Um SSO mit Azure AD einzurichten, benötigst Du ein Microsoft-Azure-Premium-Konto.
Eine Unternehmensanwendung für Beekeeper erstellen
- Navigiere zu Deinem Azure Active Directory Portal für Unternehmensanwendungen.
- Klicke auf + Neue Anwendung.
- Klicke auf + Eigene Anwendung erstellen.
- Gib der Anwendung einen Namen, z. B. „Beekeeper SSO“. Behalte die Option Integrate any other application you don't find in the gallery (Non-gallery). Klicke auf Erstellen.
Verwaltung der Benutzerzuweisung für die Anwendung
Du kannst entweder die Zugriffsberechtigung auf die Anwendung bestimmten Benutzern und Gruppen zuweisen oder die Benutzer-/Gruppenzuweisung optional machen.
Option 1: Benutzer und Gruppen zuweisen
- Klicke auf Benutzer und Gruppen.
- Klicke auf Benutzer/Gruppe hinzufügen.
- Klicke auf Keine ausgewählt.
- Wähle den Benutzer/die Gruppe, den/die Du der Anwendung zuweisen möchtest, und klicke auf Auswählen.
- Klicke auf Zuweisen.
Option 2: Die Benutzer-/Gruppenzuweisung optional machen
- Klicke auf Eigenschaften.
- Für die Konfiguration Benutzerzuordnung erforderlich? klicke auf Nein.
- Klicke auf Speichern.
Einrichten von Einmaliges Anmelden (SSO)
SAML-Konfiguration
- Klicke auf Einmaliges Anmelden.
- Klicke auf SAML.
- Klicke im Bereich Grundlegende SAML-Konfiguration auf Bearbeiten.
- Gib die Werte für den Bezeichner (Entitäts-ID) und die Antwort-URL (Assertionsverbraucherdienst-URL) gemäß den unten stehenden Anweisungen ein und klicke auf Speichern:
- Bezeichner: https://unternehmen.ch.beekeeper.io/saml/sso/metadata.xml
- Antwort-URL: https://unternehmen.ch.beekeeper.io/saml/sso/
Bitte stelle sicher, dass die URLs sowohl Deine eigene Beekeeper-Subdomain als auch die Referenz Deines Rechenzentrums enthalten, z. B. us, ch oder de (für das europäische Rechenzentrum gibt es keine Referenz).
Nutzerattribute
Du kannst die Profilfelder eines Beekeeper-Nutzers während der Anmeldung ausfüllen, indem Du festlegst, welche Informationen im SAML-Token gesendet werden. Für jedes Beekeeper-Profilfeld benötigst Du den Platzhalterwert, den Du im Beekeeper-Admin-Bereich unter Einstellungen > Profilfelder findest.
- Klicke im Bereich Benutzerattribute und Ansprüche auf Bearbeiten.
- Klicke auf den Anspruch Eindeutiger Benutzerbezeichner (Namens-ID).
- Klicke ins Feld Namensbezeichnerformat und wähle Beständig.
- Klicke ins Feld Quellenattribut und wähle ein Attribut, welches Du als Beekeeper Nutzer-ID verwenden möchtest.
- Klicke auf Speichern.
- Du kannst weitere Attribute bearbeiten, indem Du auf sie klickst.
Nachfolgend siehst Du ein Beispiel für eine Reihe von Token-Attributen:
Name
Quellenattribut
firstname
user.givenname
lastname
user.surname
email
user.mail
username
user.principalname
position*
user.jobtitle
*Jedes Attribut benötigt den entsprechenden Platzhalterwert des Profilfeldes im Beekeeper Admin-Bereich. - Füge den Platzhalterwert des gewünschten Profilfelds ins Feld Name ein.
- Das Feld Namespace kann mit einem Wert wie http://schemas.xmlsoap.org/ws/2005/05/identity/claims vorbelegt sein. Du solltest die Eingaben in diesem Feld löschen und es leer lassen.
Dies ist notwendig, da Azure den Namespace dem Attributnamen voranstellt, sodass standardmässig ein Attribut mit dem Namen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email (das Beekeeper nicht erkennt) anstelle von email (das der Server erwartet) gesendet wird. - Klicke auf Speichern.
- Optional: Klicke auf Neuen Anspruch hinzufügen, um weitere Ansprüche hinzuzufügen und bearbeite diese wie in den vorherigen Schritten beschrieben.
Nachdem Du alle notwendigen Ansprüche bearbeitet/hinzugefügt hast, sollte Deine Anspruchsübersicht in etwa so aussehen:
SAML-Signaturzertifikat
- Klicke im Bereich SAML-Signaturzertifikat auf Herunterladen für Verbundmetadaten-XML und speichere die Datei auf Deinem Desktop.
- Öffne die heruntergeladene Datei und kopiere den Inhalt.
- Gehe zum Beekeeper-Admin-Bereich und navigiere zu Einstellungen > Allgemein > Single Sign-on.
- Wähle aus, welche Authentifizierungsoption Du für die Plattform aktivieren möchtest (mehr Informationen zu den Unterschieden findest Du hier).
- Füge den Inhalt der heruntergeladenen Datei in das Feld für die SAML-Metadaten ein.
- Wähle, ob Du automatisch Nutzerkonten für neue Nutzer bereitstellen willst oder nicht.
- Klicke auf Einstellungen speichern.
Letzte Schritte
Um zu testen, ob die Konfiguration erfolgreich war, gehe zurück zum Single-Sign-on-Konfigurationsfenster Deiner SSO-Unternehmensanwendung. Klicke im letzten Bereich der Konfigurationsübersicht auf Test.
Bei Fragen, Kommentaren oder Bedenken wende Dich bitte an technical.support@beekeeper.io.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.