Dieser Artikel führt allgemeine Informationen zur Verwendung und Einrichtung von Single Sign-On (SSO) über Security Assertion Markup Language (SAML) 2.0 auf.
- Allgemeines
- Einschränkungen
- Single Sign-On über SAML 2.0 einrichten
- Anmeldung über SSO
- Konfiguration aktualisieren
Allgemeines
- Single Sign-On über SAML 2.0 erlaubt die Anmeldung bei Meisterplan über Benutzerkonten, die beim angebundenen Identity-Provider hinterlegt sind.
- Bitte beachten Sie, dass jeder Benutzer für die Anmeldung auch ein Benutzerkonto in Meisterplan benötigt. Der Meisterplan Benutzername wird auf das NameID-Feld von SAML gemappt. Achten Sie also darauf, dass Sie das Identity-Provider-Feld auf NameID mappen, das dem Meisterplan Benutzername entspricht.
- Meisterplan unterstützt sowohl Service Provider (SP)-initiated SSO als auch Identity Provider (IdP)-initiated SSO.
- Dies ist eine Kurzanleitung zur allgemeinen Konfiguration von SSO über SAML 2.0 in Meisterplan.
- Weiterführende Schritt-für-Schritt-Anleitungen für die unterstützten Identity-Provider finden Sie hier:
- Azure Active Directory (Azure AD)
- Active Directory Federation Services (ADFS)
- OneLogin
- Ping One
- Okta
- Kenntnisse von SAML 2.0, SSO und den Besonderheiten bei der Konfiguration Ihres Identity-Providers werden bei allen Anleitungen vorausgesetzt.
Einschränkungen
- Single Sign-On in Meisterplan unterstützt nur SAML 2.0.
Single Sign-On über SAML 2.0 in Meisterplan einrichten
Für diese Funktionen benötigt Ihr Meisterplan Benutzerkonto die Rechtestufe Administrator.
Gehen Sie folgendermaßen vor, um Single Sign-On über SAML 2.0 in Meisterplan einzurichten:
Schritt 1: Klicken Sie in der linken Seitenleiste auf Verwalten und wählen Sie dann Benutzer.
Schritt 2: Klicken Sie in der Toolbar auf SAML konfigurieren:
Schritt 3: Klicken Sie auf SAML aktiviert, um die Abschnitte Identity-Provider-Einstellungen und Service-Provider-Daten anzuzeigen:
Identity-Provider-Einstellungen
Geben Sie die von Ihrem Identity-Provider erhaltenen Identity-Provider-Einstellungen an:
- Entitäts-ID des Identity-Providers (wird auch als "Einheits-ID", "issuer" oder "Aussteller" bezeichnet)
- SSO URL (Single Sign-On URL)
- SLO URL (Single Log-Out URL)
- X.509-Zertifikat (public key/öffentlicher Schlüssel - Bezeichnung kann sich je nach Identity-Provider unterscheiden)
Service-Provider-Daten
Einige Identity-Provider erlauben den Zugriff durch beliebige Dienste, die gültige Anmeldedaten verwenden. Andere verlangen allerdings die Anmeldung von Service-Providern (wie Meisterplan) mit Antwort-URL und Entitäts-ID.
Übertragen Sie in diesem Fall, je nachdem, in welcher Form der Identity-Provider dies voraussetzt, diese Daten entweder durch Kopieren und Einfügen aus den entsprechenden Feldern oder verwenden Sie den Link Metadaten-XML-Datei herunterladen, wenn Ihr Identity-Provider den XML-Import der Daten unterstützt.
Einrichtung abschließen
Nach Eingabe der Identity-Provider-Einstellungen in Meisterplan und nachdem Sie gegebenenfalls die Service-Provider-Daten bei Ihrem Identity-Provider hinterlegt haben, schließen Sie per Klick auf die Schaltfläche Konfiguration speichern die Einrichtung ab.
Anmeldung über Single Sign-On
Wie sich Benutzer nach der Einrichtung von Details zur Anmeldung über Single Sign-On bei Meisterplan anmelden, erklärt der Artikel Anmeldung.
Falls der Identity Provider zeitweise nicht verfügbar ist, können sich Meisterplan Benutzer mit der Benutzerstufe Administrator alternativ über die Sub-Domain "login" anmelden, ohne SSO zu verwenden. Das URL-Schema für die Anmeldung auf diese Weise lautet login.eu.meisterplan.com/login?databaseName=[ihrsystem].
Konfiguration aktualisieren
Um beispielsweise nach einem Wechsel des Identity Providers die Konfiguration von Single Sign-On (SSO) zu aktualisieren, gehen Sie wie folgt vor:
Schritt 1: Geben Sie in Meisterplan die neuen Identity-Provider-Einstellungen ein (siehe Abschnitt Identity-Provider-Einstellungen) und bestätigen Sie mit Klick auf Konfiguration Speichern.
Schritt 2: Geben Sie bei Ihrem Identity Provider die Service-Provider-Daten von Meisterplan ein (siehe Abschnitt Service-Provider-Daten).