Single Sign-On über SAML aktivieren (optional)

Single Sign-on

Single-sign-on-(SSO) ist ein Mechanismus, bei dem eine Einzelnutzer-Authentifizierung und -Autorisierung den Zugriff auf alle Systeme ermöglicht, auf die ein Nutzer Zugriff hat, ohne dass mehrere Passwörter eingegeben werden müssen.

Security-Assertion-Markup-Language-(SAML) ist ein Standard für Single-Sign-on-(SSO), der die Authentifizierung und Autorisierung zwischen einem Service-Provider (SP) und einem Identitäts-Provider (IdP) ermöglicht. Der Service Provider (z. B. Signavio) stimmt zu, dem Identity Provider zu vertrauen, um Nutzer zu authentifizieren. Im Gegenzug generiert der Identity Provider eine Authentifizierungsbestätigung, die sicherstellt, dass ein Nutzer authentifiziert wurde.

Signavio unterscheidet zwischen einer von IdP-initiierten Authentifizierung und einer von SP-initiierten Authentifizierung. Bei der Verwendung der von IdP initiierten Authentifizierung müssen sich die Benutzer zunächst bei ihrem Identitätsanbieter zur Authentifizierung anmelden. Im Anschluss daran können sie auf einen Dienstanbieter zugreifen, indem sie von der IdP zur SP navigieren, z.B. über einen Link oder eine interne Anwendung.

Bei Verwendung der von SPS initiierten Authentifizierung werden Benutzer, die auf einen SPS-Dienst zugreifen möchten, automatisch auf ihre IP-Adresse umgeleitet. Sie melden sich beim IdP an, werden authentifiziert und automatisch zu ihrem Service-Provider zurückgeschickt. Lesen Sie mehr über IdP-initiierte versus-SP-initiierte SSO.

Hinweis

Nur Administratoren haben die Rechte, SSO-via-SAML für einen Arbeitsbereich zu aktivieren.

Ein Anwendungsbeispiel für die Verwendung von SSO für SAML

Ein Arbeitsbereich-Administrator ermöglicht die SAML-Authentifizierung (IdP-oder-SP-initiiert) für einen Arbeitsbereich, und richtet Google als einen IdP in Signavio Process Manager ein. Der Administrator richtet auch das Signavio als gültiges SP für das Google-Organisationskonto des Unternehmens ein. Der Administrator könnte auch eine Google-Anwendung einrichten, die es Benu-tzern ermöglicht, leichter auf diesen Signavio-Arbeitsbereich zuzugreifen. Benutzer können sich dann in diesem Arbeitsbereich entweder über die Google-Anwendung oder über den Benutzernamen/Passwort (nicht deaktiviert) anmelden. Einmal angemeldet, können Benutzer entweder durch Kopieren der URL im Browser oder über die Sharing-Funktion Inhalte teilen. Der Link enthält entweder den Arbeitsbereich oder die spezifische Diagramm-ID.

Benutzer, die sich nicht einloggen, wenn sie versuchen, auf den gemeinsamen Inhalt zuzugreifen, werden auf das IdP (Google in diesem Szenario) umgeleitet, um sicherzustellen, dass sie mit ihrem Google-Konto eingeloggt sind. Oder sie werden aufgefordert, es zu tun. Nach erfolgreicher Authentifizierung werden die Benutzer automatisch in ihr Signavio-Konto eingeloggt und können auf den Inhalt zugreifen, der ausdrücklich mit ihnen geteilt wurde.

Es stehen zwei Optionen zur Verfügung, um SAML für Signavio Process Manager und Signavio Collaboration Hub zu verwenden:

  • Verwenden Sie SAML mittels Nutzername/Passwort
  • Verwenden Sie SAML und erzwingen Sie SSO (eingerichtet vom Signavio Kundensupport). Der Zugang über Nutzername/Passwort ist nicht mehr möglich.
Hinweis

Eine Alternative zur SAML-basierten Authentifizierung ist die API-Lizenz. Sie können diese Lizenz von Ihrem Vertriebsmitarbeiter erwerben und über den Signavio Kundensupport aktivieren lassen.

Alle IdPs, die SAML implementieren, werden unterstützt, unter anderem:

  • Microsoft Active Directory Federation Services
  • Microsoft Azure AD
  • Google SSO
  • SAP ID Service

Prinzipiell müssen Sie folgende Schritte durchführen, um SSO über SAML zu aktivieren:

  1. Konfigurieren Sie SSO seitens Ihres IdPs, wie in es SSO für einen Identity Provider (IdP) konfigurieren näher beschrieben wird.
  2. Aktivieren Sie die SAML-basierte Authentifizierung, wie es SAML-basierte Authentifizierung aktivieren näher beschrieben wird.
  3. Optional, fragen Sie beim Signavio Kundensupport an, der für Sie das Erzwingen von SSO einrichtet.
  4. Hinweis

    Mit dem Erzwingen von SSO stellen Sie sicher, dass Nutzer sich nur über SSO einloggen können.

SSO für einen Identity Provider (IdP) konfigurieren

Der erste Schritt beim Einrichten von SSO über SAML besteht darin, es von der Seite des IdP aus zu konfigurieren.

Unabhängig von Ihrem IdP benötigen Sie bei der Konfiguration die entsprechenden XML-Metadaten des SPs (Signavio) - oder Teile davon:

Wenn Sie Hilfe benötigen, finden Sie hilfreiche Artikel in unserer Knowledge Base, falls wir uns bereits mit Ihrem spezifischen IdP befasst haben:

SAML-basierte Authentifizierung aktivieren

  1. Klicken Sie auf Setup > Collaboration Hub Authentifizierung.
  2. Wählen Sie aus dem Dropdown-Listenfeld SAML 2.0-basiert aus.

  3. Aktivieren Sie die Auswahlbox Aktiviere SAML 2.0 Authentifizierung. Wenn Sie diese Option wählen, werden Nutzer über IdP (IdP-initiiert) authentifiziert.
  4. Optional können Sie die Auswahlbox Service Provider initiierte Authentifizierung zulassen aktivieren. Wenn Sie diese Option wählen, werden Nutzer über den SP authentifiziert (SP-initiiert).
  5. Kopieren Sie die von Ihrem IdP bereitgestellten XML-Metadaten in das Feld XML-Metadaten.
  6. Optional können Sie eine Logout URL angeben. Nach einer erfolgreichen Abmeldung wird der Nutzer zu der Website weitergeleitet, die in diesem Feld definiert ist. Wenn keine URL angegeben ist, wird der Nutzer automatisch zur Signavio-Anmeldeseite weitergeleitet.
  7. Bestätigen Sie Ihre Auswahl mit Erstellen/Aktualisieren und schließen Sie das Dialogfenster.

Zugriffsrechte für Nutzer gewähren, die sich im Collaboration Hub anmelden

Hinweis

Dies gilt ausschließlich für Arbeitsbereiche, in denen die Auto-Provisionierungs-Funktion nicht angewendet wird. Mehr dazu in Abschnitt Auto-Provisionierung aktivieren.

Nach der Aktivierung der SAML-basierten Authentifizierung für Ihren Arbeitsbereich müssen Sie die Zugriffsrechte für Collaboration Hub-Nutzer konfigurieren.

  1. Klicken Sie auf Setup > Benutzer und Zugriffsrechte verwalten.
  2. Wechseln Sie zum Leseberechtigung-Tab. Dieser Tab ist ausschließlich verfügbar, wenn zuvor die SAML-basierte Authentifizierung aktiviert wurde.
Hinweis

Auf dem Tab Leseberechtigung können Sie eine Liste der Nutzer definieren, die auf bestimmte Ordner zugreifen dürfen. Wenn Sie keine Ordnerrechte festlegen und allen Nutzern des Collaboration Hub uneingeschränkten Zugriff gewähren möchten, aktivieren Sie die Auswahlbox Allgemeiner Lesezugriff für alle SAML Benutzer und schließen Sie das Dialogfenster.

  1. Um Ordnerrechte für einen oder mehrere Nutzer hinzuzufügen, wählen Sie den entsprechenden Ordner aus und geben Sie die Nutzerdaten im Eingabefeld im linken unteren Bereich des Dialogfensters an. Für jeden Nutzer muss der Eintrag der Struktur email_address first_name last_name folgen. Erstellen eine neue Zeile für jeden Nutzer, den Sie in die Liste aufnehmen.
  2. Klicken Sie auf Hinzufügen und schließen Sie das Dialogfenster.

Auto-Provisionierung aktivieren

Hinweis

Die Auto-Provisionierungs-Funktion ist derzeit ausschließlich auf Anfrage beim Signavio Kundensupport verfügbar.

Die Auto-Provisionierungs-Funktion stellt sicher, dass Nutzerkonten ohne Registrierung automatisch erstellt werden.

Zugriffsrechte für auto-provisionierte Nutzer können über Setup > Benutzer und Zugriffsrechte verwalten auf den Tab Benutzergruppen festgelegt werden. Auto-provisionierte Nutzer verfügen über die Rechte, die allen Standardgruppen gewährt werden. Diese Nutzer können später in andere Nutzergruppen aufgenommen werden, um ihnen einen umfangreicheren Zugriff zu gewähren.

Bei der Auto-Provisionierung von Nutzern von einem externen Nutzerverwaltungssystem über SAML werden außerdem deren Vor- und Nachnamen der SAML-Antwortattribute extrahiert. Aus diesen Informationen werden neue Nutzer erstellt, während vorhandene Nutzer bei der nächsten Anmeldung über SAML aktualisiert werden.

SAML Response-Attribute, die in Ihrer IdP-Konfiguration korrekt festgelegt werden müssen:

  1. email
  2. first_name
  3. last_name
  4. Name ID
Hinweis

Mit dem Erzwingen von SSO stellen Sie sicher, dass Nutzer sich nur über SSO einloggen können. Fragen Sie für das Erzwingen von SSO für Ihren Arbeitsbereich beim Signavio Kundensupport an.