Beekeeper bietet ein SAML-basiertes Single Sign-on (SSO), das es den Nutzern ermöglicht, sich durch euren Identitätsanbieter (IdP) zu authentifizieren.
Du kannst die SSO-Einstellungen individuell im Admin-Bereich unter Einstellungen > Allgemein > Single Sign-on anpassen. Dort kannst Du bestimmen, welche Anmeldemethoden für Deine Nutzer verfügbar sind, Du kannst den auf Deinem SSO-Anmeldebutton angezeigten Text ändern und Deine IdPs-SAML-Metadaten konfigurieren.
Authentifizierungsoptionen
Unter „Single Sign-on aktivieren“ kannst Du aus folgenden Authentifizierungsmethoden für Deine Beekeeper-App wählen:
- Deaktiviert: Dadurch wird SSO deaktiviert und gestattet nur passwortbasierte Anmeldungen (Benutzernamen, E-Mail oder Telefonnummer und ein Beekeeper-Passwort).
- SAML-Single-Sign-on: Dieser gestattet nur SSO-basierte Anmeldungen.
- SAML-Single-Sign-on und Anmelden per Passwort: Dies ermöglicht eine Kombination aus SSO und Anmelden per Passwort. (Diese Option ist nützlich, wenn manche Nutzer keinen Zugriff auf euren IdP haben.)
Beekeeper als Service Provider – Details
Die Details über Beekeeper als SAML Service Provider sind unten angegeben.
- ACS-URL: https://dein_unternehmen.beekeeper.io/saml/sso
- Entitäts-ID: https://your_company.beekeeper.io/saml/sso/metadata.xml
- Namens-ID-Format: Persistent
Du findest die Metadaten für eure Beekeeper-App als Link im Admin-Bereich unter Einstellungen > Allgemein > Single Sign-on (die URL entspricht der oben angegebenen Entitäts-ID).
SSO und Nutzersynchronisierung
Anzumerken ist, dass SSO keine Nutzersynchronisation ist. Wenn sich ein Nutzer erfolgreich über SSO authentifiziert, aber noch kein Beekeeper-Konto hat, dann wird ihm eines zur Verfügung gestellt und automatisch mit den Werten vom IdP vorab ausgefüllt.
Du musst dennoch eine Methode für die Nutzersynchronisierung auswählen, damit die Nutzerdaten stets aktualisiert werden. Bei SSO werden die Nutzerinformationen nur bei der Anmeldung geprüft,
d. h., wenn Du einen Nutzer in eurem IdP löschst oder sperrst, hat dieser weiterhin Zugriff auf die App, bis er sich abmeldet.
Wenn Du den Zugriff auf Beekeeper einschränken und nur einer bestimmten Gruppe von Nutzern das Anmelden gestatten möchtest, kannst Du das innerhalb Deiner IdP-Konfiguration tun.
Fehlerbehebung
Ich kann die Option SSO im Admin-Bereich nicht sehen: Bitte kontaktiere support@beekeeper.io oder Deinen Customer Success Manager, um die SSO-Funktion für Deine Beekeeper-App zu aktivieren.
Ich habe bereits ein Konto bei Beekeeper, aber wenn ich mich mit SSO anmelde, wird ein neues angelegt: Wenn Du Dich mit SSO anmeldest und ein anderes Nutzerprofil angezeigt wird, stimmt wahrscheinlich die vom IdP konfigurierte Namens-ID nicht mit Deiner Nutzer-ID von Beekeeper überein. Aktualisiere also die Nutzer-IDs Deiner existierenden Nutzer, damit die vom IdP gesendeten Namens-ID-Werte übereinstimmen, bevor Du SSO aktivierst.
Beim Synchronisieren erscheint der Fehler „400: Bad Request“. Was kann ich dagegen tun? Wenn Du kürzlich ein SAML-Signierzertifikat generiert, aber seitdem Deine Zuordnungen verändert hast, ist es vielleicht nicht mehr aktuell und Du solltest es neu generieren (vor allem, wenn Du Azure AD verwendest). Denke daran, die konfigurierten Metadaten im Admin-Bereich zu aktualisieren, wenn Du ein neues Zertifikat erstellt hast.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.