Single Sign-On über SAML aktivieren

Single Sign-On

Single Sign-On (SSO) ist ein Mechanismus, bei dem eine Einzelnutzerauthentifizierung und -autorisierung Zugriff auf alle Systeme gewährt, auf die ein Nutzer eine Zugriffsberechtigung hat, ohne dass mehrere Passwörter eingegeben werden müssen.

Security Assertion Markup Language (SAML) ist ein Standard, der für Single Sign-On (SSO) genutzt wird. SAML ermöglicht die Authentifizierung und Autorisierung zwischen einem Service Provider (SP) und einem Identity Provider (IdP). Der Service Provider (z. B. Signavio) stimmt zu, dem Identity Provider zu vertrauen, um Nutzer zu authentifizieren. Im Gegenzug generiert der Identity Provider eine Authentifizierungsbestätigung, die sicherstellt, dass ein Nutzer authentifiziert wurde.

Signavio unterscheidet zwischen einer IdP-initiierten Authentifizierung und einer SP-initiierten Authentifizierung. Wenn Sie die IdP-initiierte Authentifizierung verwenden, müssen sich die Nutzer zur Authentifizierung initial bei ihrem Identity Provider anmelden. Anschließend können Nutzer auf einen Service Provider zugreifen, indem sie vom IdP zum SP navigieren, z. B. über einen Link oder eine interne Anwendung.

Wenn Sie die SP-initiierte Authentifizierung verwenden, werden Nutzer, die auf den Dienst eines Service Providers zugreifen möchten, automatisch an ihren IdP umgeleitet. Nutzer melden sich am IdP an, werden authentifiziert und automatisch zu ihrem Service Provider zurückgeleitet. Weitere Informationen zu IdP-initiiertem versus SP-initiiertem SSO (englischer Inhalt).

Bemerkung

SSO über SAML ist ausschließlich für SaaS-Arbeitsbereiche verfügbar. Es ist nicht für On-Premise-Kunden verfügbar.

Bemerkung

Ausschließlich Administratoren haben das Recht, SSO über SAML für einen Arbeitsbereich zu aktivieren.

Ein Beispiel für die Verwendung von SSO über SAML

Ein Administrator eines Arbeitsbereichs aktiviert die SAML-Authentifizierung (IdP- oder SP-initiiert) für einen Arbeitsbereich und richtet Google als IdP im Signavio Process Manager ein. Der Administrator richtet Signavio ebenso als gültigen SP im Google-Organisationskonto seines Unternehmens ein. Der Administrator kann außerdem eine Google-Anwendung einrichten, mit der Nutzer unkomplizierter auf den Signavio-Arbeitsbereich zugreifen können. Nutzer können sich dann entweder über die Google-Anwendung oder über Nutzername/Passwort in diesen Arbeitsbereich einloggen (sofern nicht deaktiviert). Nach dem Anmelden können Nutzer Inhalte entweder durch Kopieren der URL im Browser oder über die Teilen-Funktion freigeben. Der Link enthält entweder die Arbeitsbereichs- oder die spezifische Diagramm-ID.

Nutzer, die beim Versuch, auf den freigegebenen Inhalt zuzugreifen, nicht angemeldet sind, werden zum IdP (Google) umgeleitet, um sicherzustellen, dass sie mit ihrem Google-Konto angemeldet sind oder Sie werden zur Anmeldung aufgefordert. Nach erfolgreicher Authentifizierung werden Nutzer automatisch in ihrem Signavio-Konto angemeldet und können auf den Inhalt zugreifen, der speziell für sie freigegeben wurde.

Für die Verwendung von SAML im Signavio Process Manager und Signavio Collaboration Hub stehen zwei Optionen zur Verfügung:

  • Verwenden Sie SAML mittels Nutzername/Passwort
  • Verwenden Sie SAML und erzwingen Sie SSO (eingerichtet vom Signavio Kundensupport). Der Zugang über Nutzername/Passwort ist nicht mehr möglich.

Bemerkung

Eine Alternative zur SAML-basierten Authentifizierung ist die API-Lizenz. Sie können diese Lizenz von Ihrem Vertriebsmitarbeiter erwerben und über den Signavio Kundensupport aktivieren lassen.

Alle IdPs, die SAML implementieren, werden unterstützt, unter anderem:

  • Microsoft Active Directory Federation Services
  • Microsoft Azure AD
  • Google SSO
  • SAP ID Service

Prinzipiell müssen Sie folgende Schritte durchführen, um SSO über SAML zu aktivieren:

  1. Konfigurieren Sie SSO seitens Ihres IdPs, wie in SSO für einen Identity Provider (IdP) konfigurieren näher beschrieben wird.
  2. Aktivieren Sie die SAML-basierte Authentifizierung, wie in SAML-basierte Authentifizierung aktivieren näher beschrieben wird.
  3. Optional, fragen Sie beim Signavio Kundensupport an, der für Sie das Erzwingen von SSO einrichtet.

SSO für einen Identity Provider (IdP) konfigurieren

Der erste Schritt beim Einrichten von SSO über SAML besteht darin, es von der Seite des IdP aus zu konfigurieren.

Unabhängig von Ihrem IdP benötigen Sie bei der Konfiguration die entsprechenden XML-Metadaten des SPs (Signavio) - oder Teile davon:

Wenn Sie Hilfe benötigen, finden Sie hilfreiche Artikel in unserer Knowledge Base, falls wir uns bereits mit Ihrem spezifischen IdP befasst haben:

SAML-basierte Authentifizierung aktivieren

  1. Klicken Sie auf Setup > Collaboration Hub Authentifizierung.

  2. Wählen Sie aus dem Dropdown-Listenfeld SAML 2.0-basiert aus.

    Collaboration Hub authentication dialog
  3. Aktivieren Sie die Auswahlbox Aktiviere SAML 2.0 Authentifizierung. Wenn Sie diese Option wählen, werden Nutzer über IdP (IdP-initiiert) authentifiziert.

  4. Optional können Sie die Auswahlbox Service Provider initiierte Authentifizierung zulassen aktivieren. Wenn Sie diese Option wählen, werden Nutzer über den SP authentifiziert (SP-initiiert).

  5. Kopieren Sie die von Ihrem IdP bereitgestellten XML-Metadaten in das Feld XML-Metadaten.

  6. Optional können Sie eine Logout URL angeben. Nach einer erfolgreichen Abmeldung wird der Nutzer zu der Website weitergeleitet, die in diesem Feld definiert ist. Wenn keine URL angegeben ist, wird der Nutzer automatisch zur Signavio-Anmeldeseite weitergeleitet.

  7. Bestätigen Sie Ihre Auswahl mit Erstellen/Aktualisieren und schließen Sie das Dialogfenster.

Zugriffsrechte für Nutzer gewähren, die sich im Collaboration Hub anmelden

Bemerkung

Dies gilt ausschließlich für Arbeitsbereiche, in denen die Auto-Provisionierungs-Funktion nicht angewendet wird. Erfahren Sie mehr unter Auto-Provisionierungs-Funktion nutzen.

Nach der Aktivierung der SAML-basierten Authentifizierung für Ihren Arbeitsbereich müssen Sie die Zugriffsrechte für Collaboration Hub-Nutzer konfigurieren.

  1. Klicken Sie auf Setup > Benutzer und Zugriffsrechte verwalten.
  2. Wechseln Sie zur Registerkarte Leseberechtigung. Diese Registerkarte ist ausschließlich verfügbar, wenn zuvor die SAML-basierte Authentifizierung aktiviert wurde.

Bemerkung

Auf der Registerkarte Leseberechtigung können Sie eine Liste der Nutzer definieren, die auf bestimmte Ordner zugreifen dürfen. Wenn Sie keine Ordnerrechte festlegen und allen Nutzern des Collaboration Hub uneingeschränkten Zugriff gewähren möchten, aktivieren Sie die Auswahlbox Allgemeiner Lesezugriff für alle SAML Benutzer und schließen Sie das Dialogfenster.

  1. Um Ordnerrechte für einen oder mehrere Nutzer hinzuzufügen, wählen Sie den entsprechenden Ordner aus und geben Sie die Nutzerdaten im Eingabefeld im linken unteren Bereich des Dialogfensters an. Für jeden Nutzer muss der Eintrag der Struktur email_address first_name last_name folgen. Erstellen eine neue Zeile für jeden Nutzer, den Sie in die Liste aufnehmen.

  2. Klicken Sie auf Hinzufügen und schließen Sie das Dialogfenster.

    Configuration of SAML-based access rights

Auto-Provisionierungs-Funktion nutzen

Bemerkung

Die Auto-Provisionierungs-Funktion ist derzeit ausschließlich auf Anfrage beim Signavio Kundensupport verfügbar.

Die Auto-Provisionierungs-Funktion stellt sicher, dass Nutzerkonten ohne Registrierung automatisch erstellt werden. Für die Auto-Provisionierung muss SSO erzwungen werden. Fragen Sie für das Erzwingen von SSO für Ihren Arbeitsbereich beim Signavio Kundensupport an.

Zugriffsrechte für auto-provisionierte Nutzer können über Setup > Benutzer und Zugriffsrechte verwalten auf der Registerkarte Benutzergruppen festgelegt werden. Auto-provisionierte Nutzer verfügen über die Rechte, die allen Standardgruppen gewährt werden. Diese Nutzer können später in andere Nutzergruppen aufgenommen werden, um ihnen einen umfangreicheren Zugriff zu gewähren.

Bei der Auto-Provisionierung von Nutzern von einem externen Nutzerverwaltungssystem über SAML werden außerdem deren Vor- und Nachnamen der SAML-Antwortattribute extrahiert. Aus diesen Informationen werden neue Nutzer erstellt, während vorhandene Nutzer bei der nächsten Anmeldung über SAML aktualisiert werden.

SAML Response-Attribute, die in Ihrer IdP-Konfiguration korrekt festgelegt werden müssen:

  1. email
  2. first_name
  3. last_name
  4. Name ID