search
Kundensupport

Einen Identitätsanbieter (SSO) hinzufügen

hashtag
Überblick

Dieser Artikel erklärt, wie Sie einen Identitätsanbieter zu Ihrem Flosum-Tenant hinzufügen, um Single Sign-On (SSO) für dessen Anwendungen zu ermöglichen. Sobald Sie einen Identitätsanbieter hinzufügen, erscheint eine benutzerdefinierte SSO-Schaltfläche auf dem Anmeldebildschirm. Diese Schaltfläche leitet Benutzer zur Anmeldeseite des Identitätsanbieters weiter. Nachdem sie sich authentifiziert haben, werden sie zur Flosum-Anwendung zurückgeleitet. Anweisungen zur SSO-Anmeldung finden Sie in dem folgenden Artikel.

hashtag
Konfiguration des Identitätsanbieters

circle-info

Flosum Cloud Apps unterstützen SSO von einem Identitätsanbieter unter Verwendung eines der folgenden Protokolle:

  • OIDC (OpenID Connect)

  • SAML (Security Assertion Markup Language)

Dieser Artikel liefert allgemeine Anweisungen zur Konfiguration Ihres Identitätsanbieters. Lesen Sie diese durch, bevor Sie zu den unten aufgeführten anbieterbezogenen Artikeln übergehen, die Anweisungen und Details für die am häufigsten verwendeten Identitätsanbieter enthalten.

hashtag
Regionale URLs

Um einen Identitätsanbieter für SSO mit Flosum Cloud Apps zu konfigurieren, benötigen Sie die regionsspezifische Weiterleitungs-, Callback-und Abmelde- URLs. Fügen Sie die relevanten URLs für jede App hinzu, die SSO benötigt.

Weiterleitungs-URLs

Callback-URLs

Abmelde-URLs

hashtag
Hinzufügen eines Identitätsanbieters

circle-info

Globale Einstellungen ermöglicht es Ihnen, mehrere Anbieter zu Ihrem Tenant hinzuzufügen, um flexible Konfigurationen zu ermöglichen. Wenn Ihre Organisation beispielsweise getrennte Identitätsanbieter für Test und Produktion verwendet, können Sie beide hinzufügen.

1

hashtag
Auf Globale Einstellungen zugreifen

2

hashtag
Identitätsanbieter erstellen

  1. Klicken Sie auf die Art Dropdown-Liste.

  2. Wählen Sie OPEN_ID oder SAML je nachdem, mit welchem Typ von Identitätsanbieter Sie eine Verbindung herstellen.

  3. Springen Sie zum relevanten Schritt, um die erforderlichen Felder auszufüllen.

    1. OPEN_ID: Einen Identitätsanbieter (SSO) hinzufügen

    2. SAML: Einen Identitätsanbieter (SSO) hinzufügen

3

hashtag
OpenID Connect (OIDC)-Informationen eingeben

Wenn Sie OPEN_IDausgewählt haben, füllen Sie die Felder im OpenId-Informationen Abschnitt aus. Siehe den Screenshot und die Tabelle unten für weitere Details.

circle-exclamation

Wenn die Aussteller-URL ungültig oder nicht erreichbar ist, erscheint die SSO-Schaltfläche nicht auf der Anmeldeseite.

Feld
Beschreibung

Client-ID

Geben Sie die Client-ID Ihrer OIDC-Anwendung ein.

Client-Geheimnis

Geben Sie das Client-Geheimnis Ihrer OIDC-Anwendung ein.

Aussteller

Geben Sie die URL Ihrer Instanz bei Ihrem OIDC-Identitätsanbieter ein.

4

hashtag
SAML-Informationen eingeben

Wenn Sie SAMLausgewählt haben, füllen Sie die Felder im SAML 2.0-Informationen Abschnitt aus. Siehe den Screenshot und die Tabelle unten für weitere Details.

circle-info

Optional Felder können leer gelassen werden.

Feld
Beschreibung

Aussteller

Geben Sie die ID des Identitätsanbieters ein. Dieser Wert kann aus der Metadatendatei (XML) des Identitätsanbieters kopiert werden, aus dem entityID Attribut des EntityDescriptor Elements.

Entity-ID

Geben Sie die ID des Service Providers ein. Dies kann ein String-Wert sein, muss aber in der Konfiguration sowohl des Service Providers als auch des Identitätsanbieters übereinstimmen.

Signaturzertifikat des Identitätsanbieters

Klicken Sie, um das Zertifikat hochzuladen, das der Identitätsanbieter zum Signieren von SAML-Antworten und -Assertions verwendet. Der Service Provider verwendet dieses Zertifikat, um die Authentizität und Integrität empfangener SAML-Nachrichten zu überprüfen.

Name-ID-Format (Optional)

Dieses Feld ordnet den Benutzer des Identitätsanbieters einem Benutzer in den Globalen Einstellungen zu. Da nicht alle Identitätsanbieter das Konfigurieren des Name-ID-Formats für die SSO-Anmeldung unterstützen, verwendet die Globale Einstellungen stattdessen das uniqueUserId Attribut in der SAML-Assertion anstelle des Name-ID-Formats.

Überprüfen Sie, ob Ihr Identitätsanbieter das Name-ID-Format unterstützt, und geben Sie dessen Wert ein. Das Standardformat ist:

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Anmelde-URL des Identitätsanbieters

Geben Sie die Anmelde- (Sign-On-)URL des Identitätsanbieters ein. Dieser Wert kann aus der Metadatendatei (XML) des Identitätsanbieters kopiert werden, aus dem Location Attribut des SingleSignOnService Element unter IDPSSODescriptor.

hashtag
SAML signierte Anforderung aktiviert

Das SAML signierte Anforderung aktiviert Kontrollkästchen gibt an, ob die vom Service Provider an den Identitätsanbieter gesendete Authentifizierungsanfrage digital signiert ist. Dieser Wert kann aus der Metadatendatei (XML) des Identitätsanbieters kopiert werden, aus dem WantAuthnRequestsSigned Attribut des EntityDescriptor Element unter IDPSSODescriptor.

Wenn aktiviert, füllen Sie die Felder im folgenden Screenshot und in der Tabelle aus.

Feld
Beschreibung

Auth-Signaturzertifikat

Klicken Sie, um das Zertifikat hochzuladen, das der Service Provider verwendet, um SAML-Anfragen zu signieren. Der Identitätsanbieter verwendet dieses Zertifikat, um die Authentizität der Anfragen zu überprüfen. Sie müssen dieses Zertifikat sowohl beim Identitätsanbieter als auch beim Service Provider hochladen.

Auth-Privatsschlüssel

Klicken Sie, um den privaten Schlüssel hochzuladen, den der Service Provider zum Signieren von SAML-Anfragen verwendet. Der Identitätsanbieter verwendet diesen Schlüssel, um die Authentizität der Anfragen zu überprüfen. Dieser Schlüssel muss mit dem Auth-Signaturzertifikat.

Passwort für Auth-Privatsschlüssel (Optional)

Geben Sie die Passphrase ein, die zum Entschlüsseln des Auth-Privatsschlüssel zum Signieren von SAML-Anfragen verwendet wird. Dieses Feld kann leer bleiben, wenn der private Schlüssel nicht passwortgeschützt ist.

Auth-Signaturalgorithmus

Geben Sie den Algorithmus ein, der zum Signieren von SAML-Anfragen mit dem Auth-Privatsschlüssel verwendet wird. Stellen Sie sicher, dass der Identitätsanbieter diesen Algorithmus unterstützt. Der Standard ist: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256.

hashtag
Assertion-Verschlüsselung aktiviert

Das Assertion-Verschlüsselung aktiviert Das Kontrollkästchen aktiviert die Verschlüsselung von SAML-Assertions durch den Identitätsanbieter. Wenn aktiviert, kann nur der Service Provider mit dem entsprechenden privaten Schlüssel die Assertions entschlüsseln.

Wenn aktiviert, füllen Sie die Felder im folgenden Screenshot und in der Tabelle aus.

Feld
Beschreibung

Verschlüsselungszertifikat

Klicken Sie, um das Zertifikat hochzuladen, das der Identitätsanbieter zum Verschlüsseln von SAML-Assertions verwendet. Dies stellt sicher, dass nur der Service Provider mit dem passenden privaten Schlüssel diese entschlüsseln kann. Sie müssen dieses Zertifikat sowohl beim Identitätsanbieter als auch beim Service Provider hochladen.

Verschlüsselungs-Privatsschlüssel

Klicken Sie, um den privaten Schlüssel hochzuladen, den der Service Provider zum Entschlüsseln von SAML-Assertions des Identitätsanbieters verwendet. Dieser Schlüssel muss mit dem Verschlüsselungszertifikat.

Passwort für Verschlüsselungs-Privatsschlüssel (Optional)

Geben Sie die Passphrase ein, die zum Entschlüsseln des Verschlüsselungs-Privatsschlüssel. Dieses Feld kann leer bleiben, wenn der private Schlüssel nicht passwortgeschützt ist.

circle-info

hashtag
Zertifikate und private Schlüssel

Hochgeladene Zertifikate und private Schlüssel müssen korrekt formatiert sein, ohne zusätzliche Leerzeichen, Zeilenumbrüche oder Formatierungsfehler.

  • Für Zertifikate einschließen:

    • -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----

  • Für private Schlüssel einschließen:

    • -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY-----

5

hashtag
Schaltflächen- und Gruppeninformationen eingeben

circle-exclamation

Sie müssen nur das Schaltflächentext Feld ausfüllen.

  1. Geben Sie ein Label für die SSO-Schaltfläche auf der Anmeldeseite in das Schaltflächentext Textfeld ein.

circle-info

Das SSO-Schaltfläche erscheint unter der ANMELDEN Schaltfläche auf der Anmeldeseite. Wenn Sie mehrere Identitätsanbieter verwenden, ist es hilfreich, jeder Schaltfläche unterschiedliche Bezeichnungen zuzuweisen, um Verwirrung zu vermeiden.

  1. (Optional) Klicken Sie auf das Schaltflächenbild Textfeld, um einen Dateidialog zu öffnen und ein SVG-Bild auszuwählen, das auf der Schaltfläche der Anmeldeseite angezeigt werden soll.

circle-info

Für beste Ergebnisse verwenden Sie ein SVG-Bild mit einer Höhe von 24 px.

  1. (Optional) Klicken Sie auf das Gruppe Dropdown-Liste.

  2. (Optional) Wählen Sie eine Gruppe aus, um Benutzer, die mit diesem Identitätsanbieter erstellt werden, automatisch zuzuweisen.

6

hashtag
Identitätsanbieter speichern

  1. Klicken Sie auf Speichern.

  2. Sie können die Details des eingerichteten Identitätsanbieters überprüfen und die SSO-Schaltfläche in der Vorschau anzeigen.

  3. Hier ist ein Beispiel-Screenshot eines SAML-Identitätsanbieters.

VorherigeAnmeldung mit SSONächsteIdentitätsanbieter (SSO) verwalten

Zuletzt aktualisiert

War das hilfreich?