Wir importieren deine Identitätsanbieter-Metadaten-XML-Datei, um die Einrichtung abzuschließen.
  4. Du testest die Nutzerabläufe und überprüfst das System.
  5. Wenn bei der Prüfung alles funktioniert, vereinbaren wir und dein Team einen Zeitplan für die Bereitstellung im Produktionssystem.

Verwandte Beiträge

Support kontaktieren