- Onboarding-Zeit reduzieren
- Selbst Konfiguration und Mnagement aktivieren
- Alte proprietäre SSO ersetzen
- Vollständige SSO-Funktionen aktivieren
- Verbesserte Sicherheit und Compliance
SSO-Glossar
- Authentifizierungsaussagen erklären, dass und wann sich der in der Assertion angegebene Benutzer tatsächlich erfolgreich authentifiziert hat.
- Attribute Aussagen liefern Attributwerte, die sich auf den Benutzer beziehen. Das Attribut „NameID“ ist erforderlich und legt den Benutzernamen fest. Andere Attribute können jedoch auch manuell konfiguriert werden.
- Genehmigungsentscheidungs -Aussagen erklären, dass einem Antrag auf Gewährung des Zugriffs durch das Assertionssubjekts auf die angegebene Ressource stattgegeben oder abgelehnt wurde
Assertion Consumer Service (ACS): Der Endpunkt (URL) des Service Providers, der für den Empfang und das Parsing einer SAML-Assertion zuständig ist. Beachten Sie, dass einige Service Provider einen anderen Begriff für die ACS verwenden. In der SAML-Vorlage von Okta wird dies in das Feld Single Sign On URL eingetragen.
Attribute: Eine Reihe von Daten über einen Benutzer, wie z. B. Benutzername, Vorname, Id der Mitarbeiter, usw.
Adressatenkreis-Einschränkung: Ein Wert innerhalb der SAML-Assertion, der angibt, für wen (und nur für wen) die Assertion bestimmt ist. Die „Zielgruppe“ wird der Service Provider sein und ist in der Regel eine URL. Sie kann jedoch technisch gesehen als beliebige Datenfolge formatiert werden. Wenn dieser Wert nicht SP bereitgestellt wird, versuchen Sie die Verwendung des ACS
Standard-Relay-State: Die URL, an die Benutzer nach einer erfolgreichen Authentifizierung durch SAML weitergeleitet werden.
Endpunkt: Die URLs, die verwendet werden, wenn Service Provider und Identity Provider miteinander kommunizieren.
Entity ID: Ein weltweit einzigartiger Name für einen Identity Provider oder einen Service Provider. Für jede Anwendung wird eine eindeutige Okta-Entity-ID generiert, die in den Einrichtungsanweisungen der Okta-Anwendung als Identity Provider Emittent bezeichnet wird.
Identity Provider (IdP): Die Autorität, die die Identität eines Benutzers und den Zugriff auf eine angeforderte Ressource (der „Service Provider“) überprüft und bestätigt.
Metadaten: Eine Reihe von Informationen, die der IdP dem SP und/oder umgekehrt im XML-Format zur Verfügung stellt.
- Die vom SP bereitgestellten Metadaten enthalten in der Regel den ACS, die Audience Restriction, das NameID-Format und ein x.509-Zertifikat, wenn die Assertion verschlüsselt werden muss. Zurzeit können vom SP bereitgestellte Metadaten-Dateien nicht in Okta importiert werden.
- Die vom IdP bereitgestellten Metadaten enthalten die Single Sign On-URL, die Entity-ID und die x.509-Zertifikatsdatei, die der SP zur Entschlüsselung der Assertion benötigt.
NameID: Ein Attribut innerhalb der Assertion, das zur Angabe des Benutzernamens verwendet wird
Service Provider (SP): Die gehostete Ressource oder der Service, auf den der Benutzer zugreifen möchte, z. B. Box, Workday®, Salesforce, eine benutzerdefinierte Anwendung usw.
Single Sign On URL: Der Endpunkt, der für die Bearbeitung von SAML-Transaktionen zuständig ist. Im Bildschirm zur Einrichtung der SAML-Vorlage von Okta verweist die SSO-URL auf das ACS des Service Providers
Funktionsweise
- Öffnen Sie das Admin Center unter admin.walkme.com
- Gehen Sie unter „Security“ (Sicherheit) zu „Single Sign-On“.
- Klicken Sie auf „+ SSO Setup“ (+ SSO-Einrichtung).

- Geben Sie den SSO-Namen ein.
- Klicken Sie auf „Save & Next“ (Speichern und Weiter)

- Wählen Sie die IDP-Integrationsmethode:
- Die URL-
- Entity ID
- XML-Metadaten: Wenn Sie diese Methode wählen, können Sie die XML-Daten als Datei herunterladen

- Geben Sie die erforderlichen Details ein, um die SSO-Einrichtung abzuschließen:
- SAML SSO URL
- Identity Provider Issuer / Entity ID
- Public Certificate (Öffentliches Zertifikat)
- Wählen Sie die entsprechende Auftrags-Bindung
- HTTP-redirect
- HTTP-Port

- 💡 Profi-Tipp: Klicken Sie auf „Metadaten hochladen“, um alle relevanten Felder automatisch auszufüllen
- Wählen Sie die Benutzer aus, die der SSO zugewiesen werden sollen
- Sie können bestimmte Benutzer suchen und zuweisen oder „Alle auswählen“ nehmen
- Die Standard SSO ID ist die E-Mail, dies kann jedoch auf Wunsch geändert werden
- Verwenden Sie die Schaltfläche „SSO-Einrichtung testen“, um die SSO-Einrichtung zu überprüfen
- Klicken Sie auf „Sichern und Beenden“

Sobald die SSO-Verbindung erfolgreich hinzugefügt wurde, können Sie sie auf der Single Sign-On-Seite im Admin Center sehen.

SSO-Fehlerbehebung
Was verursacht SAML-Fehler?
SAML-Fehler treten in der Regel auf, wenn bei der SAML-Einrichtung fehlende oder falsche Informationen eingegeben wurden. Die meisten dieser Probleme können Sie über Ihre IDP-Einstellungen beheben, aber für einige müssen Sie auch Ihre SSO-Einstellungen in WalkMe aktualisieren.
SAML Fehlermeldungen
Fehlermeldung |
So beheben Sie sie |
Die SAML-Antwort enthält nicht den richtigen Identity Provider-Emittenten. Bitte überprüfen Sie, ob die Emittent-URL in Ihren [IDP]-Einstellungen mit dem unten aufgeführten Identity Provider-Emittenten übereinstimmt. |
SO-Konfiguration im Admin Center kopiert haben |
Die SAML-Antwort ist nicht signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. |
|
Die SAML-Antwort enthält nicht die richtige Zielgruppe. Bitte überprüfen Sie, ob die URL des Dervice Providers in Ihren [IDP]-Einstellungen mit dem Service Provider-Emittenten in den erweiterten Optionen unten übereinstimmt. |
|
Die Assertion der SAML-Antwort ist nicht signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. |
|
|
Aktualisieren Sie den Bestimmungsort in Ihrem IDP. Der Name des Wertes kann variieren, ist aber in der Regel einer der folgenden: Reply URL, ACS URL, Assertion Consumer Service URL, Trusted URL oder Endpoint URL. |
Der SAML-Antwort fehlt das ID-Attribut. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. |
Vergewissern Sie sich, dass Sie die NameID als Anspruch in Ihrem IDP im richtigen (persistenten) Format angeben. |
Weder die SAML-Antwort noch die Assertion der SAML-Antwort sind signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. |
Aktivieren Sie in Ihren IDP-Einstellungen das Signieren der Antwort, die Assertion der Antwort oder beides. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP. |
Die SAML-Antwort ist nicht signiert (obwohl es eine signierte und verschlüsselte Assertion mit einer entschlüsselten Id gibt). Es tut uns leid, aber WalkMe unterstützt dieses Format nicht. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. |
Wir unterstützen dieses Formats nicht. Aktivieren Sie das Unterschreiben der Antwort und vergewissern Sie sich, dass Sie die Richtlinien zur korrekten Einrichtung Ihres SSO befolgen. |
Die SAML-Antwort ist nicht Version 2.0. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. |
Vergewissern Sie sich, dass Sie SAML 2.0 in Ihrem IDP verwenden. |
Hmm, es sieht so aus, als wäre die Signaturprüfung fehlgeschlagen. Bitte überprüfen Sie die Unterschriftenzertifikate in Ihren [IDP]-Einstellungen. |
|