Single Sign-On (SSO) – Einmalanmeldung

Last Updated Januar 29, 2022 Download as PDF
image_pdf

Kurzübersicht

Die Single Sign-On-Seite im Admin Center bietet ein unternehmensgerechtes Self Served SSO Konfigurationsmanagement, auf Grundlage der neuen Authentifizierungsinfrastruktur.

Anwendungsfälle

  • Onboarding-Zeit reduzieren
  • Selbst Konfiguration und Mnagement aktivieren
  • Alte proprietäre SSO ersetzen
  • Vollständige SSO-Funktionen aktivieren
  • Verbesserte Sicherheit und Compliance

SSO-Glossar

Assertion :Vom IdP bereitgestellte Daten, die eine oder mehrere der folgenden Angaben enthalten Erklärungen an einen Service Provider:

  • Authentifizierungsaussagen erklären, dass und wann sich der in der Assertion angegebene Benutzer tatsächlich erfolgreich authentifiziert hat.
  • Attribute Aussagen liefern Attributwerte, die sich auf den Benutzer beziehen. Das Attribut „NameID“ ist erforderlich und legt den Benutzernamen fest. Andere Attribute können jedoch auch manuell konfiguriert werden.
  • Genehmigungsentscheidungs -Aussagen erklären, dass einem Antrag auf Gewährung des Zugriffs durch das Assertionssubjekts auf die angegebene Ressource stattgegeben oder abgelehnt wurde

Assertion Consumer Service (ACS): Der Endpunkt (URL) des Service Providers, der für den Empfang und das Parsing einer SAML-Assertion zuständig ist. Beachten Sie, dass einige Service Provider einen anderen Begriff für die ACS verwenden. In der SAML-Vorlage von Okta wird dies in das Feld Single Sign On URL eingetragen.

Attribute: Eine Reihe von Daten über einen Benutzer, wie z. B. Benutzername, Vorname, Id der Mitarbeiter, usw.

Adressatenkreis-Einschränkung: Ein Wert innerhalb der SAML-Assertion, der angibt, für wen (und nur für wen) die Assertion bestimmt ist. Die „Zielgruppe“ wird der Service Provider sein und ist in der Regel eine URL. Sie kann jedoch technisch gesehen als beliebige Datenfolge formatiert werden. Wenn dieser Wert nicht SP bereitgestellt wird, versuchen Sie die Verwendung des ACS

Standard-Relay-State: Die URL, an die Benutzer nach einer erfolgreichen Authentifizierung durch SAML weitergeleitet werden.

Endpunkt: Die URLs, die verwendet werden, wenn Service Provider und Identity Provider miteinander kommunizieren.

Entity ID: Ein weltweit einzigartiger Name für einen Identity Provider oder einen Service Provider. Für jede Anwendung wird eine eindeutige Okta-Entity-ID generiert, die in den Einrichtungsanweisungen der Okta-Anwendung als Identity Provider Emittent bezeichnet wird.

Identity Provider (IdP): Die Autorität, die die Identität eines Benutzers und den Zugriff auf eine angeforderte Ressource (der „Service Provider“) überprüft und bestätigt.

Metadaten: Eine Reihe von Informationen, die der IdP dem SP und/oder umgekehrt im XML-Format zur Verfügung stellt.

  • Die vom SP bereitgestellten Metadaten enthalten in der Regel den ACS, die Audience Restriction, das NameID-Format und ein x.509-Zertifikat, wenn die Assertion verschlüsselt werden muss. Zurzeit können vom SP bereitgestellte Metadaten-Dateien nicht in Okta importiert werden.
  • Die vom IdP bereitgestellten Metadaten enthalten die Single Sign On-URL, die Entity-ID und die x.509-Zertifikatsdatei, die der SP zur Entschlüsselung der Assertion benötigt.

NameID: Ein Attribut innerhalb der Assertion, das zur Angabe des Benutzernamens verwendet wird

Service Provider (SP): Die gehostete Ressource oder der Service, auf den der Benutzer zugreifen möchte, z. B. Box, Workday®, Salesforce, eine benutzerdefinierte Anwendung usw.

Single Sign On URL: Der Endpunkt, der für die Bearbeitung von SAML-Transaktionen zuständig ist. Im Bildschirm zur Einrichtung der SAML-Vorlage von Okta verweist die SSO-URL auf das ACS des Service Providers

Funktionsweise

  1. Öffnen Sie das Admin Center unter admin.walkme.com
  2. Gehen Sie unter „Security“ (Sicherheit) zu „Single Sign-On“.
  3. Klicken Sie auf „+ SSO Setup“ (+ SSO-Einrichtung).
  4. Geben Sie den SSO-Namen ein.
  5. Klicken Sie auf „Save & Next“ (Speichern und Weiter)
  6. Wählen Sie die IDP-Integrationsmethode:
    • Die URL-
    • Entity ID
    • XML-Metadaten: Wenn Sie diese Methode wählen, können Sie die XML-Daten als Datei herunterladen
  7. Geben Sie die erforderlichen Details ein, um die SSO-Einrichtung abzuschließen:
    • SAML SSO URL
    • Identity Provider Issuer / Entity ID
    • Public Certificate (Öffentliches Zertifikat)
  8. Wählen Sie die entsprechende Auftrags-Bindung
    • HTTP-redirect
    • HTTP-Port
    • 💡 Profi-Tipp: Klicken Sie auf „Metadaten hochladen“, um alle relevanten Felder automatisch auszufüllen
  9. Wählen Sie die Benutzer aus, die der SSO zugewiesen werden sollen
    • Sie können bestimmte Benutzer suchen und zuweisen oder „Alle auswählen“ nehmen
    • Die Standard SSO ID ist die E-Mail, dies kann jedoch auf Wunsch geändert werden
    • Verwenden Sie die Schaltfläche „SSO-Einrichtung testen“, um die SSO-Einrichtung zu überprüfen
  10. Klicken Sie auf „Sichern und Beenden“

Sobald die SSO-Verbindung erfolgreich hinzugefügt wurde, können Sie sie auf der Single Sign-On-Seite im Admin Center sehen.

SSO-Fehlerbehebung

Was verursacht SAML-Fehler?

SAML-Fehler treten in der Regel auf, wenn bei der SAML-Einrichtung fehlende oder falsche Informationen eingegeben wurden. Die meisten dieser Probleme können Sie über Ihre IDP-Einstellungen beheben, aber für einige müssen Sie auch Ihre SSO-Einstellungen in WalkMe aktualisieren.

SAML Fehlermeldungen

Fehlermeldung So beheben Sie sie
Die SAML-Antwort enthält nicht den richtigen Identity Provider-Emittenten. Bitte überprüfen Sie, ob die Emittent-URL in Ihren [IDP]-Einstellungen mit dem unten aufgeführten Identity Provider-Emittenten übereinstimmt. Überprüfen Sie Ihre IDP-Einstellungen, um sicherzustellen, dass Sie den richtigen Wert in Ihre SSO-Konfiguration im Admin Center kopiert haben. Der Emittentenwert in einem IDP wird üblicherweise als eine Emittenten-URL oder Entity URL/ID bezeichnet.
Die SAML-Antwort ist nicht signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktivieren Sie „Antworten unterschreiben“ in Ihren IDP-Einstellungen. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort enthält nicht die richtige Zielgruppe. Bitte überprüfen Sie, ob die URL des Dervice Providers in Ihren [IDP]-Einstellungen mit dem Service Provider-Emittenten in den erweiterten Optionen unten übereinstimmt. Vergewissern Sie sich, dass der Service Provider-Emittent mit der Zielgruppe in Ihren IDP-Einstellungen übereinstimmt. Auf der in Ihren IDP-Einstellungen wird möglicherweise auch als SP Entity ID oder Relying Party Identifier bezeichnet.
Die Assertion der SAML-Antwort ist nicht signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktivieren Sie „Assertionen über Antworten unterschreiben“ in Ihren IDP-Einstellungen. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort enthält nicht den richtigen Bestimmungsort, der etwa so aussehen soll: https://auth.walkme.com/sso/saml2. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktualisieren Sie den Bestimmungsort in Ihrem IDP. Der Name des Wertes kann variieren, ist aber in der Regel einer der folgenden: Reply URL, ACS URL, Assertion Consumer Service URL, Trusted URL oder Endpoint URL.
Der SAML-Antwort fehlt das ID-Attribut. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Vergewissern Sie sich, dass Sie die NameID als Anspruch in Ihrem IDP im richtigen (persistenten) Format angeben.
Weder die SAML-Antwort noch die Assertion der SAML-Antwort sind signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktivieren Sie in Ihren IDP-Einstellungen das Signieren der Antwort, die Assertion der Antwort oder beides. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort ist nicht signiert (obwohl es eine signierte und verschlüsselte Assertion mit einer entschlüsselten Id gibt). Es tut uns leid, aber WalkMe unterstützt dieses Format nicht. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Wir unterstützen dieses Formats nicht. Aktivieren Sie das Unterschreiben der Antwort und vergewissern Sie sich, dass Sie die Richtlinien zur korrekten Einrichtung Ihres SSO befolgen.
Die SAML-Antwort ist nicht Version 2.0. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Vergewissern Sie sich, dass Sie SAML 2.0 in Ihrem IDP verwenden.
Hmm, es sieht so aus, als wäre die Signaturprüfung fehlgeschlagen. Bitte überprüfen Sie die Unterschriftenzertifikate in Ihren [IDP]-Einstellungen. Aktualisieren Sie das Zertifikat in Ihrer SSO-Konfiguration im Admin Center , damit es dem von Ihrem IDP gesendeten Zertifikat entspricht.

War dies hilfreich?

Vielen Dank für Ihr Feedback!
×
“”

Wählen Sie Kontotyp

Nah dran
< Zurück

Partnerkonto-Login

< Zurück