Support Centre

Single Sign-On (SAML 2.0)

In diesem Artikel erfahren Sie :

  • Was ist Single Sign-on (SSO) basierend auf SAML
  • Vorteile von SSO
  • SAML-Terminologie
  • Details zur SSO-Konfiguration

Vorwort

Mit Single Sign-On (SSO) können Benutzer mit einem einzigen Login auf autorisierte Netzwerkressourcen zugreifen. Sie validieren Benutzernamen und Passwörter gegen Ihre Unternehmensbenutzerdatenbank oder andere Client-Apps, anstatt dass Sherpany separate Passwörter für jede Ressource verwaltet.


Die in diesem Dokument bereitgestellten Informationen ermöglichen es Partnern, ihre Federation-Server einzurichten, um das föderierte Identitätsmanagement mit Sherpany zu initiieren.


ERFORDERLICHES Paket: Enterprise


Vorteile von SSO

Die Implementierung von SSO bringt mehrere Vorteile für Ihre Organisation.

  • Reduzierte Verwaltungskosten - Mit SSO merken sich Benutzer ein einziges Passwort, um auf Netzwerkressourcen und externe Apps und Sherpany zuzugreifen. Beim Zugriff auf Sherpany innerhalb des Unternehmensnetzwerks melden sich die Benutzer nahtlos an und werden nicht nach einem Benutzernamen oder Passwort gefragt. Beim Zugriff auf Sherpany von außerhalb des Firmennetzwerks melden sich die Benutzer mit ihrem Firmennetzwerk-Login an. Da weniger Passwörter zu verwalten sind, erhalten Systemadministratoren weniger Anfragen, vergessene Passwörter zurückzusetzen.
  • Bestehende Investitionen nutzen - Viele Unternehmen verwenden eine zentrale LDAP-Datenbank, um Benutzeridentitäten zu verwalten. Sie können die Sherpany-Authentifizierung an dieses System delegieren. Wenn Benutzer dann aus dem LDAP-System entfernt werden, können sie nicht mehr auf Sherpany zugreifen. Benutzer, die das Unternehmen verlassen, verlieren nach ihrem Ausscheiden automatisch den Zugriff auf Unternehmensdaten.
  • Zeitersparnis - Im Durchschnitt brauchen Benutzer 5-20 Sekunden, um sich bei einer Online-App anzumelden. Es kann länger dauern, wenn sie ihren Benutzernamen oder ihr Passwort falsch eingeben und zur erneuten Eingabe aufgefordert werden. Mit SSO wird die manuelle Anmeldung bei Sherpany vermieden. Diese eingesparten Sekunden reduzieren die Frustration und führen zu einer erhöhten Produktivität.
  • Erhöhte Benutzerakzeptanz - Aufgrund der Bequemlichkeit, sich nicht anmelden zu müssen, ist es wahrscheinlicher, dass die Benutzer Sherpany regelmäßig nutzen. Zum Beispiel können Benutzer E-Mail-Nachrichten versenden, die Links zu Informationen in Sherpany enthalten, wie z. B. Datensätze und Berichte. Wenn der Empfänger der E-Mail-Nachricht auf die Links klickt, öffnet sich die entsprechende Sherpany-Seite.
  • Erhöhte Sicherheit - Alle Passwortrichtlinien, die Sie für Ihr Firmennetzwerk festgelegt haben, sind für Sherpany gültig. Das Senden eines Authentifizierungsnachweises, der nur ein einziges Mal gültig ist, erhöht auch die Sicherheit für Benutzer, die Zugriff auf sensible Daten haben.


Föderation Zusammenfassung

Föderiertes Identitätsmanagement (oder "Identitätsföderation") ermöglicht Unternehmen den sicheren Austausch von Identitätsinformationen über Internet-Domänen hinweg. Federation ermöglicht auch sicheres SSO zwischen verschiedenen Geschäftseinheiten innerhalb eines Unternehmens. Wenn Unternehmen durch Übernahmen wachsen oder wenn Geschäftseinheiten ihre eigenen Benutzer-Repositories und Authentifizierungsmechanismen unterhalten, ist eine föderierte Lösung für sicheres SSO wünschenswert.

Security Assertion Markup Language (SAML) ist eine XML-basierte Lösung für den Austausch von Benutzer-Sicherheitsinformationen zwischen einem SAML-Identitätsanbieter und einem SAML-Dienstanbieter. SAML 2.0 unterstützt die W3C-XML-Verschlüsselung und den vom Dienstanbieter initiierten Webbrowser-Single-Sign-On-Austausch. Ein Benutzer, der über einen User Agent (normalerweise einen Webbrowser) verfügt, wird bei SAML-basiertem Single Sign-On als Subjekt bezeichnet. Der Benutzer fordert eine Web-Ressource an, die durch einen SAML-Dienstanbieter geschützt ist. Der Service-Provider, der die Identität des Benutzers wissen möchte, stellt über den User-Agent eine Authentifizierungsanfrage an einen SAML-Identity-Provider. Der Identitätsprovider ist derjenige, der die Anmeldeinformationen des Benutzers bereitstellt. Der Dienstanbieter vertraut den Benutzerinformationen des Identitätsanbieters, um den Zugriff auf seine Dienste oder Ressourcen zu ermöglichen.


Föderationsterminologie

Begriff
Beschreibung

Einzelanmeldung (SSO)

Single Sign-On (SSO) ist eine Methode zur Nutzung von Sicherheits-Tokens, um die Authentifizierung zwischen mehreren Domänen anzugeben, anstatt dass jedes Mitglied einer Sicherheitsdomäne die Authentifizierungsdaten erneut überprüfen muss. Der Prozess authentifiziert den Benutzer für alle Anwendungen, für die er Rechte erhalten hat, und eliminiert weitere Aufforderungen, wenn er während einer bestimmten Sitzung die Anwendung wechselt.

Identitätsanbieter (IdP)

Eine Entität, die verschiedene Behauptungen über eine Entität (z. B. Endbenutzer) gegenüber SPs aufstellt. SPs nehmen diese Behauptungen und treffen eine Entscheidung darüber, ob sie als wahr betrachtet werden sollen. Bei SSO sind diese Behauptungen dazu gedacht, den Dienst mit genügend Informationen zu versorgen, um einen Benutzer als authentifiziert zu betrachten.


Ihre Organisation stellt den IdP bereit.

Dienstanbieter (SP)

Ein SP ist ein Konsument von Claims eines Identity Providers. Basierend auf der Auswertung der Claims sowie einer eventuell bereits bestehenden Beziehung zwischen dem Dienst und dem Identity Provider können die übermittelten Informationen zur Authentifizierung, Autorisierung und zur Bereitstellung der Claims als zusätzliche Daten in anderen Geschäftsprozessen verwendet werden. Innerhalb der Definitionen von SAML ist ein SP lediglich eine Entität, die einen Dienst für andere bereitstellt, während ein Identity Provider die "SAML-Autorität" ist, eine Systementität, die einen Benutzer oder ein "SAML-Subjekt" authentifiziert und referenzielle Identitätsinformationen basierend auf dieser Authentifizierung überträgt. 


Sherpany ist der SP.

Assertion/Token

Assertions sind XML-Dokumente, die von einem IdP an einen SP gesendet werden. Jede Assertion enthält identifizierende Informationen über einen Benutzer, der eine SSO-Anfrage initiiert hat.
Bindings

Eine SAML-Bindung beschreibt die Art und Weise, wie Nachrichten unter Verwendung von Transportprotokollen ausgetauscht werden.


Einige gängige SAML 2.0 Bindings sind:

  • HTTP POST - Beschreibt, wie SAML-Nachrichten in HTML-Form-Control-Inhalten transportiert werden, die ein Base-64-Format verwenden.
  • HTTP-Artefakt - Beschreibt die Verwendung eines Artefakts zur Darstellung einer SAML-Nachricht. Das Artefakt kann über ein HTML-Formularsteuerelement oder einen Query-String in der URL transportiert werden.
  • HTTP Redirect - Beschreibt, wie SAML-Nachrichten mit Hilfe von HTTP 302 Statuscode-Antwortnachrichten transportiert werden.
  • SOAP - Beschreibt, wie SAML-Nachrichten über den Rückkanal übertragen werden sollen.


Die gängigsten SAML-Bindungen sind:

  • HTTP POST - Beschreibt, wie SAML-Nachrichten in HTML-Form-Control-Inhalten transportiert werden, die ein Base-64-Format verwenden.
  • HTTP-Artefakt - Beschreibt die Verwendung eines Artefakts zur Darstellung einer SAML-Nachricht. Das Artefakt kann über ein HTML-Formularsteuerelement oder einen Query-String in der URL transportiert werden.


SAML

MyDomain

MyDomain wird für die Einrichtung eines Single Sign-On benötigt.

Mit MyDomain definiert Sherpany eine Subdomain für Unternehmenskunden. Der Name der Subdomain erscheint in allen org-URLs und ersetzt die allgemeine Domain app.sherpany.com. Sie können zum Beispiel Ihre URL brandmarken, indem Sie die Subdomain mit Ihrem Firmennamen benennen, https://customdomain.my.sherpany.com/.

Bei SAML 2.0 ist die Startseite die Seite, auf die der Benutzer versucht hat zuzugreifen, bevor er authentifiziert wurde. Die SAML 2.0-Startseite muss Sp-init Single Sign-on unterstützen.


Wenn Sie SAML 2.0 verwenden, können Sie auch den Parameter RelayState verwenden, um zu steuern, wohin Benutzer nach einer erfolgreichen Anmeldung umgeleitet werden.

Methods

IdP Initiated SSO: Post
In diesem Szenario ist ein Benutzer beim IdP angemeldet und versucht, auf eine Ressource auf einem entfernten SP-Server zuzugreifen. Die SAML-Assertion wird über HTTP POST zum SP transportiert.

Tipp

Wenn ein Benutzer versucht, auf geschützte Ressourcen zuzugreifen, ohne zuvor auf der IdP-Seite authentifiziert worden zu sein, leitet Sherpany den Benutzer einfach zur Authentifizierung auf die externe SSO-Seite des IdP um (http-Code 302 - NICHT wirklich SP-Initiated SSO)

DataFlow
  1. Benutzer A klickt auf die Plattform-URL.
  2. Benutzer A landet auf der Seite von Sherpany (geschützte Seite).
  3. Die Anwendung von Sherpany leitet Benutzer A (http-Code 302 - NOT SP-Initiated SSO), zurück zur externen SSO-Anmeldeseite des IdP.

    Wichtig

    Die Sherpany-Anwendung fügt den Parameter RelayState an die Redirect-Verbindungs-URL des Clients an

  4. Benutzer A wird am IdP-Standort authentifiziert.
  5. Das SSO-System des IdP konstruiert eine SAML-Assertion und sendet Benutzer A an den ACS (Assertion Consumer Service) von Sherpany, zusammen mit dem an die Assertion angehängten Parameter RelayState.
  6. Das Federation-System von Sherpany entschlüsselt und validiert die Assertion.
  7. Das Federation-System von Sherpany sendet Benutzer A an die Sherpany-Plattform-URL, basierend auf dem RelayState.
  8. Benutzer A wird auf der Plattform von Sherpany angemeldet.
SP initiiertes SSO: Post / Post
In diesem Szenario versucht ein Benutzer, auf eine geschützte Ressource direkt auf einer SP-Website zuzugreifen, ohne angemeldet zu sein. Der Benutzer hat kein Konto auf der SP-Website, aber er hat ein Verbundkonto, das von einem IdP eines Drittanbieters verwaltet wird. Der SP sendet eine Authentifizierungsanforderung an den IdP. Sowohl die Anforderung als auch die zurückgegebene SAML-Assertion werden über den Browser des Benutzers per HTTP POST gesendet.


Beispiel SAML-Assertionen

Teilen Sie die Beispiel-SAML-Assertions mit Ihrem Identitätsanbieter, damit dieser das Format der Informationen bestimmen kann, die Sherpany für ein erfolgreiches Single-Sign-On benötigt. Die Assertion muss signiert sein gemäß der XML Signature specification, unter Verwendung von RSA und entweder SHA-1 oder SHA-256.

SAML 2.0:

<saml:Subject>
    <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">user101@sherpany.com</saml:NameID>
    <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <saml:SubjectConfirmationData NotOnOrAfter="2008-06-26T02:44:24.173Z" Recipient="http://localhost:9000"/>
    </saml:SubjectConfirmation>
</saml:Subject>


Details zur Konfiguration

Konfiguration am IdP

Je nach Art der IdP-Anwendung, mit der Sie arbeiten, muss mehr oder weniger Konfiguration vorgenommen werden. Dies ist eine Übersicht der Konfigurationen, die auf Ihrem IdP mit den vom Sherpany SP bereitgestellten Werten durchgeführt werden müssen.


Name
Beschreibung

Beispielwert


Assertion Consumer Service URL

Auch bekannt als Post-Back-URL oder Callback-URL.


Dies ist der Ort, an dem der IdP Assertions POSTen wird.

https://customdomain.my.sherpany.com/auth/sso/saml/?acs&provider=customerx
Anwendungs-Rückruf-URLOptional. Endpunkt, an dem Informationen über den SP abgefragt werden können.https://customdomain.my.sherpany.com/auth/sso/saml/metadata/?provider=customerx
Einzelne Abmeldedienst-URL
https://customdomain.my.sherpany.com/auth/sso/saml/?sls 


Konfiguration auf SP

Dies sind Konfigurationen, die von Sherpany auf unserem SP eingestellt werden müssen und von Ihrem IdP bereitgestellt werden müssen.


Bevorzugte Konfigurationsmethode

Idealerweise wird sherpany eine metadata.xml-Datei (oder die Metadaten-URL, wo die Konfigurations-xml heruntergeladen werden kann) zur Verfügung gestellt, die alle benötigten Konfigurationen enthält. Die meisten IdP erlauben den Export einer solchen Datei.

Name
Beschreibung
Beispielwert
entityID
https://idp.example.com/saml/sherpany 
IdP Certificatex509certA .pem file.
IdP Login URL and Binding

https://idp.example.com/saml/sherpany 

urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect


IdP Logout URL and Binding

https://idp.example.com/saml/sherpany/logout 

urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect



Attributes

Feldbezeichnung

Feld Code

Required

Client-Attribut Name (alphanumerisch)



NameID



Y

Muss pro IdP eindeutig sein. 


Ein eindeutiger Bezeichner, der sich im Laufe der Zeit nicht ändert. 


Wird verwendet, um einen Benutzer zu identifizieren.

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified



EmailemailYMuss auf sherpany global eindeutig sein.

Vorname

Vorname

Y

Vorname

Nachname

Nachname

Y

TelefonNummer

TelefonNummerTelefonNummer
NTelefonNummer


Just-in-Time-Bereitstellung für SAML

Mit der Just-in-Time-Bereitstellung können Sie eine SAML-Assertion verwenden, um Benutzer bei ihrem ersten Anmeldeversuch direkt zu erstellen. Dadurch entfällt die Notwendigkeit, Benutzerkonten im Voraus zu erstellen. Wenn Sie z.B. kürzlich einen neuen Mitarbeiter in Ihr Unternehmen aufgenommen haben, müssen Sie den Benutzer nicht manuell in Sherpany anlegen. Wenn er sich mit Single Sign-On anmeldet, wird sein Konto automatisch für ihn erstellt, wodurch der Zeit- und Arbeitsaufwand für das Onboarding des Kontos entfällt.

War diese Antwort hilfreich? Ja Nein

Feedback senden
Entschuldigen Sie, dass wir nicht hilfreich sein konnten. Helfen Sie uns, diesen Artikel zu verbessern und geben uns dazu ein Feedback.