In diesem Artikel erfahren Sie:
- Welche Version von SAML wird von Sherpany unterstützt
- Wie richtet man SSO mit Sherpany ein?
- Welche Sicherheitsmechanismen von SAML werden von Sherpany unterstützt
- SSO-Authentifizierungsmethoden, die von Sherpany unterstützt werden
- Was Just-In-Time Provisioning ist und wie es funktioniert
- Was MyDomain ist und warum es nützlich ist
- Welche SAML-Attribute unterstützt werden und welche erforderlich sind
Welche Version von SAML wird von Sherpany unterstützt?
Sherpany unterstützt Security Assertion Markup Language (SAML 2.0), um seinen Kunden Single-Sign-On anzubieten. SAML ist ein offener Standard, der es Identity Providern (IdP - Ihr IAM-System) ermöglicht, Autorisierungsdaten an Service Provider (SP - Sherpany) zu übermitteln.
Weitere Einzelheiten zu SAML 2.0 finden Sie auf der offiziellen Website.
Wie richtet man SSO mit Sherpany ein?
Erwägen Sie die Einrichtung von SSO für Sherpany in Ihrer Organisation? Kontaktieren Sie uns einfach, um loszulegen. Unser Team unterstützt Sie gerne.
Um SAML-Login in Sherpany für Ihre Organisation zu konfigurieren, werden die folgenden Schritte durchgeführt:
Sie stellen Sherpany zur Verfügung:
In Ihrer Organisation verwendete E-Mail-Domänen: Liste der E-Mail-Domänen, die in Ihrer Organisation verwendet werden und die Ihrer Organisation gehören, damit wir sie zur "zugelassenen Liste" hinzufügen können.
MyDomain-URL, die Sie verwenden möchten
Sherpany erstellt die anfängliche SAML-Konfiguration und teilt den Link zur XML-Konfiguration des SP
Basierend auf der zur Verfügung gestellten SP-Konfigurations-XML können Sie den IdP-Teil einrichten und ihn mit Sherpany teilen:
→ Ihre Konfiguration (entweder als XML-Datei oder als Link zur Konfiguration)
→ SAML-Attribut-ZuordnungenSherpany schließt die Konfiguration ab und SAML ist bereit, von Ihnen getestet zu werden
Welche Sicherheitsmechanismen von SAML werden von Sherpany unterstützt?
Standardmäßig signiert Sherpany Anfragen und möchte, dass die Assertion signiert wird, aber wir unterstützen auch das Signieren von Nachrichten.
Dies kann konfiguriert werden, wir empfehlen jedoch, zumindest den Assertion- oder Nachrichtensignaturmechanismus beizubehalten.
Die Standard-Hashfunktion für die Signierung ist SHA-256, aber wir unterstützen zusätzlich SHA-1, SHA-384 und SHA-512.
Wenn Sie Fragen zur Sicherheit haben, kontaktieren Sie uns.
Von Sherpany unterstützte SSO-Authentifizierungsmethoden
Methoden
Tipp
Wenn ein Benutzer versucht, auf geschützte Ressourcen zuzugreifen, ohne zuvor auf der IdP-Seite authentifiziert worden zu sein, leitet Sherpany den Benutzer einfach auf die externe SSO-Seite des IdP zur Authentifizierung um (http-Code 302 - NICHT wirklich SP-initiiertes SSO)
- Benutzer A klickt auf die Plattform-URL.
- Benutzer A landet auf der Website von Sherpany (geschützte Seite).
- Die Anwendung von Sherpany leitet Benutzer A (http-Code 302 - NOT SP-Initiated SSO) zurück auf die externe SSO-Anmeldeseite des IdP.
Wichtig
Die Sherpany-Anwendung fügt den RelayState-Parameter an die Redirect-URL des Clients an.
- Benutzer A wird am IdP-Standort authentifiziert.
- Das SSO-System des IdP erstellt eine SAML-Assertion und sendet Benutzer A an den ACS (Assertion Consumer Service) von Sherpany, zusammen mit dem RelayState-Parameter, der an die Assertion angehängt wird.
- Das Federation-System von Sherpany entschlüsselt und validiert die Assertion.
- Das Föderations-System von Sherpany sendet Benutzer A auf der Grundlage des RelayState an die URL der Sherpany-Plattform.
- Benutzer A wird bei Sherpanys Plattform angemeldet.
Was ist Just-in-Time Provisioning und wie funktioniert es?
Mit der Just-in-Time-Bereitstellung können Sie eine SAML-Assertion verwenden, um Benutzer sofort zu erstellen, wenn sie sich zum ersten Mal anmelden. Dadurch entfällt die Notwendigkeit, Benutzerkonten im Voraus zu erstellen. Wenn Sie zum Beispiel vor kurzem einen neuen Mitarbeiter in Ihr Unternehmen aufgenommen haben, müssen Sie den Benutzer nicht manuell in Sherpany anlegen. Wenn er sich mit einem Single Sign-On anmeldet, wird sein Konto automatisch für ihn erstellt, wodurch der Zeit- und Arbeitsaufwand für das Onboarding des Kontos entfällt.
Information
Sherpany unterstützt nur einen Raum pro Identity Provider-Konfiguration
Was MyDomain ist und warum es nützlich ist
MyDomain ist für die Einrichtung eines Single Sign-On mit Sherpany erforderlich.
Mit MyDomain definiert Sherpany eine Subdomain für Unternehmenskunden. Der Name der Subdomain erscheint in allen org-URLs und ersetzt die allgemeine Domain app.sherpany.com. Sie können zum Beispiel Ihre URL mit Ihrem Firmennamen versehen, indem Sie die Subdomain https://mydomain.my.sherpany.com/ nennen.
Der MyDomain-Link ermöglicht es den Benutzern, den Anmeldeteil zu überspringen, bei dem der Benutzer den SSO-Anbieter auswählt, und kann z. B. über Intranetseiten gemeinsam genutzt werden.
Welche SAML-Attribute werden unterstützt und welche sind erforderlich?
Erforderliche SAML-Attribute
NameId - Ein eindeutiger Bezeichner, der sich im Laufe der Zeit nicht ändert. Wird verwendet, um einen Benutzer zu identifizieren. Standardmäßig sucht Sherpany im generischen NameId-Feld (urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified). Wir können es jedoch auf jedes andere Feld in der Assertion abbilden. "z.B. Mitarbeiternummer, ObjectID..."
E-Mail - muss in Sherpany global eindeutig sein
Optionale SAML-Attribute
Vorname - Vornamen des Benutzers
Nachname - Nachname des Benutzers
Telefonnummer - Telefonnummer des Benutzers
Die Metadaten des Benutzers in Sherpany können entweder bei der ersten Anmeldung des Benutzers oder bei allen folgenden Anmeldungen aktualisiert werden.