Single Sign-on: Übersicht

Bitte überprüfe auf unserer Firmen-Website, ob diese Funktionalität in Deinem Preispaket verfügbar ist.

Beekeeper bietet ein SAML-basiertes Single Sign-on (SSO), das es den Nutzern ermöglicht, sich durch euren Identitätsanbieter (IdP) zu authentifizieren.

Du kannst die SSO-Einstellungen individuell im Admin-Bereich unter Einstellungen > Allgemein > Single Sign-on anpassen. Dort kannst Du bestimmen, welche Anmeldemethoden für Deine Nutzer verfügbar sind, Du kannst den auf Deinem SSO-Anmeldebutton angezeigten Text ändern und Deine IdPs-SAML-Metadaten konfigurieren.

Authentifizierungsoptionen

Unter „Single Sign-on aktivieren“ kannst Du aus folgenden Authentifizierungsmethoden für Deine Beekeeper-App wählen:

• Deaktiviert: Dadurch wird SSO deaktiviert und gestattet nur passwortbasierte Anmeldungen (Benutzernamen, E-Mail oder Telefonnummer und ein Beekeeper-Passwort).
• SAML-Single-Sign-on: Dieser gestattet nur SSO-basierte Anmeldungen.
• SAML-Single-Sign-on und Anmelden per Passwort: Dies ermöglicht eine Kombination aus SSO und Anmelden per Passwort. (Diese Option ist nützlich, wenn manche Nutzer keinen Zugriff auf euren IdP haben.)

Beekeeper als Service Provider – Details

Die Details über Beekeeper als SAML Service Provider sind unten angegeben.

• ACS-URL: https://dein_unternehmen.beekeeper.io/saml/sso
• Entitäts-ID: https://your_company.beekeeper.io/saml/sso/metadata.xml
• Namens-ID-Format: Persistent

Du findest die Metadaten für eure Beekeeper-App als Link im Admin-Bereich unter Einstellungen > Allgemein > Single Sign-on (die URL entspricht der oben angegebenen Entitäts-ID).

SSO und Nutzersynchronisierung

Anzumerken ist, dass SSO keine Nutzersynchronisation ist. Wenn sich ein Nutzer erfolgreich über SSO authentifiziert, aber noch kein Beekeeper-Konto hat, dann wird ihm eines zur Verfügung gestellt und automatisch mit den Werten vom IdP vorab ausgefüllt.

Du musst dennoch eine Methode für die Nutzersynchronisierung auswählen, damit die Nutzerdaten stets aktualisiert werden. Bei SSO werden die Nutzerinformationen nur bei der Anmeldung geprüft,
d. h., wenn Du einen Nutzer in eurem IdP löschst oder sperrst, hat dieser weiterhin Zugriff auf die App, bis er sich abmeldet.

Wenn Du den Zugriff auf Beekeeper einschränken und nur einer bestimmten Gruppe von Nutzern das Anmelden gestatten möchtest, kannst Du das innerhalb Deiner IdP-Konfiguration tun.

Fehlerbehebung

Ich kann die Option SSO im Admin-Bereich nicht sehen: Bitte reiche eine Anfrage unten ein oder Deinen Customer Success Manager, um die SSO-Funktion für Deine Beekeeper-App zu aktivieren.

Ich habe bereits ein Konto bei Beekeeper, aber wenn ich mich mit SSO anmelde, wird ein neues angelegt: Wenn Du Dich mit SSO anmeldest und ein anderes Nutzerprofil angezeigt wird, stimmt wahrscheinlich die vom IdP konfigurierte Namens-ID nicht mit Deiner Nutzer-ID von Beekeeper überein. Aktualisiere also die Nutzer-IDs Deiner existierenden Nutzer, damit die vom IdP gesendeten Namens-ID-Werte übereinstimmen, bevor Du SSO aktivierst.

Beim Synchronisieren erscheint der Fehler „400: Bad Request“. Was kann ich dagegen tun? Wenn Du kürzlich ein SAML-Signierzertifikat generiert, aber seitdem Deine Zuordnungen verändert hast, ist es vielleicht nicht mehr aktuell und Du solltest es neu generieren (vor allem, wenn Du Azure AD verwendest). Denke daran, die konfigurierten Metadaten im Admin-Bereich zu aktualisieren, wenn Du ein neues Zertifikat erstellt hast.