Single-Sign-On

Übersicht

Zusätzlich zur Anmeldung mit Benutzername und Passwort ist es auch möglich, sich über Single-Sign-On (SSO) anzumelden.

Wenn die Eigenschaft Single-Sign-On aktivieren für einen Benutzer aktiviert ist, kann sich der Benutzer über SSO anmelden. Die Eigenschaft befindet sich im unteren Teil des Dialogs „Benutzereinstellungen“:

Hinweis: Bitte beachten Sie, dass die SSO-Funktion nur für Authentifizierungszwecke gedacht ist. Die Verwaltung der Berechtigungen von SSO-Benutzern muss weiterhin über die NG-Benutzeroberfläche erfolgen.

Ort

Identitätsanbieter (IdPs) für SSO-Benutzer können auf der Single-Sign-On-Einstellungen Registerkarte der Systeminformationen Seite erstellt und konfiguriert werden:

Single-Sign-On in NG konfigurieren

Bitte beachten Sie, dass durch Klicken des Häkchens (siehe Screenshot unten) Ihre Änderungen sofort in die FactFinder-NG-Konfiguration geschrieben werden:

Zum Hinzufügen eines neuen Eintrags zur Tabelle sind folgende Attribute erforderlich:

  • Provider-Key - benutzerdefinierte eindeutige Provider-Kennung (wichtig: dieser Schlüssel wird in der Redirect-URI verwendet)

  • Anzeigename - auf der Anmeldeseite angezeigter Name

  • Issuer-URL - URL des Provider-Endpunkts

  • Client-ID - bei dem Provider konfigurierte ID

  • Client-Secret - beim Provider konfiguriertes Secret

NG in Ihrem Identitätsanbieter konfigurieren

Um die SSO-Einrichtung abzuschließen, müssen Sie NG ebenfalls als Anwendung in Ihrem Identitätsanbieter konfigurieren. Dies umfasst typischerweise die folgenden Schritte:

  1. Eine neue Anwendung registrieren in der Verwaltungskonsole Ihres Identitätsanbieters

  2. Den Anwendungstyp konfigurieren als „Webanwendung“ oder ähnlich

  3. Die Redirect-URI festlegen an die der Identitätsanbieter die Authentifizierungsantwort sendet

  4. Client-Zugangsdaten erzeugen (Client-ID und Client-Secret), die in der NG-Konfiguration verwendet werden sollen

Redirect-URI-Konfiguration

Die Redirect-URI ist eine kritische Komponente, die im Identitätsanbieter korrekt konfiguriert sein muss. Diese URI teilt dem Identitätsanbieter mit, wohin der Benutzer nach der Authentifizierung gesendet wird.

Für NG ist die Redirect-URI die Stamm-URL der UI, ergänzt um den Abfrageparameter idp=<providerKey>:

https://{your-ng-domain}/fact-finder-ui/?idp={provider-key}

Wobei:

  • {your-ng-domain} die Domain ist, auf der Ihre NG-Instanz gehostet wird

  • {provider-key} genau derselbe Wert ist, den Sie im Provider-Key Feld in der NG-Konfiguration eingegeben haben

WICHTIG: Der Provider-Key in der Redirect-URI muss genau mit dem in NG konfigurierten Provider-Key übereinstimmen. Wenn diese Werte nicht übereinstimmen, schlägt der Authentifizierungsablauf fehl.

Anforderungen an den Identitätsanbieter

Stellen Sie bei der Konfiguration Ihres Identitätsanbieters für die Zusammenarbeit mit NG sicher, dass er die folgenden Anforderungen erfüllt:

  • Der Provider muss in der Lage sein, „OIDC Discovery“-Anfragen zu beantworten.

  • Der Provider muss in der Lage sein, Anfragen mit den Scopes zu beantworten openid, profile und offline_access.

  • Der OIDC-Claim, der zur Benutzeridentifikation ausgewertet wird, heißt preferred_username und muss in den vom IdP zurückgegebenen Identity- oder Access-Tokens vorhanden sein.

  • Andere erforderliche Claims, die in Identity-/Access-Tokens vorhanden sein müssen, sind: sub, iss, iat, exp

  • Tokens müssen signiert sein und die Signatur muss mit dem entsprechenden öffentlichen Schlüssel verifizierbar sein, der vom JWKS-Endpunkt des IdP zurückgegeben wird.

Anmeldung mit SSO

Der Anzeigename eines konfigurierten Identitätsanbieters wird auf der Anmeldeseite angezeigt. In unserem Beispiel: Um sich über den IdP mit dem Anzeigenamen Microsoft anzumelden, klicken Sie auf ÜBER MICROSOFT ANMELDEN:

Jeder konfigurierte IdP zeigt auf der Anmeldeseite eine Anmelde-Schaltfläche an.

Anmeldung mit Zugangsdaten

Wenn Sie sich mit Benutzernamen und Passwort anmelden möchten, klicken Sie stattdessen auf „Mit Zugangsdaten anmelden“. Dies bringt Sie zu diesem Bildschirm:

Fehlerbehebung bei der SSO-Konfiguration

Wenn Sie Probleme bei der SSO-Anmeldung haben, prüfen Sie Folgendes:

  1. Überprüfen Sie die Redirect-URI - Stellen Sie sicher, dass der Provider-Key in der Redirect-URI genau mit dem Provider-Key in NG übereinstimmt

  2. Überprüfen Sie die Client-Zugangsdaten - Vergewissern Sie sich, dass Client-ID und Client-Secret korrekt in NG eingegeben wurden

  3. Bestätigen Sie die Issuer-URL - Stellen Sie sicher, dass die Issuer-URL korrekt ist und vom NG-Server erreichbar ist

  4. Überprüfen Sie die Protokolle des Identitätsanbieters - Prüfen Sie die Protokolle Ihres Identitätsanbieters auf Authentifizierungsfehler

  5. Kontaktieren Sie den FactFinder-Support - Manche Probleme erfordern, dass wir die NG-Logs analysieren. Bitte wenden Sie sich an den Service Desk, wenn die oben genannten Schritte das Problem nicht gelöst haben

Einschränkungen

Bitte beachten Sie, dass SSO-Benutzer weder nicht-SSO-Benutzer bearbeiten noch erstellen können. Dies ist absichtlich verboten. Auf diese Weise wird sichergestellt, dass Benutzer, die nicht mehr Mitarbeiter des Unternehmens sind (und auf IdP-Seite offboarded wurden), keinen Zugriff mehr auf NG behalten und keinen anderen Weg finden, ihre Konten vom SSO zu entkoppeln.

Aus demselben Grund beabsichtigen wir nicht, die Umwandlung eines SSO-Benutzers zurück in einen Nicht-SSO-Benutzer zu unterstützen.

Wir empfehlen, mindestens ein Nicht-SSO-Admin-Konto mit Zugangsdaten für den Notfallzugang vorzuhalten, falls ein IdP nicht verfügbar ist. Wählen Sie einen Benutzernamen, der auf IdP-Seite nicht vorhanden ist, um sicherzustellen, dass dieses Konto niemals mit SSO verknüpft wird.

Dasselbe gilt für das Konto, das für Suchvorgänge im Rahmen der FactFinder-Integration erforderlich ist.

Zusätzlich stellen wir sicher, dass sich ein Benutzer nicht über mehrere Identitätsanbieter anmelden kann.

VorherigeVerwaltung von GruppenberechtigungenNächsteSysteminformationen

Zuletzt aktualisiert

War das hilfreich?