Beiträge in diesem Abschnitt

Single Sign-On (SSO) über SAML 2.0 - Überblick

Avatar
Meisterplan
  • Aktualisiert

Dieser Artikel führt allgemeine Informationen zur Verwendung und Einrichtung von Single Sign-On (SSO) über Security Assertion Markup Language (SAML) 2.0 auf.

Allgemeines

  • Single Sign-On über SAML 2.0 erlaubt die Anmeldung bei Meisterplan über Benutzerkonten, die beim angebundenen Identity-Provider hinterlegt sind.
  • Bitte beachten Sie, dass jeder Benutzer für die Anmeldung auch ein Benutzerkonto in Meisterplan benötigt. Der Meisterplan Benutzername wird auf das NameID-Feld von SAML gemappt. Achten Sie also darauf, dass Sie das Identity-Provider-Feld auf NameID mappen, das dem Meisterplan Benutzername entspricht.
  • Meisterplan unterstützt sowohl Service Provider (SP)-initiated SSO als auch Identity Provider (IdP)-initiated SSO.
  • Dies ist eine Kurzanleitung zur allgemeinen Konfiguration von SSO über SAML 2.0 in Meisterplan.
  • Weiterführende Schritt-für-Schritt-Anleitungen für die unterstützten Identity-Provider finden Sie hier:
  • Kenntnisse von SAML 2.0, SSO und den Besonderheiten bei der Konfiguration Ihres Identity-Providers werden bei allen Anleitungen vorausgesetzt.

Einschränkungen

  • Single Sign-On in Meisterplan unterstützt nur SAML 2.0.

Single Sign-On über SAML 2.0 in Meisterplan einrichten

Für diese Funktionen benötigt Ihr Meisterplan Benutzerkonto die Rechtestufe Administrator.

Gehen Sie folgendermaßen vor, um Single Sign-On über SAML 2.0 in Meisterplan einzurichten:

Schritt 1: Klicken Sie in der linken Seitenleiste auf Verwalten und wählen Sie dann Benutzer.

Schritt 2: Klicken Sie in der Toolbar auf SAML konfigurieren:

Verwalten-Benutzer-SAML.png

Schritt 3: Klicken Sie auf SAML aktiviert, um die Abschnitte Identity-Provider-Einstellungen und Service-Provider-Daten anzuzeigen:

Meisterplan-Konfiguration-SSO-SAML.PNG

Identity-Provider-Einstellungen

Geben Sie die von Ihrem Identity-Provider erhaltenen Identity-Provider-Einstellungen an:

  • Entitäts-ID des Identity-Providers (wird auch als "Einheits-ID", "issuer" oder "Aussteller" bezeichnet)
  • SSO URL (Single Sign-On URL)
  • SLO URL (Single Log-Out URL)
  • X.509-Zertifikat (public key/öffentlicher Schlüssel - Bezeichnung kann sich je nach Identity-Provider unterscheiden)

Service-Provider-Daten

Die meisten Identity-Provider verlangen für die Anmeldung von Service-Providern wie Meisterplan weitere Daten: Antwort-URLEntitäts-ID und Service Provider Relay State.

Es gibt zwei mögliche Wege, wie Ihr Identity Provider diese Daten verlangt:

1. Kopieren Sie die Daten aus den drei Feldern und fügen Sie in das entsprechende Feld des eingesetzten Identity Providers ein.

2. Laden Sie die Daten über den Link Metadaten-XML-Datei herunterladen herunter, wenn Ihr Identity-Provider den XML-Import der Daten unterstützt.

Sollte Ihr Identity-Provider keine detaillierte Konfiguration des Service-Providers benötigen, können Sie diesen Abschnitt überspringen.

Einrichtung abschließen

Nach Eingabe der Identity-Provider-Einstellungen in Meisterplan und nachdem Sie gegebenenfalls die Service-Provider-Daten bei Ihrem Identity-Provider hinterlegt haben, schließen Sie per Klick auf die Schaltfläche Konfiguration speichern die Einrichtung ab.

Anmeldung über Single Sign-On

Wenn bei Ihnen SAML eingerichtet wurde und Sie sich über SSO anmelden, werden Sie automatisch zur Anmeldeseite Ihrer Firma weitergeleitet. Melden Sie sich an wie im Artikel Anmeldung beschrieben.

Konfiguration aktualisieren

Um beispielsweise nach einem Wechsel des Identity Providers die Konfiguration von Single Sign-On (SSO) zu aktualisieren, gehen Sie wie folgt vor:

Schritt 1: Geben Sie in Meisterplan die neuen Identity-Provider-Einstellungen ein (siehe Abschnitt Identity-Provider-Einstellungen) und bestätigen Sie mit Klick auf Konfiguration Speichern.

Schritt 2: Geben Sie bei Ihrem Identity Provider die Service-Provider-Daten von Meisterplan ein (siehe Abschnitt Service-Provider-Daten).

Anmeldung ohne SAML

Wenn Sie sich ohne SAML anmelden wollen, zum Beispiel weil Ihr Identity Provider nicht verfügbar ist oder Sie Probleme mit Ihrer SAML-Konfiguration haben, und Sie die Rechtestufe Administrator haben, können Sie sich über die Sub-Domain "login" anmelden, ohne SSO zu verwenden. Das URL-Schema für die Anmeldung auf diese Weise lautet https://login.eu.meisterplan.com/login?databaseName=ihrsystem.

SAML deaktivieren

Um die Anmeldung über SAML für alle Benutzer zu deaktivieren, benötigen Sie die Rechtestufe Administrator. Loggen Sie sich mit Ihren Meisterplan-Zugangsdaten ein und deaktivieren Sie die SAML-Konfiguration für Ihr Meisterplan-System:

Verwalten-Benutzer-SAML.png

Klicken Sie auf SAML aktiviert, um die Konfiguration zu deaktivieren.

Verwandte Beiträge