Single Sign-On: Übersicht

Beekeeper bietet eine SAML-basierte Single Sign-On (SSO), die es den Nutzern ermöglicht, sich durch deinen Identitätsprovider (IdP) zu authentifizieren.

Du kannst deine SSO-Einstellungen individuell im Administrator-Dashboard unter Einstellungen > Allgemein > Single Sign-On anpassen. Dort kannst du bestimmen, welche Anmeldemethoden für deine Nutzer verfügbar sind, du kannst den auf deinem SSO-Anmeldebutton angezeigten Text ändern und deine IdPs-SAML-Metadaten konfigurieren.

Authentifizierungsoptionen

Unter „Single Sign-On aktivieren“ kannst du aus folgenden Authentifizierungsmethoden für deine Beekeeper-App wählen:

• Deaktiviert: dadurch wird SSO deaktiviert und gestattet nur Passwort-basierte Anmeldungen (Benutzernamen, E-Mail oder Telefonnummer und ein Beekeeper-Passwort nutzen)
• SAML-Single-Sign-On: dieser gestattet nur SSO-basierte Anmeldungen
• SAML-Single-Sign-On und Anmelden per Passwort: Dies ermöglicht eine Kombination aus SSO und Anmelden per Passwort. (Diese Option ist nützlich, wenn manche Nutzer keinen Zugriff auf deinen IdP haben)

Beekeeper als Service Provider – Details

Die Details über Beekeeper als SAML Service Provider sind unten angegeben.

• ACS-URL: https://dein_unternehmen.beekeeper.io/saml/sso
• Entitäts-ID: https://your_company.beekeeper.io/saml/sso/metadata.xml
• Namens-ID-Format: Persistent

Du findest die Metadaten für deine Beekeeper-App als Link im Admin-Dashboard unter Einstellungen > Allgemein > Single Sign-On (die URL entspricht der oben angegebenen Entitäts-ID).

SSO und Nutzersynchronisation

Anzumerken ist, dass SSO keine Nutzersynchronisation ist. Wenn sich ein Nutzer erfolgreich über SSO authentifiziert, aber noch kein Beekeeper-Konto hat, dann wird ihm eines zur Verfügung gestellt und automatisch mit den Werten vom IdP vorab ausgefüllt.

Du musst noch immer ein Nutzersynchronisationsverfahren auswählen, um die Nutzerdaten auf dem neuesten Stand zu halten. Mit SSO werden die Nutzerinformationen nur nach der Anmeldung geprüft, was bedeutet, dass, wenn du einen Nutzer über deinen IdP löschst oder sperrst, hat er solange, bis er sich abmeldet, noch immer Zugriff auf die App.

Wenn du den Zugriff auf Beekeeper einschränken und nur einer bestimmten Gruppe von Nutzern das Anmelden gestatten möchtest, kannst du das innerhalb deiner IdP-Konfiguration tun.

Fehlerbehebung

Ich kann die Option SSO nicht im Admin-Dashboard sehen: Bitte kontaktiere support@beekeeper.io oder deinen Customer Success Manager, um die SSO-Funktion für deine Beekeeper-App zu aktivieren.

Ich habe bereits ein Konto bei Beekeeper, aber wenn ich mich mit SSO anmelde, wird ein neues angelegt: Wenn du dich mit SSO anmeldest und ein anderes Nutzerprofil angezeigt wird, stimmt wahrscheinlich die vom IdP konfigurierte Namens-ID nicht mit deiner Nutzer-ID von Beekeeper überein. Aktualisiere die Nutzer-IDs deiner existierenden Nutzer, damit die vom IdP gesendeten Namens-ID-Werte übereinstimmen, bevor du den SSO aktivierst.

Ich erhalte beim Synchronisieren den Fehler 400: Bad Request. Was kann ich dagegen tun? Wenn du kürzlich ein SAML-Signierzertifikat generiert, aber seitdem deine Zuordnungen verändert hast, ist es vielleicht nicht mehr aktuell und du solltest es neu generieren (vor allem, wenn du Azure AD verwendest). Denke daran, die konfigurierten Metadaten im Admin-Dashboard zu aktualisieren, wenn du ein neues Zertifikat erstellt hast.