Single-Sign-On mit SAML

Sie benötigen ein Administratorkonto, um Single-Sign-On für einen Arbeitsbereich einzurichten.

Mit Process Manager Version 14.6 können Administratoren Single-Sign-On ohne Unterstützung durch den Signavio Support einrichten.

Wenn Sie SSO mit SAML bereits eingerichtet haben, müssen Sie in den nächsten Monaten die IdP- und die SP-Konfiguration aus Sicherheitsgründen aktualisieren. Signavio wird Sie darüber informieren, wie lange Sie Ihre vorhandene Konfiguration noch nutzen können.

Um die Konfiguration zu aktualisieren, führen Sie zunächst die Schritte in Abschnitt Den IdP konfigurieren aus. Danach müssen Sie die Option Neueste SAML 2.0-Funktionalität verwenden in den SSO-Einstellungen von Signavio aktivieren, wie in Abschnitt SSO mit SAML aktivieren beschrieben.

Single-Sign-On (SSO) ist eine Authentifizierungsmethode. Wenn SSO eingerichtet ist, müssen sich Nutzer nur einmal anmelden und können dann auf verschiedene Anwendungen zugreifen. Signavio unterstützt SSO-Authentifizierung mit der Security Assertion Markup Language (SAML) für die SaaS- und die On-Premises-Lösung.

SAML ist ein Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Dienstanbieter (Service-Provider, SP) und einem Identitätsanbieter (Identity-Provider, IdP). Signavio unterstützt IdP-initiierte Authentifizierung und SP-initiierte Authentifizierung.

Signavio agiert als SP und sagt zu, einem IdP zu vertrauen, um Nutzer zu authentifizieren. Wenn ein Nutzer auf Signavio zugreifen möchte, sendet Signavio eine Authentifizierungsanfrage an den IdP. Der Identitätsanbieter validiert den Nutzer und generiert eine Authentifizierungsbestätigung, die dem Nutzer erlaubt, sich mit den Signavio-Zugangsdaten im Arbeitsbereich anzumelden.

Just-in-Time-Provisioning

Wenn SSO mit SAML aktiviert ist, können Sie festlegen, dass für Nutzer, die zum ersten Mal auf Signavio zugreifen, automatisch ein Konto erstellt wird. Dies wird Just-in-Time-Provisioning (JIT-Provisioning) genannt und Nutzer müssen sich damit nicht selbst bei Signavio registrieren.

Damit JIT-Provisioning funktionieren kann, müssen die folgenden Bedingungen erfüllt sein:

  • Ein Nutzer muss erfolgreich vom IdP authentifiziert werden.
  • Die Antwort des IdP enthält alle obligatorischen Attribute. Mehr dazu finden Sie im Abschnitt Den IdP konfigurieren.
  • Mindestens 1 nicht zugewiesene Lizenz für Collaboration Hub ist verfügbar.

Bei aktiviertem JIT-Provisioning geschieht Folgendes:

  • Wenn sich ein Nutzer zum ersten Mal anmeldet, wird automatisch ein neues Konto erstellt.
  • Wenn sich ein Nutzer anmeldet, der bereits ein Signavio-Konto und eine IdP-Namens-ID besitzt, wird jede IdP-Änderung am Vor- oder Nachnamen sowie der E-Mail-Adresse automatisch in der Signavio-Benutzerverwaltung aktualisiert.

Die vom IdP gesendete Authentifizierungsbestätigung kann Informationen über Lizenzen und Zuordnungen zu Nutzergruppen enthalten, wobei Folgendes gilt:

  • Ein Nutzer erhält die Lizenz, die in der IdP-Antwort angegeben ist, vorausgesetzt, dass eine solche Lizenz im Arbeitsbereich verfügbar ist.
  • Ein Nutzer wird allen Gruppen zugeordnet, die in der IdP-Antwort angegeben sind, sofern diese Nutzergruppen im Arbeitsbereich existieren. Nutzergruppen, die nicht existieren, werden ignoriert.
  • Wenn ein Nutzer in Signavio einer Nutzergruppe zugeordnet ist, die nicht in der IdP-Antwort enthalten ist, wird der Nutzer aus dieser Gruppe entfernt.

Wenn JIT-Provisioning deaktiviert ist, können nur Nutzer auf den Arbeitsbereich zugreifen, die ein Nutzerkonto haben. Andere Nutzer erhalten eine Fehlermeldung. Mehr über die Verwaltung von Nutzergruppen lesen Sie im Abschnitt Nutzer und Gruppen verwalten.

SSO mit SAML einrichten

Um SSO mit SAML einzurichten, müssen Sie den IdP konfigurieren und SSO in Ihrem Arbeitsbereich aktivieren. Dann können Sie Nutzer einladen.

Alle diese Schritte werden in den folgenden Abschnitten ausführlich beschrieben.

Den IdP konfigurieren

Sie können alle IdPs von Drittanbietern konfigurieren, die SAML 2.0 unterstützen, zum Beispiel:

  • ADFS 2.0/3.0
  • Okta
  • OneLogin

Für die Konfiguration müssen der SP und der IdP Metadaten-Dateien austauschen.

Führen Sie folgende Schritte aus:

  1. Gehen Sie im Explorer zu Setup > Collaboration Hub Authentifizierung.

    Der Konfigurationsdialog öffnet sich.

  2. Wählen Sie SAML 2.0-basiert aus der Dropdown-Liste.

    Der Konfigurationsdialog öffnet sich.

  3. Laden Sie die Metadaten-Datei für den IdP herunter. Um das zu tun, klicken Sie im unteren Dialogbereich den Link SAML-Metadaten des Service Providers herunterladen.

  4. Laden Sie diese Datei auf Ihren IdP hoch oder konfigurieren Sie Ihren IdP manuell mit den Informationen aus der Datei.

  5. Setzen Sie in der IdP-Konfiguration die Attribute für die SAML-Antwort wie folgt:

    Attribut Pflichtangabe Beschreibung
    Name ID ja Das ist der primäre Identifikator, er muss eindeutig sein und ändert sich nicht. Verwenden Sie zum Beispiel die interne Mitarbeiter-ID.
    email ja E-Mail-Adresse des Nutzers
    first_name ja Vorname des Nutzers
    last_name ja Nachname des Nutzers
    signavio_licenses_v1 nein Name der Lizenz, die Sie einem Nutzer zuordnen möchten, zum Beispiel Enterprise Plus Edition.
    signavio_groups_v1 nein Die Namen der Gruppen, die Sie einem Nutzer zuordnen möchten.

    Die Konfiguration des IdP ist abgeschlossen. Sie können mit der Aktivierung von SSO für Ihren Arbeitsbereich fortfahren. Lesen Sie mehr im nächsten Abschnitt SSO mit SAML aktivieren.

SSO mit SAML aktivieren

Bevor Sie beginnen, benötigen Sie zur Konfiguration die Metadaten Ihres IdP. Lesen Sie mehr im vorherigen Abschnitt Den IdP konfigurieren.

Führen Sie folgende Schritte aus:

  1. Gehen Sie im Explorer zu Setup > Collaboration Hub Authentifizierung.

    Der Konfigurationsdialog öffnet sich.

  2. Wählen Sie SAML 2.0-basiert aus der Dropdown-Liste.

    Der Konfigurationsdialog öffnet sich.

  3. Um die IdP-initiierte Authentifizierung zu aktivieren, wählen Sie Aktiviere SAML 2.0 Authentifzierung.

    IdP-initiierte Authentifizierung bedeutet, dass ein Nutzer, der sich beim IdP anmeldet, Signavio auswählen muss, um zu Ihrem Arbeitsbereich umgeleitet und angemeldet zu werden.

  4. Bei der SP-initiierten Authentifizierung wird ein Nutzer, der von Signavio abgemeldet ist und versucht, auf Ihren Arbeitsbereich zuzugreifen, zum IdP umgeleitet wird, sich beim IdP anmelden muss, um dann zurück zu Signavio geleitet und angemeldet zu werden.

    Um zusätzlich die SP-initiierte Authentifizierung zu aktivieren, wählen Sie Vom Service Provider initiierte Authentifizierung zulassen.

  5. Für die vom SP initiierte Authentifizierung kann die erste vom SP an den IdP gesendete Anfrage mit einem Zertifikat signiert werden. Wenn die Authentifizierungsanfrage unterzeichnet ist, verfügt der IdP über zusätzliche Mittel, um zu überprüfen, ob die Anfrage vom SP gesendet wurde.

    Um das Signieren der Authentifizierungsanfrage zu aktivieren, wählen Sie Authentifizierungsanforderung signieren.

  6. Um die automatische Erstellung von Nutzerkonten mit SAML zu aktivieren, wählen Sie Neue Nutzerkonten automatisch erstellen.

  7. Wenn die Option deaktiviert ist, aktivieren Sie Neueste SAML 2.0-Funktionialität verwenden.

    Die neuesten SAML-2.0-Funktionen gewährleisten eine sichere Authentifizierung und bieten darüber hinaus zusätzliche Funktionen wie die Zuweisung von Nutzergruppen und Lizenzen bei der Erstellung und Pflege von Nutzerkonten.

    Wenn Sie SSO zum ersten Mal konfigurieren, ist diese Option standardmäßig aktiviert, und Sie müssen sie aktiviert lassen, um SSO erfolgreich für Ihren Arbeitsbereich zu aktivieren.

    Wenn Sie SSO bereits in einer Process Manager-Version vor 14.6 konfiguriert haben, müssen Sie Ihre IdP-Konfiguration zunächst wie im Abschnitt Den IdP konfigurieren beschrieben aktualisieren und erst dann die Option Neueste SAML 2.0-Funktionen verwenden manuell aktivieren.

    Der Einfachheit halber wird sie automatisch aktiviert, sobald ein IdP-initiiertes SSO unter Verwendung der aktualisierten IdP-Konfiguration erfolgreich ausgeführt wurde.

  8. Fügen Sie die von Ihrem IdP bereitgestellten Metadaten zur Konfiguration in das Feld Metadaten ein.

  9. Bestätigen Sie mit Einstellungen speichern und schließen Sie den Dialog.

Hinweis zu Links in Einladungs-E-Mails

Nutzer von Process Manager können Einladungs-E-Mails an interne und externe Stakeholder versenden.

Wenn Single Sign-On in Ihrem Arbeitsbereich aktiviert, aber nicht erzwungen ist, enthalten diese Einladungs-E-Mails 2 Weblinks:

  • Zugang via Single-Sign-On (Firmen-Account erforderlich)

    Es gilt Folgendes:

    • Nutzer, die in ihrem Firmensystem eingeloggt sind, werden direkt zu Collaboration Hub geleitet.

    • Abgemeldete Nutzer müssen ihre Firmenanmeldedaten eingeben, um sich anzumelden.

    • Neue Nutzer müssen sich mit ihrer Firmen-E-Mail registrieren und erhalten ein Signavio-Konto.

  • Gastzugang (Sie werden gebeten, sich mit Ihrem Namen und Ihrer E-Mail-Adresse zu registrieren)

    Es gilt Folgendes:

    • Nutzer mit einem Gastkonto melden sich mit ihren Gastkonto-Anmeldedaten an.

    • Neue Nutzer müssen sich registrieren.

Lesen Sie mehr über die Einladungsfunktionen von Process Manager im Abschnitt Stakeholder zum Kommentieren der Diagramme einladen.

Neue Nutzer per E-Mail einladen

Wenn die SP-initiierte Authentifizierung und JIT-Provisioning aktiviert ist, können Sie Nutzer zu Ihrem Arbeitsbereich einladen, indem Sie ihnen eine E-Mail senden.

Führen Sie folgende Schritte aus:

  1. Kopieren Sie den Link zum Arbeitsbereich:

    • Teilen Sie einen Link zu einem beliebigen Inhalt innerhalb Ihres Arbeitsbereichs, zum Beispiel durch Kopieren der URL aus der Adressleiste Ihres Browsers.

    • Erstellen Sie einen Link zum Arbeitsbereich, indem Sie die Arbeitsbereich-ID als URL-Parameter hinzufügen, zum Beispiel https://editor.signavio.com/p/hub?t=<WORKSPACE_ID>

  2. Fügen Sie den Link in eine E-Mail ein und senden Sie sie an die Nutzer, die Sie über SSO und SAML anmelden möchten.

SSO erzwingen, um die Anmeldung mit Anmeldedaten zu deaktivieren

Wenn SSO für Ihren Arbeitsbereich erzwungen wird, können sich Nutzer nicht mit ihren Signavio-Zugangsdaten anmelden. Alle Nutzer müssen sich über den IdP anmelden.

Wenn die SP-initiierte Authentifizierung aktiviert ist, werden Nutzer angemeldet, wenn sie auf einen Link zu einem beliebigen Inhalt innerhalb Ihres Arbeitsbereichs klicken, zum Beispiel auf ein veröffentlichtes Diagramm in Collaboration Hub, oder auf einen Link, der die ID des Arbeitsbereichs als URL-Parameter enthält.

Wenn SSO für Ihren Arbeitsbereich konfiguriert aber nicht erzwungen haben, gilt Folgendes:

  • Nutzer können sich über den IdP anmelden.
  • Nutzer können sich anmelden, indem sie ihre Kombination aus E-Mail und Passwort auf der Anmeldeseite von Signavio eingeben.
  • Wenn die SP-initiierte Authentifizierung aktiviert ist, wird ein abgemeldeter Nutzer beim Versuch, auf den Arbeitsbereich zuzugreifen, immer zum IdP umgeleitet.

Wenn Sie SSO erzwingen, stellen Sie sicher, dass das Anmelden über SSO funktioniert, bevor Sie sich von Ihrem Arbeitsbereich abmelden. Andernfalls können alle Nutzer, auch Sie, nicht auf den Arbeitsbereich zugreifen. Um die SSO-Konfiguration zu testen, nutzen Sie ein zweites Nutzerkonto, um sich ab- und wieder anzumelden.

Bei Problemen wenden Sie sich bitte an den Signavio Support, dieser kann die Option für Sie deaktivieren.

Um SSO zu erzwingen, führen Sie folgende Schritte aus:

  1. Klicken Sie im Explorer auf Setup > Sicherheitseinstellungen vornehmen.

    Der Konfigurationsdialog öffnet sich.

  2. Aktivieren Sie im Abschnitt Passwort-Richtlinien die Option SSO-Anmeldung erzwingen.

  3. Bestätigen Sie mit Speichern.

Nächste Schritte

Zugriffsrechte verwalten

Sicherheitseinstellungen konfigurieren