Support Centre

Single Sign-on (SSO): Technische Details, die Sie kennen sollten

In diesem Artikel erfahren Sie:

  • Welche Version von SAML wird von Sherpany unterstützt
  • Wie richtet man SSO mit Sherpany ein?
  • Welche Sicherheitsmechanismen von SAML werden von Sherpany unterstützt
  • SSO-Authentifizierungsmethoden, die von Sherpany unterstützt werden
  • Was Just-In-Time Provisioning ist und wie es funktioniert
  • Was MyDomain ist und warum es nützlich ist
  • Welche SAML-Attribute unterstützt werden und welche erforderlich sind

Welche Version von SAML wird von Sherpany unterstützt?

Sherpany unterstützt Security Assertion Markup Language (SAML 2.0), um seinen Kunden Single-Sign-On anzubieten. SAML ist ein offener Standard, der es Identity Providern (IdP - Ihr IAM-System) ermöglicht, Autorisierungsdaten an Service Provider (SP - Sherpany) zu übermitteln.

Weitere Einzelheiten zu SAML 2.0 finden Sie auf der offiziellen Website. 


Wie richtet man SSO mit Sherpany ein?

Erwägen Sie die Einrichtung von SSO für Sherpany in Ihrer Organisation? Kontaktieren Sie uns einfach, um loszulegen. Unser Team unterstützt Sie gerne. 

Um SAML-Login in Sherpany für Ihre Organisation zu konfigurieren, werden die folgenden Schritte durchgeführt:

  1. Sie stellen Sherpany zur Verfügung:

    1. In Ihrer Organisation verwendete E-Mail-Domänen: Liste der E-Mail-Domänen, die in Ihrer Organisation verwendet werden und die Ihrer Organisation gehören, damit wir sie zur "zugelassenen Liste" hinzufügen können.

    2. MyDomain-URL, die Sie verwenden möchten

  2. Sherpany erstellt die anfängliche SAML-Konfiguration und teilt den Link zur XML-Konfiguration des SP

  3. Basierend auf der zur Verfügung gestellten SP-Konfigurations-XML können Sie den IdP-Teil einrichten und ihn mit Sherpany teilen:
    → Ihre Konfiguration (entweder als XML-Datei oder als Link zur Konfiguration)
    → SAML-Attribut-Zuordnungen

  4. Sherpany schließt die Konfiguration ab und SAML ist bereit, von Ihnen getestet zu werden


Welche Sicherheitsmechanismen von SAML werden von Sherpany unterstützt?

Standardmäßig signiert Sherpany Anfragen und möchte, dass die Assertion signiert wird, aber wir unterstützen auch das Signieren von Nachrichten.

Dies kann konfiguriert werden, wir empfehlen jedoch, zumindest den Assertion- oder Nachrichtensignaturmechanismus beizubehalten.

Die Standard-Hashfunktion für die Signierung ist SHA-256, aber wir unterstützen zusätzlich SHA-1, SHA-384 und SHA-512.

Wenn Sie Fragen zur Sicherheit haben, kontaktieren Sie uns.


Von Sherpany unterstützte SSO-Authentifizierungsmethoden

Methoden

Vom IdP initiiertes SSO: Post
In diesem Szenario ist ein Benutzer beim IdP angemeldet und versucht, auf eine Ressource auf einem entfernten SP-Server zuzugreifen. Die SAML-Assertion wird über HTTP POST zum SP transportiert.

Tipp

Wenn ein Benutzer versucht, auf geschützte Ressourcen zuzugreifen, ohne zuvor auf der IdP-Seite authentifiziert worden zu sein, leitet Sherpany den Benutzer einfach auf die externe SSO-Seite des IdP zur Authentifizierung um (http-Code 302 - NICHT wirklich SP-initiiertes SSO)

DataFlow
  1. Benutzer A klickt auf die Plattform-URL.
  2. Benutzer A landet auf der Website von Sherpany (geschützte Seite).
  3. Die Anwendung von Sherpany leitet Benutzer A (http-Code 302 - NOT SP-Initiated SSO) zurück auf die externe SSO-Anmeldeseite des IdP.

    Wichtig

    Die Sherpany-Anwendung fügt den RelayState-Parameter an die Redirect-URL des Clients an.

  4. Benutzer A wird am IdP-Standort authentifiziert.
  5. Das SSO-System des IdP erstellt eine SAML-Assertion und sendet Benutzer A an den ACS (Assertion Consumer Service) von Sherpany, zusammen mit dem RelayState-Parameter, der an die Assertion angehängt wird.
  6. Das Federation-System von Sherpany entschlüsselt und validiert die Assertion.
  7. Das Föderations-System von Sherpany sendet Benutzer A auf der Grundlage des RelayState an die URL der Sherpany-Plattform.
  8. Benutzer A wird bei Sherpanys Plattform angemeldet.
SP initiierte SSO: Post / Post
In diesem Szenario versucht ein Benutzer, auf eine geschützte Ressource direkt auf einer SP-Website zuzugreifen, ohne angemeldet zu sein. Der Benutzer verfügt nicht über ein Konto auf der SP-Website, sondern über ein Verbundkonto, das von einem IdP eines Drittanbieters verwaltet wird. Der SP sendet eine Authentifizierungsanfrage an den IdP. Sowohl die Anfrage als auch die zurückgegebene SAML-Assertion werden über den Browser des Benutzers per HTTP POST gesendet. 


 Was ist Just-in-Time Provisioning und wie funktioniert es?

Mit der Just-in-Time-Bereitstellung können Sie eine SAML-Assertion verwenden, um Benutzer sofort zu erstellen, wenn sie sich zum ersten Mal anmelden. Dadurch entfällt die Notwendigkeit, Benutzerkonten im Voraus zu erstellen. Wenn Sie zum Beispiel vor kurzem einen neuen Mitarbeiter in Ihr Unternehmen aufgenommen haben, müssen Sie den Benutzer nicht manuell in Sherpany anlegen. Wenn er sich mit einem Single Sign-On anmeldet, wird sein Konto automatisch für ihn erstellt, wodurch der Zeit- und Arbeitsaufwand für das Onboarding des Kontos entfällt.


Information  

Sherpany unterstützt nur einen Raum pro Identity Provider-Konfiguration

Was MyDomain ist und warum es nützlich ist

MyDomain ist für die Einrichtung eines Single Sign-On mit Sherpany erforderlich.

Mit MyDomain definiert Sherpany eine Subdomain für Unternehmenskunden. Der Name der Subdomain erscheint in allen org-URLs und ersetzt die allgemeine Domain app.sherpany.com. Sie können zum Beispiel Ihre URL mit Ihrem Firmennamen versehen, indem Sie die Subdomain https://mydomain.my.sherpany.com/ nennen.

Der MyDomain-Link ermöglicht es den Benutzern, den Anmeldeteil zu überspringen, bei dem der Benutzer den SSO-Anbieter auswählt, und kann z. B. über Intranetseiten gemeinsam genutzt werden.

Welche SAML-Attribute werden unterstützt und welche sind erforderlich?


Erforderliche SAML-Attribute

  • NameId - Ein eindeutiger Bezeichner, der sich im Laufe der Zeit nicht ändert. Wird verwendet, um einen Benutzer zu identifizieren. Standardmäßig sucht Sherpany im generischen NameId-Feld (urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified). Wir können es jedoch auf jedes andere Feld in der Assertion abbilden. "z.B. Mitarbeiternummer, ObjectID..."

  • E-Mail - muss in Sherpany global eindeutig sein


Optionale SAML-Attribute

  • Vorname - Vornamen des Benutzers

  • Nachname - Nachname des Benutzers

  • Telefonnummer - Telefonnummer des Benutzers


Die Metadaten des Benutzers in Sherpany können entweder bei der ersten Anmeldung des Benutzers oder bei allen folgenden Anmeldungen aktualisiert werden.


War diese Antwort hilfreich? Ja Nein

Feedback senden
Leider konnten wir nicht helfen. Helfen Sie uns mit Ihrem Feedback, diesen Artikel zu verbessern.