Willkommen beim hilfezentrum von WalkMe

Please login in order to continue:

Work flows better with WalkMe
Work flows better with WalkMe.

Single Sign-On (SSO) – Einmalanmeldung

Last Updated September 26, 2024

Kurzübersicht

Die Single Sign-On-Seite im Admin Center bietet ein unternehmensgerechtes Self Served SSO Konfigurationsmanagement, auf Grundlage der neuen Authentifizierungsinfrastruktur.

Anwendungsfälle

  • Onboarding-Zeit reduzieren
  • Selbst Konfiguration und Mnagement aktivieren
  • Alte proprietäre SSO ersetzen
  • Vollständige SSO-Funktionen aktivieren
  • Verbesserte Sicherheit und Compliance

SSO-Glossar

Behauptung

Vom IdP bereitgestellte Daten, die einem Dienstanbieter eine oder mehrere der folgenden Aussagen bereitstellen:

  • Authentifizierungsaussagen erklären, dass und wann sich der in der Assertion angegebene Benutzer tatsächlich erfolgreich authentifiziert hat.
  • Attribute Aussagen liefern Attributwerte, die sich auf den Benutzer beziehen. Das Attribut „NameID“ ist erforderlich und legt den Benutzernamen fest. Andere Attribute können jedoch auch manuell konfiguriert werden.
  • Genehmigungsentscheidungs -Aussagen erklären, dass einem Antrag auf Gewährung des Zugriffs durch das Assertionssubjekts auf die angegebene Ressource stattgegeben oder abgelehnt wurde

Assertion-Consumer-Dienst (ACS)

Der Endpunkt (URL) des Dienstanbieters, der für den Empfang und das Parsen einer SAML-Behauptung verantwortlich ist. Beachten Sie, dass einige Service Provider einen anderen Begriff für die ACS verwenden. In der SAML-Vorlage von Okta wird dies in das Feld Single Sign On URL eingetragen.

Attribut

Ein Satz von Daten über einen Benutzer, wie Benutzername, Vorname, Mitarbeiter-ID usw.

Zielgruppeneinschränkung

Ein Wert innerhalb der SAML-Assertion, der angibt, für wen (und nur für wen) die Assertion bestimmt ist. Die „Zielgruppe“ wird der Service Provider sein und ist in der Regel eine URL. Sie kann jedoch technisch gesehen als beliebige Datenfolge formatiert werden. Wenn dieser Wert nicht SP bereitgestellt wird, versuchen Sie die Verwendung des ACS

Standard-Relay-Zustand

Die URL, zu der die Benutzer nach einer erfolgreichen Authentifizierung über SAML weitergeleitet werden.

Endpunkt

Die URLs, die verwendet werden, wenn Dienstanbieter und Identitätsanbieter miteinander kommunizieren.

Entity ID

Ein global eindeutiger Name für einen Identitätsanbieter oder einen Dienstanbieter. Für jede Anwendung wird eine eindeutige Okta-Entity-ID generiert, die in den Einrichtungsanweisungen der Okta-Anwendung als Identity Provider Emittent bezeichnet wird.

Identitätsanbieter (IdP)

Die Autorität, die die Identität eines Benutzers und den Zugriff auf eine angeforderte Ressource überprüft und durchsetzt (der „Dienstanbieter“)

Metadaten

Ein Satz von Informationen, die dem SP vom IdP und/oder umgekehrt im XML-Format bereitgestellt werden.

  • Die vom SP bereitgestellten Metadaten enthalten in der Regel den ACS, die Audience Restriction, das NameID-Format und ein x.509-Zertifikat, wenn die Assertion verschlüsselt werden muss. Zurzeit können vom SP bereitgestellte Metadaten-Dateien nicht in Okta importiert werden.
  • Die vom IdP bereitgestellten Metadaten enthalten die Single Sign On-URL, die Entity-ID und die x.509-Zertifikatsdatei, die der SP zur Entschlüsselung der Assertion benötigt.

NameID

Ein Attribut innerhalb der Assertion, die zur Angabe des Benutzernamens verwendet wird

Service Provider (SP)

Die gehostete Ressource oder den Dienst, auf den der Benutzer zugreifen möchte, wie Box, Workday®, Salesforce, eine benutzerdefinierte Anwendung usw.

Single Sign On-URL

Der Endpunkt, der für die Verarbeitung von SAML-Transaktionen gewidmet ist. Im Bildschirm zur Einrichtung der SAML-Vorlage von Okta verweist die SSO-URL auf das ACS des Service Providers

Funktionsweise

  1. Öffnen Sie das Admin Center unter admin.walkme.com
  2. Gehen Sie zur Seite Security und dann zu Single Sign-On
  3. Klicken Sie auf die Schaltfläche + SSO Setup
  4. Geben Sie den Namen des SSO ein
  5. Klicken Sie auf Save & Next
  6. Wählen Sie die IDP-Integrationsmethode:
    • Die URL-
    • Entity ID
    • XML Metadata – Wenn Sie diese Methode wählen, können Sie die XML-Daten als Datei herunterladen
  7. Geben Sie die erforderlichen Details ein, um die SSO-Einrichtung abzuschließen:
    • SAML SSO URL
    • Identity Provider Issuer / Entity ID
    • Public Certificate (Öffentliches Zertifikat)
  8. Wählen Sie die entsprechende Auftrags-Bindung
    • HTTP-redirect
    • HTTP-Port
    • 💡 Tipp: Klicken Sie auf Upload Metadata, um alle relevanten Felder automatisch auszufüllen
  9. Wählen Sie die Benutzer aus, die der SSO zugewiesen werden sollen
    • Sie können bestimmte Benutzer suchen und zuweisen oder mit Select All alle auswählen
    • Die Standard SSO ID ist die E-Mail, dies kann jedoch auf Wunsch geändert werden
    • Verwenden Sie die Schaltfläche Test SSO Setup, um die SSO-Einrichtung zu überprüfen
  10. Klicken Sie auf Save & Finish

Sobald die SSO-Verbindung erfolgreich hinzugefügt wurde, können Sie sie auf der Single Sign-On-Seite im Admin Center sehen.

Weitere Informationen zur Konfiguration von SSO für Azure AD finden Sie im folgenden Artikel: Microsoft Tutorial

SSO Certificate

Anmerkung

  • WalkMe wechselt zu einer neuen SSO-Lösung, die von Okta, dem führenden Unternehmen in der Identitätsverwaltung, bereitgestellt wird. Sie bietet eine höhere Verfügbarkeit, Leistung und bessere Überwachungs- und Protokollierungsfunktionen.
  • Wenn Ihr Konto derzeit bei der Legacy SSO von WalkMe registriert ist, wenden Sie sich bitte an die Person, die Ihr Single Sign-On intern verwaltet (in der vom Regel Identitäts- und Zugriffsmanagement oder IT-Team) und lassen Sie sie den folgenden Prozess befolgen.
  • Diese Personen haben die Informationen, die zur Konfiguration von SSO ausgefüllt werden müssen.

  1. Erstellen Sie eine neue SSO-Verbindung nach den oben genannten Schritten.
  2. Im 3. Schritt müssen Sie das neue Zertifikat hochladen und dann die Einrichtung abschließen.
  3. Nach der Erstellung der neuen SSO-Verbindung sollten alle relevanten Links, die das alte SSO verwenden, in die neue geändert werden, die in der Einrichtung erstellt wurde.

So aktualisieren Sie das SSO-Zertifikat

  1. Gehen Sie zu https://admin.walkme.com/security
  2. Klicken Sie, um den Abschnitt Single Sign On zu erweitern
  3. Klicken Sie auf Bearbeiten bei der SSO-Integration, die ein neues Zertifikat benötigt
  4. Aktualisierte Zertifizierung zum Abschnitt IDP-Verbindung hinzufügen
  5. Klicken Sie auf Save

SSO-Fehlerbehebung

Was verursacht SAML-Fehler?

SAML-Fehler treten in der Regel auf, wenn bei der SAML-Einrichtung fehlende oder falsche Informationen eingegeben wurden. Die meisten dieser Probleme können Sie über Ihre IDP-Einstellungen beheben, aber für einige müssen Sie auch Ihre SSO-Einstellungen in WalkMe aktualisieren.

SAML-Fehlermeldungen

Fehlermeldung So beheben Sie sie
Die SAML-Antwort enthält nicht den richtigen Identity Provider-Emittenten. Bitte überprüfen Sie, ob die Emittent-URL in Ihren [IDP]-Einstellungen mit dem unten aufgeführten Identity Provider-Emittenten übereinstimmt. Überprüfen Sie Ihre IDP-Einstellungen, um sicherzustellen, dass Sie den richtigen Wert in Ihre SSO-Konfiguration im Admin Center kopiert haben. Der Emittentenwert in einem IDP wird üblicherweise als eine Aussteller-URL oder Entity URL/ID .
Die SAML-Antwort ist nicht signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Signaturantworten aktivierenin Ihren IDP-Einstellungen. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort enthält nicht die richtige Zielgruppe. Bitte überprüfen Sie, ob die URL des Dervice Providers in Ihren [IDP]-Einstellungen mit dem Service Provider-Emittenten in den erweiterten Optionen unten übereinstimmt. Stellen Sie sicher, dass der Service Provider Issuer mit der Zielgruppe übereinstimmt.in Ihren IDP-Einstellungen. Auf derZielgruppe kann auch SP-Entity-ID oder Relying Party Identifier genannt werden.
Die Assertion der SAML-Antwort ist nicht signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Signaturbestätigungen von Antworten aktivierenin Ihren IDP-Einstellungen. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort enthält nicht den richtigen Bestimmungsort, der etwa so aussehen soll: https://auth.walkme.com/sso/saml2. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktualisieren Sie den Bestimmungsort in Ihrem IDP. Der Name des Wertes kann variieren, ist aber in der Regel einer der folgenden: Reply URL, ACS URL, Assertion Consumer Service URL, Trusted URL oder Endpoint URL.
Der SAML-Antwort fehlt das ID-Attribut. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Vergewissern Sie sich, dass Sie die NameID als Anspruch in Ihrem IDP im richtigen (persistenten) Format angeben.
Weder die SAML-Antwort noch die Assertion der SAML-Antwort sind signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktivieren Sie in Ihren IDP-Einstellungen das Signieren der Antwort, die Assertion der Antwort oder beides. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort ist nicht signiert (obwohl es eine signierte und verschlüsselte Assertion mit einer entschlüsselten Id gibt). Es tut uns leid, aber WalkMe unterstützt dieses Format nicht. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Wir unterstützen dieses Formats nicht. Aktivieren Sie das Unterschreiben der Antwort und vergewissern Sie sich, dass Sie die Richtlinien zur korrekten Einrichtung Ihres SSO befolgen.
Die SAML-Antwort ist nicht Version 2.0. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Vergewissern Sie sich, dass Sie SAML 2.0 in Ihrem IDP verwenden.
Hmm, es sieht so aus, als wäre die Signaturprüfung fehlgeschlagen. Bitte überprüfen Sie die Unterschriftenzertifikate in Ihren [IDP]-Einstellungen. Aktualisieren Sie das Zertifikat in Ihrer SSO-Konfiguration im Admin Center, um es mit dem von Ihrem IDP gesendeten Zertifikat zu vergleichen.

Häufige Fehler

  1. Fügen Sie eine Kachel zu ihrem IDP-Dashboard hinzu und versuchen Sie, von dort aus auf WalkMe zuzugreifen.
    • Dies gilt als IDP-initiiert, was von WalkMe nicht unterstützt wird.
    • Lösung: Entfernen Sie die WalkMe-Kachel und verwenden Sie die SP-initiierte Anmeldung. Das bedeutet, dass die Benutzer zu einer WalkMe-Website gehen und ihre E-Mail-Adresse eingeben müssen, dann erkennt WalkMe den Benutzer automatisch und meldet sich über SSO an.
  2. Fügen Sie dem Setup einen Relay-Zustand hinzu.
    • Lösung: Entfernen Sie den Relay-Status und versuchen Sie es erneut. WalkMe benötigt keinen Relay-Zustand.

War dies hilfreich?

Vielen Dank für Ihr Feedback!

Be part of something bigger.

Engage with peers, ask questions, share ideas

Ask the Community
×