Dieser Artikel führt allgemeine Informationen zur Verwendung und Einrichtung von Single Sign-On (SSO) über Security Assertion Markup Language (SAML) 2.0 auf.
- Allgemeines
- Einschränkungen
- Single Sign-On über SAML 2.0 einrichten
- Anmeldung über SSO
- Konfiguration aktualisieren
- Anmeldung ohne SAML
- SAML deaktivieren
Allgemeines
- Single Sign-On über SAML 2.0 erlaubt die Anmeldung bei Meisterplan über Benutzerkonten, die beim angebundenen Identity-Provider hinterlegt sind.
- Bitte beachten Sie, dass jeder Benutzer für die Anmeldung auch ein Benutzerkonto in Meisterplan benötigt. Der Meisterplan Benutzername wird auf das NameID-Feld von SAML gemappt. Achten Sie also darauf, dass Sie das Identity-Provider-Feld auf NameID mappen, das dem Meisterplan Benutzername entspricht.
- Meisterplan unterstützt sowohl Service Provider (SP)-initiated SSO als auch Identity Provider (IdP)-initiated SSO.
- Dies ist eine Kurzanleitung zur allgemeinen Konfiguration von SSO über SAML 2.0 in Meisterplan.
- Weiterführende Schritt-für-Schritt-Anleitungen für die unterstützten Identity-Provider finden Sie hier:
- Kenntnisse von SAML 2.0, SSO und den Besonderheiten bei der Konfiguration Ihres Identity-Providers werden bei allen Anleitungen vorausgesetzt.
- Sie können Benutzer auch zu SSO hinzufügen, wenn Sie sie mittels Auto-Provisionierung durch Ihren identity Provider verwalten. Das muss in keiner bestimmen Reihenfolge erfolgen. Mehr darüber erfahren Sie im Artikel Autoprovisionierung von Benutzern in Meisterplan.
Einschränkungen
- Single Sign-On in Meisterplan unterstützt nur SAML 2.0.
Single Sign-On über SAML 2.0 in Meisterplan einrichten
Für diese Funktionen benötigen Sie das Recht Benutzer und Benutzergruppen verwalten.
Gehen Sie folgendermaßen vor, um Single Sign-On über SAML 2.0 in Meisterplan einzurichten:
Schritt 1: Klicken Sie in der linken Seitenleiste auf Verwalten und wählen Sie dann Benutzer.
Schritt 2: Klicken Sie in der Toolbar auf Konfigurieren > SAML:
Schritt 3: Klicken Sie auf SAML aktivieren, um die Abschnitte Identity-Provider-Einstellungen und Service-Provider-Daten anzuzeigen:
Identity-Provider-Einstellungen
Geben Sie die von Ihrem Identity-Provider erhaltenen Identity-Provider-Einstellungen an:
- Entitäts-ID des Identity-Providers (wird auch als "Einheits-ID", "issuer" oder "Aussteller" bezeichnet)
- SSO URL (Single Sign-On URL)
- SLO URL (Single Log-Out URL)
- X.509-Zertifikat (public key/öffentlicher Schlüssel - Bezeichnung kann sich je nach Identity-Provider unterscheiden)
- Unter SAML Message Binding-Methode legen Sie fest, ob die SAML Login- bzw. Logout-Anfragen per GET ("HTTP Redirect") oder per POST an ihren Identity-Provider weitergereicht werden.
- Setzen Sie einen Haken bei Signiere SAML-Authentifizierungsanfragen, wenn Meisterplan Anfragen an Ihren Identity-Provider signieren soll.
Service-Provider-Daten
Die meisten Identity-Provider verlangen für die Anmeldung von Service-Providern wie Meisterplan weitere Daten: Antwort-URL, Entitäts-ID und Service Provider Relay State.
Über SP-Konfiguration herunterladen > Metadaten-Datei (.xml) herunterladen in der Toolbar können Sie die häufigsten Felder Ihres Identity-Providers konfigurieren. Die übrigen Felder können Sie befüllen, indem Sie die jeweiligen Inhalte aus dem Abschnitt Service-Provider-Daten kopieren.
Einrichtung abschließen
Nach Eingabe der Identity-Provider-Einstellungen in Meisterplan und nachdem Sie gegebenenfalls die Service-Provider-Daten bei Ihrem Identity-Provider hinterlegt haben, schließen Sie per Klick auf die Schaltfläche Konfiguration speichern die Einrichtung ab.
Anmeldung über Single Sign-On
Wenn bei Ihnen SAML eingerichtet wurde und Sie sich über SSO anmelden, werden Sie automatisch zur Anmeldeseite Ihrer Firma weitergeleitet. Melden Sie sich an wie im Artikel Anmeldung beschrieben.
Konfiguration aktualisieren
Um beispielsweise nach einem Wechsel des Identity Providers die Konfiguration von Single Sign-On (SSO) zu aktualisieren, gehen Sie wie folgt vor:
Schritt 1: Geben Sie in Meisterplan die neuen Identity-Provider-Einstellungen ein (siehe Abschnitt Identity-Provider-Einstellungen) und bestätigen Sie mit Klick auf Konfiguration speichern.
Schritt 2: Geben Sie bei Ihrem Identity Provider die Service-Provider-Daten von Meisterplan ein (siehe Abschnitt Service-Provider-Daten).
Anmeldung ohne SAML
Wenn Sie sich ohne SAML anmelden wollen, zum Beispiel weil Ihr Identity Provider nicht verfügbar ist oder Sie Probleme mit Ihrer SAML-Konfiguration haben, und Sie das Recht Benutzer und Benutzergruppen verwalten haben, können Sie sich ohne SSO über eine Wiederherstellungsseite anmelden:
- Wenn Ihr System in der EU gehostet wird:
login.eu.meisterplan.com/login?recovery=true&systemName=[your system name] - Wenn Ihr System in den USA gehostet wird:
login.us.meisterplan.com/login?recovery=true&systemName=[your system name]
SAML deaktivieren
Um die Anmeldung über SAML für alle Benutzer zu deaktivieren, benötigen Sie das Recht Benutzer und Benutzergruppen verwalten. Loggen Sie sich mit Ihren Meisterplan-Zugangsdaten ein und deaktivieren Sie die SAML-Konfiguration für Ihr Meisterplan-System:
Klicken Sie auf SAML aktivieren, um die Konfiguration zu deaktivieren.