Single-Sign-On

Übersicht

Zusätzlich zur Anmeldung mit Benutzername und Passwort ist es auch möglich, sich über Single-Sign-On (SSO) anzumelden.

Wenn die Eigenschaft Enable Single Sign-On für einen Benutzer aktiviert ist, kann sich der Benutzer über SSO anmelden. Die Eigenschaft befindet sich im unteren Bereich des Dialogs Benutzereinstellungen:

Hinweis: Bitte beachten Sie, dass die SSO-Funktion nur für Authentifizierungszwecke gedacht ist. Die Verwaltung der Berechtigungen von SSO-Benutzern muss weiterhin über die NG-Benutzeroberfläche erfolgen.

Position

Identitätsanbieter (IdPs) für SSO-Benutzer können auf der Single Sign-On settings Registerkarte der Systeminformationen Seite erstellt und konfiguriert werden:

Konfiguration von Single Sign-On in NG

Bitte beachten Sie, dass durch Klicken des Häkchens (siehe Screenshot unten) Ihre Änderungen sofort in der FactFinder-NG-Konfiguration gespeichert werden:

Zum Hinzufügen eines neuen Eintrags zur Tabelle sind folgende Attribute erforderlich:

• Provider key - benutzerdefinierte eindeutige Anbieterkennung (wichtig: dieser Schlüssel wird in der Redirect-URI verwendet)

• Display name - auf der Anmeldeseite angezeigter Name

• Issuer URL - URL des Anbieterendpunkts

• Client ID - ID, wie sie beim Anbieter konfiguriert ist

• Client secret - Geheimnis, wie es beim Anbieter konfiguriert ist

NG in Ihrem Identitätsanbieter konfigurieren

Um die SSO-Einrichtung abzuschließen, müssen Sie NG auch als Anwendung in Ihrem Identitätsanbieter konfigurieren. Dies umfasst typischerweise die folgenden Schritte:

1. Registrieren Sie eine neue Anwendung in der Verwaltungsoberfläche Ihres Identitätsanbieters

2. Konfigurieren Sie den Anwendungstyp als "Web application" oder ähnlich

3. Legen Sie die Redirect-URI fest an die der Identitätsanbieter die Authentifizierungsantwort sendet

4. Erstellen Sie Client-Anmeldeinformationen (Client ID und Client Secret), die in der NG-Konfiguration verwendet werden sollen

Redirect-URI-Konfiguration

Die Redirect-URI ist eine kritische Komponente, die im Identitätsanbieter korrekt konfiguriert werden muss. Diese URI teilt dem Identitätsanbieter mit, wohin der Benutzer nach der Authentifizierung gesendet werden soll.

Für NG ist die Redirect-URI die Root-URL der UI, ergänzt durch den Abfrageparameter idp=<providerKey>:

Wo:

• {your-ng-domain} ist die Domain, auf der Ihre NG-Instanz gehostet wird

• {provider-key} ist derselbe genaue Wert, den Sie im Feld Provider key in der NG-Konfiguration eingegeben haben

WICHTIG: Der Provider-Schlüssel in der Redirect-URI muss genau mit dem in NG konfigurierten Provider-Schlüssel übereinstimmen. Wenn diese Werte nicht übereinstimmen, schlägt der Authentifizierungsablauf fehl.

Anforderungen an den Identitätsanbieter

Stellen Sie bei der Konfiguration Ihres Identitätsanbieters für die Zusammenarbeit mit NG sicher, dass er die folgenden Anforderungen erfüllt:

• Der Anbieter muss in der Lage sein, "OIDC Discovery"-Anfragen zu beantworten.

• Der Anbieter muss in der Lage sein, Anfragen mit den Scopes zu beantworten openid, profile und offline_access.

• Der OIDC-Claim, der zur Benutzeridentifikation ausgewertet wird, heißt preferred_username und muss in den vom IdP zurückgegebenen Identity- oder Access-Tokens vorhanden sein.

• Weitere erforderliche Claims, die in Identity-/Access-Tokens vorhanden sein müssen, sind: sub, iss, iat, exp

• Tokens müssen signiert sein, und die Signatur muss mit dem entsprechenden öffentlichen Schlüssel überprüfbar sein, der vom JWKS-Endpunkt des IdP zurückgegeben wird.

Anmeldung mit SSO

Der Anzeigename eines konfigurierten Identitätsanbieters wird auf der Anmeldeseite angezeigt. In unserem Beispiel: Um sich über den IdP mit dem Anzeigenamen Microsoft klicken Sie auf LOG IN VIA MICROSOFT:

Jeder konfigurierte IdP zeigt auf der Anmeldeseite eine Anmelde-Schaltfläche an.

Anmeldung mit Zugangsdaten

Wenn Sie sich mit Benutzernamen und Passwort anmelden möchten, klicken Sie stattdessen auf "Log in with credentials". Dies bringt Sie zu diesem Bildschirm:

Fehlerbehebung bei der SSO-Konfiguration

Wenn Sie Probleme mit der SSO-Anmeldung haben, prüfen Sie Folgendes:

1. Überprüfen Sie die Redirect-URI - Stellen Sie sicher, dass der Provider-Schlüssel in der Redirect-URI genau mit dem Provider-Schlüssel in NG übereinstimmt

2. Überprüfen Sie die Client-Anmeldeinformationen - Vergewissern Sie sich, dass Client ID und Client Secret korrekt in NG eingegeben sind

3. Bestätigen Sie die Issuer-URL - Stellen Sie sicher, dass die Issuer-URL korrekt ist und vom NG-Server erreichbar ist

4. Überprüfen Sie die Protokolle des Identitätsanbieters - Prüfen Sie die Protokolle Ihres Identitätsanbieters auf Authentifizierungsfehler

5. Kontaktieren Sie den FactFinder-Support - Einige Probleme erfordern möglicherweise, dass wir die NG-Logs analysieren. Bitte wenden Sie sich an den Service Desk, wenn die obigen Schritte das Problem nicht gelöst haben

Einschränkungen

Bitte beachten Sie, dass SSO-Benutzer weder Nicht-SSO-Benutzer bearbeiten noch erstellen können. Dies ist absichtlich verboten. Auf diese Weise wird sichergestellt, dass Benutzer, die nicht mehr Mitarbeiter des Unternehmens sind (und auf der IdP-Seite offboarded wurden), keinen Zugriff auf NG behalten und keinen anderen Weg finden, ihre Konten vom SSO zu entkoppeln.

Aus demselben Grund beabsichtigen wir nicht, die Konvertierung eines SSO-Benutzers zurück in einen Nicht-SSO-Benutzer zu unterstützen.

Wir empfehlen, mindestens ein Nicht-SSO-Admin-Konto mit Zugangsdaten für den Notfallzugang zu behalten, falls ein IdP nicht verfügbar ist. Wählen Sie einen Benutzernamen, der auf der IdP-Seite nicht vorhanden ist, um sicherzustellen, dass dieses Konto niemals mit SSO verbunden wird.

Dasselbe gilt für das Konto, das erforderlich ist, um Suchen im Kontext der FactFinder-Integration durchzuführen.

Zusätzlich stellen wir sicher, dass sich ein Benutzer nicht über mehrere Identitätsanbieter anmelden kann.