Zugriff

So greifen Sie auf das Admin-Center in der Konsole zu:

1. Öffnen Sie die WalkMe-Konsole
   • US-Rechenzentrum
   • EU-Datenzentrum
   • SAP US Data Center
   • SAP EU Data Center
   • FedRAMP-Rechenzentrum
   • Kanada-Rechenzentrum
2. Admin auswählen

Funktionsweise

1. Öffnen Sie das Admin Center.
2. Wechseln Sie zur Seite „Security“ (Sicherheit)
3. Single Sign-On erweitern
   
4. Wählen Sie + SSO-Einrichtung
   
5. Geben Sie den Namen des SSO ein
6. Wählen Sie Speichern & Weiter aus
7. Wählen Sie die IDP-Integrationsmethode:
   • Die URL-
   • Entity ID
   • XML Metadata – Wenn Sie diese Methode wählen, können Sie die XML-Daten als Datei herunterladen
8. Geben Sie die erforderlichen Details ein, um die SSO-Einrichtung abzuschließen:
   • SAML SSO URL
   • Identity Provider Issuer / Entity ID
   • Public Certificate (Öffentliches Zertifikat)
9. Wählen Sie die entsprechende Auftrags-Bindung
   • HTTP-redirect
   • HTTP-Port
   • 💡 Tipp: Wählen Sie Metadaten hochladen aus, um alle relevanten Felder automatisch auszufüllen
     
10. Benutzer dem SSO zuweisen
    • Sie können bestimmte Benutzer suchen und zuweisen oder mit Select All alle auswählen
    • Die Standard SSO ID ist die E-Mail, dies kann jedoch auf Wunsch geändert werden
    • Verwenden Sie die Schaltfläche Test SSO Setup, um die SSO-Einrichtung zu überprüfen
11. Wählen Sie Speichern & Fertigstellen aus

Sobald die SSO-Verbindung erfolgreich hinzugefügt wurde, können Sie sie in den Einstellungen für Single Sign-On im Admin Center sehen.

Weitere Informationen zur Konfiguration von SSO für Azure AD finden Sie im folgenden Artikel: Microsoft Tutorial

SSO-Zertifikat aktualisieren

Wenn Sie eine vorhandene Zertifizierung für Ihre IDP-Verbindung aktualisieren müssen:

SSO-Glossar

Verstehen Sie die Kernkomponenten des SAML-Authentifizierungsprozesses:

• Assertion
  • Vom IdP bereitgestellte Daten, die Aussagen an einen Dienstanbieter liefern
  • Authentifizierungsaussagen: Überprüfen Sie, ob der Benutzer erfolgreich authentifiziert wurde und geben Sie einen Zeitstempel an.
  • Attributaussagen: Geben Sie Benutzerwerte an; das Attribut NameID ist erforderlich, um den Benutzernamen anzugeben.
  • Autorisierungsentscheidungserklärungen: Erklären Sie, ob eine Anfrage auf Zugriff auf eine Ressource genehmigt oder abgelehnt wird
• Assertion-Consumer-Dienst (ACS)
  • Der Endpunkt (URL) des Dienstanbieters, der für den Empfang und die Analyse einer SAML-Assertion verantwortlich ist
  • In bestimmten Konfigurationen wird dies in das Feld Single Sign-On URL eingegeben
• Attribut
  • Eine Reihe von Daten über einen Benutzer, wie Benutzername, Vorname oder Mitarbeiter-ID
• Zielgruppenbeschränkung
  • Ein Wert innerhalb der SAML-Assertion, der den beabsichtigten Empfänger (den Dienstanbieter) angibt
  • Dies ist in der Regel eine URL; wenn sie vom SP nicht bereitgestellt wird, verwenden Sie den ACS
• Standard-Relay-Zustand
  • Die URL, zu der Benutzer nach erfolgreicher SAML-Authentifizierung weitergeleitet werden
• Endpunkt
  • Die URLs, die für die Kommunikation zwischen Dienstanbietern und Identitätsanbietern verwendet werden
• Entity ID
  • Ein global eindeutiger Name für einen Identitätsanbieter oder Dienstanbieter
  • In Einrichtungsanweisungen wird dies oft als Identitätsanbieter-Herausgeber bezeichnet.
• Identity Provider (IdP)
  • Die Instanz, die die Benutzeridentität überprüft und den Zugriff auf den Dienstanbieter bestätigt
• Metadaten
  • Informationen zwischen dem IdP und dem SP im XML-Format ausgetauscht
  • SP-Metadaten: Bieten das ACS-, Zielgruppenbeschränkungs- und NameID-Format
  • IdP-Metadaten: Bietet die Single Sign-On-URL, die Entitäts-ID und das Zertifikat, die zur Entschlüsselung von Assertionen erforderlich sind.
• NameID
  • Das spezifische Attribut innerhalb einer Assertion, das zur Definition des Benutzernamens verwendet wird
• Service Provider (SP)
  • Die gehostete Ressource oder der Dienst, auf den der Benutzer zugreifen möchte (z. B. WalkMe, Salesforce oder Workday®)
• Single Sign On-URL
  • Der Endpunkt für die Verarbeitung von SAML-Transaktionen

Fehlerbehebung bei SAML-Fehlern

Fehler treten in der Regel aufgrund fehlender oder falscher Informationen in der SAML-Einrichtung auf. Lesen Sie die folgenden häufigen Fehlermeldungen, um Konfigurationsunstimmigkeiten zu beheben.

SAML-Fehlermeldungen

• Die SAML-Antwort enthält nicht den richtigen Identity Provider-Emittenten.
  • Stellen Sie sicher, dass die Issuer-URL in Ihren IdP-Einstellungen mit dem Identity Provider Issuer im Admin Center übereinstimmt
• Diese Werte werden oft als Herausgeber-URL oder Entitäts-URL/ID gekennzeichnet
  • Die SAML-Antwort ist nicht signiert.
• Aktivieren Sie das Signieren von Antworten in Ihren IdP-Einstellungen
  • Die SAML-Antwort enthält nicht die richtige Zielgruppe.
• Überprüfen Sie, ob der Service-Provider-Emittent mit der Zielgruppe in Ihren IdP-Einstellungen übereinstimmt.
  • Dies kann als SP Entity ID oder Relying Party Identifier gekennzeichnet werden
• Der SAML-Antwort fehlt das ID-Attribut.
  • Stellen Sie sicher, dass die NameID als Anspruch im dauerhaften Format gesendet wird.
• Signaturvalidierung fehlgeschlagen
  • Aktualisieren Sie das Zertifikat im Admin Center, damit es mit dem von Ihrem IdP gesendeten Zertifikat übereinstimmt

Häufige Konfigurationsprobleme

• IDP-initiierte Anmeldeversuche
  • WalkMe unterstützt keine IDP-initiierte Anmeldung (Auswahl einer Kachel aus einem IdP-Dashboard)
  • Lösung: Verwenden Sie eine SP-initiierte Anmeldung, indem Sie die Benutzer ihre E-Mail-Adresse auf einer WalkMe-Website eingeben lassen, um den SSO-Ablauf auszulösen
• Relay-Statusfehler
  • WalkMe erfordert keinen Relay-Status
  • Lösung: Entfernen Sie den Relay-Status aus Ihrer IdP-Konfiguration