Deutsch English (US) Français

Single Sign-On (SSO)

Azure Active Directory

Avatar
Jarosław Ciuła
  • Aktualisiert
Folgen

Um SSO mit Azure AD einzurichten, benötigst Du ein Microsoft-Azure-Premium-Konto.

Eine Unternehmensanwendung für Beekeeper erstellen

  1. Navigiere zu Deinem Azure Active Directory Portal für Unternehmensanwendungen

  2. Klicke auf Neue Anwendung.

    1_-_neue_anwendung.png

  3. Klicke auf + Eigene Anwendung erstellen.

    2_-_eigene_anwendung.png

  4. Gib der Anwendung einen Namen, z. B. „Beekeeper SSO“. Behalte die Option Integrate any other application you don't find in the gallery (Non-gallery). Klicke auf Erstellen.

    3_-_anwendung_erstellen.png

Verwaltung der Benutzerzuweisung für die Anwendung

Du kannst entweder die Zugriffsberechtigung auf die Anwendung bestimmten Benutzern und Gruppen zuweisen oder die Benutzer-/Gruppenzuweisung optional machen.

 

Option 1: Benutzer und Gruppen zuweisen

  1. Klicke auf Benutzer und Gruppen.

    4_-_nutzer___gruppen.png

  2. Klicke auf Benutzer/Gruppe hinzufügen.

    5_-_nutzer_hinzufu_gen.png

  3. Klicke auf Keine ausgewählt.

    6_-_nutzer_auswa_hlen.png

  4. Wähle den Benutzer/die Gruppe, den/die Du der Anwendung zuweisen möchtest, und klicke auf Auswählen.

    7_-_nutzer_wa_hlen.png

  5. Klicke auf Zuweisen.

    8_-_zuweisen.png

Option 2: Die Benutzer-/Gruppenzuweisung optional machen

  1. Klicke auf Eigenschaften.

    9_-_eigenschaften.png

  2. Für die Konfiguration Benutzerzuordnung erforderlich? klicke auf Nein.

    10_-_zuweisung_deaktivieren.png

  3. Klicke auf Speichern.

    11_-_eigenschaften_speichern.png

 

Einrichten von Einmaliges Anmelden (SSO)

SAML-Konfiguration

  1. Klicke auf Einmaliges Anmelden.

    12_-_einmaliges_anmelden.png

  2. Klicke auf SAML.

    13_-_SAML.png

  3. Klicke im Bereich Grundlegende SAML-Konfiguration auf Bearbeiten.

    14_-_SAML_bearbeiten.png

  4. Gib die Werte für den Bezeichner (Entitäts-ID) und die Antwort-URL (Assertionsverbraucherdienst-URL) gemäß den unten stehenden Anweisungen ein und klicke auf Speichern:

    • Bezeichner: https://unternehmen.ch.beekeeper.io/saml/sso/metadata.xml
    • Antwort-URL: https://unternehmen.ch.beekeeper.io/saml/sso/

    Bitte stelle sicher, dass die URLs sowohl Deine eigene Beekeeper-Subdomain als auch die Referenz Deines Rechenzentrums enthalten, z. B. us, ch oder de (für das europäische Rechenzentrum gibt es keine Referenz).

    15_-_SAML_URLs_.png

Nutzerattribute

Du kannst die Profilfelder eines Beekeeper-Nutzers während der Anmeldung ausfüllen, indem Du festlegst, welche Informationen im SAML-Token gesendet werden. Für jedes Beekeeper-Profilfeld benötigst Du den Platzhalterwert, den Du im Beekeeper-Admin-Bereich unter Einstellungen > Profilfelder findest.

16_-_Profilfelder.png

  1. Klicke im Bereich Benutzerattribute und Ansprüche auf Bearbeiten.

    17_-_attribute.png

  2. Klicke auf den Anspruch Eindeutiger Benutzerbezeichner (Namens-ID).

    18_-_NameID_Anspruch.png

  3. Klicke ins Feld Namensbezeichnerformat und wähle Beständig.

    19_-_namensbezeichnerformat.png

  4. Klicke ins Feld Quellenattribut und wähle ein Attribut, welches Du als Beekeeper Nutzer-ID verwenden möchtest.

    20_-_NameID_Quellenattribut.png

  5. Klicke auf Speichern.

  6. Du kannst weitere Attribute bearbeiten, indem Du auf sie klickst.

    21_-_anspruch_auswa_hlen.png

    Nachfolgend siehst Du ein Beispiel für eine Reihe von Token-Attributen:

    Name 

    Quellenattribut 

    firstname

    user.givenname

    lastname

    user.surname

    email

    user.mail

    username

    user.principalname

    position*

    user.jobtitle

    *Jedes Attribut benötigt den entsprechenden Platzhalterwert des Profilfeldes im Beekeeper Admin-Bereich.

  7.  Füge den Platzhalterwert des gewünschten Profilfelds ins Feld Name ein.

    22_-_anspruchsnamen_a_ndern.png

  8. Das Feld Namespace kann mit einem Wert wie http://schemas.xmlsoap.org/ws/2005/05/identity/claims vorbelegt sein. Du solltest die Eingaben in diesem Feld löschen und es leer lassen.

    23_-_namespace_leeren.png

    Dies ist notwendig, da Azure den Namespace dem Attributnamen voranstellt, sodass standardmässig ein Attribut mit dem Namen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email (das Beekeeper nicht erkennt) anstelle von email (das der Server erwartet) gesendet wird.

  9. Klicke auf Speichern.

  10. Optional: Klicke auf Neuen Anspruch hinzufügen, um weitere Ansprüche hinzuzufügen und bearbeite diese wie in den vorherigen Schritten beschrieben.

    24_-_neuer_anspruch.png

Nachdem Du alle notwendigen Ansprüche bearbeitet/hinzugefügt hast, sollte Deine Anspruchsübersicht in etwa so aussehen:

25_-_anspruchliste.png


SAML-Signaturzertifikat

  1. Klicke im Bereich SAML-Signaturzertifikat auf Herunterladen für Verbundmetadaten-XML und speichere die Datei auf Deinem Desktop.

    26_-_xml_herunterladen.png

  2. Öffne die heruntergeladene Datei und kopiere den Inhalt.

  3. Gehe zum Beekeeper-Admin-Bereich und navigiere zu Einstellungen > Allgemein > Single Sign-on.

  4. Wähle aus, welche Authentifizierungsoption Du für die Plattform aktivieren möchtest (mehr Informationen zu den Unterschieden findest Du hier).

    27_-_authorisierung.png

  5. Füge den Inhalt der heruntergeladenen Datei in das Feld für die SAML-Metadaten ein.

    28_-_beekeeper_metadata.png

  6. Wähle, ob Du automatisch Nutzerkonten für neue Nutzer bereitstellen willst oder nicht.29_-_bereitstellung.png

  7. Klicke auf Einstellungen speichern.

Letzte Schritte

Um zu testen, ob die Konfiguration erfolgreich war, gehe zurück zum Single-Sign-on-Konfigurationsfenster Deiner SSO-Unternehmensanwendung. Klicke im letzten Bereich der Konfigurationsübersicht auf Test.

30_-_SSO_testen.png

Bei Fragen, Kommentaren oder Bedenken wende Dich bitte an technical.support@beekeeper.io.

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.