Voraussetzungen
Um SSO mit Microsoft Entra ID, früher Azure Active Directory, einzurichten, benötigst du ein Microsoft Azure Premium-Konto. Obwohl die Cloud-Plattform von Microsoft, Azure, unverändert bleibt, wird der Identitäts- und Zugriffsverwaltungsdienst, früher bekannt als Azure Active Directory, jetzt als Microsoft Entra ID bezeichnet.
Schritt 1: Creating an Enterprise App for Beekeeper
- Navigiere zu deinem Microsoft Azure Portal für Unternehmensanwendungen.
- Klicke auf Neue Anwendung.
- Klicke auf Eigene Anwendung erstellen.
- Gib einen Namen für die App ein, z.B. "Beekeeper SSO".
Wähle die Option Beliebige andere, nicht im Katalog gefundene Anwendung integrieren.
Klicke auf Erstellen.
Schritt 2: Verwalten der Benutzerzuweisungen für die Anwendung
Du kannst bestimmte Benutzer und Gruppen zur Nutzung der Anwendung zuweisen oder die Benutzer-/Gruppenzuweisung optional machen.
Option 1: Benutzer und Gruppen zuweisen
- Klicke in der erstellten Anwendung auf Benutzer und Gruppen.
- Wähle Benutzer/Gruppe hinzufügen aus.
- Klicke auf Keine ausgewählt.
- Wähle den gewünschten Benutzer oder die Gruppe aus und klicke auf Auswählen.
- Klicke auf Zuweisen.
Option 2: Benutzer-/Gruppenzuweisung optional machen
- Klicke auf Eigenschaften.
- Für die Konfiguration Benutzerzuordnung erforderlich? klicke auf Nein.
- Klicke auf Speichern.
Schritt 3: Einrichten von Single Sign-On
- Für die SAML-Konfiguration gehe zu Einmaliges Anmelden.
- Klicke auf SAML.
- Klicke im Bereich Grundlegende SAML-Konfiguration auf Bearbeiten.
Gib den Bezeichner (Entitäts-ID) und die Antwort-URL (Assertionsverbraucherdienst-URL) im folgenden Format ein:
- Bezeichner: https://unternehmen.ch.beekeeper.io/saml/sso/metadata.xml
- Antwort-URL: https://unternehmen.ch.beekeeper.io/saml/sso/
- Klicke auf Speichern.
Hinweis: Stelle sicher, dass die URLs deinen Beekeeper-Unterdomänenname und deine Referenz Deines Rechenzentrums enthalten (z.B. us, ch oder de, es gibt keine Referenz für das europäische Rechenzentrum).
Schritt 4: Konfigurieren von Benutzerattributen
Du kannst die Profilfelder eines Benutzers während der Anmeldung in Beekeeper mit Informationen aus dem SAML-Token füllen. Du benötigst den Platzhalterwert für jedes Beekeeper-Profilfeld, den du im Beekeeper-Dashboard unter Einstellungen > Profilfelder findest.
- Klicke im Bereich Benutzerattribute und Ansprüche auf Bearbeiten.
- Wähle das Feld Eindeutiger Benutzerbezeichner (Namens-ID) aus.
- Klicke auf das Feld Namensbezeichnerformat und wähle Beständig aus.
- Wähle im Feld Quellattribut das Attribut aus, das du als Beekeeper Nutzer-ID verwenden möchtest.
- Klicke auf Speichern.
- Optional: Bearbeite weitere Ansprüche, indem du auf sie klickst.
Obwohl du weitere Ansprüche hinzufügen kannst, wie unten aufgeführt, beachte bitte, dass der einzige erforderliche Anspruch für eine erfolgreiche SSO-Einrichtung der Eindeutiger Benutzerbezeichner (Namens-ID) ist. Es ist wichtig zu beachten, dass die Änderung anderer Profilfelder in Beekeeper über SSO nicht empfohlen wird, insbesondere wenn du eine automatisierte Benutzersynchronisierung aktiviert hast (z.B.: von Azure).
Nachfolgend siehst Du ein Beispiel für eine Reihe von Token-Attributen:
Name* | Quellenattribut |
firstname | user.givenname |
lastname | user.surname |
user.mail | |
username** | user.samAccountName |
position | user.jobtitle |
* Stelle sicher, dass jedes Attribut dem Platzhalterwert des entsprechenden Profilfeldes im Beekeeper-Dashboard entspricht. Beachte, dass nur die oben aufgeführten Attribute unterstützt werden, um die entsprechenden Beekeeper-Profilfelder auszufüllen.
** Bitte beachte: Der username in Beekeeper akzeptiert keine Sonderzeichen, außer "_". Berücksichtige daher diese Einschränkung bei der Auswahl eines Attributs.
- Trage den Platzhalterwert des Profilfeldes im Feld Name ein.
- Stelle sicher, dass das Feld Namespace geleert und leer gelassen wird. Dies ist wichtig, da Azure standardmäßig einen Namespace zu Attributnamen hinzufügt. Wenn dies nicht geändert wird, wird ein Attribut mit dem Namen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email gesendet, das von Beekeeper nicht erkannt wird, anstelle von einfach "email", wie vom Server erwartet.
- Klicke auf Speichern.
-
Optional: Erstelle eine Anspruch für das Attribut user.jobtitle.
- Klicke auf Neue Anspruch hinzufügen.
- Trage den Platzhalterwert des Profilfeldes im Feld Name ein.
- Im Feld Quellattribut suche nach user.jobtitle und wähle es aus.
- Klicke auf Speichern.
Nachdem du alle erforderlichen Ansprüche bearbeitet/hinzugefügt hast, sollte deine Anspruchsübersicht ähnlich aussehen wie folgt:
Schritt 5: Kopieren des SAML-Signaturzertifikats
- Lade im Bereich SAML-Signaturzertifikat die XML-Datei der Verbundmetadaten-XML herunter.
- Öffne die Datei und kopiere den Inhalt.
- Öffne das Beekeeper-Dashboard und gehe zu Einstellungen > Allgemein > Single Sign-On.
- Wähle aus, welche Authentifizierungsoption für die Plattform aktiviert werden soll. (Weitere Informationen zu den Unterschieden gibt es hier).
- Füge den Inhalt aus der heruntergeladenen Datei in das Feld SAML-Metadaten ein.
- Gib deine Präferenz für die Automatische Bereitstellung für neue Benutzer an.
Die Aktivierung der automatischen Bereitstellung durch SSO kann bei der Fehlerbehebung während der Einrichtung helfen, ist jedoch möglicherweise nicht immer die beste Wahl. Abhängig von deiner Konfiguration könnte dies zu doppelten Benutzerkonten führen, was zu Datenproblemen führen kann.
- Klicke auf Einstellungen speichern.
Schritt 6: Konfiguration testen
Um zu testen, ob die Konfiguration erfolgreich war, gehe zurück zum Single-Sign-on-Konfigurationsfenster Deiner SSO-Unternehmensanwendung. Klicke im letzten Bereich der Konfigurationsübersicht auf Test.
Für Anfragen oder Unterstützung kontaktiere bitte deinen CSM.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.