< Zurück
Support
Welcome to WalkMe support

Please login in order to continue:

Reset password Reset EU password
Work flows better with WalkMe
Work flows better with WalkMe.
Suchen Sie nach irgendetwas

Single Sign-On (SSO) – Einmalanmeldung

Last Updated März 28, 2024
image_pdfDownload as PDF

Kurzübersicht

Die Single Sign-On-Seite im Admin Center bietet ein unternehmensgerechtes Self Served SSO Konfigurationsmanagement, auf Grundlage der neuen Authentifizierungsinfrastruktur.

Anwendungsfälle

  • Onboarding-Zeit reduzieren
  • Selbst Konfiguration und Mnagement aktivieren
  • Alte proprietäre SSO ersetzen
  • Vollständige SSO-Funktionen aktivieren
  • Verbesserte Sicherheit und Compliance

SSO-Glossar

Assertion :Vom IdP bereitgestellte Daten, die eine oder mehrere der folgenden Angaben enthalten Erklärungen an einen Service Provider:

  • Authentifizierungsaussagen erklären, dass und wann sich der in der Assertion angegebene Benutzer tatsächlich erfolgreich authentifiziert hat.
  • Attribute Aussagen liefern Attributwerte, die sich auf den Benutzer beziehen. Das Attribut „NameID“ ist erforderlich und legt den Benutzernamen fest. Andere Attribute können jedoch auch manuell konfiguriert werden.
  • Genehmigungsentscheidungs -Aussagen erklären, dass einem Antrag auf Gewährung des Zugriffs durch das Assertionssubjekts auf die angegebene Ressource stattgegeben oder abgelehnt wurde

Assertion Consumer Service (ACS): Der Endpunkt (URL) des Service Providers, der für den Empfang und das Parsing einer SAML-Assertion zuständig ist. Beachten Sie, dass einige Service Provider einen anderen Begriff für die ACS verwenden. In der SAML-Vorlage von Okta wird dies in das Feld Single Sign On URL eingetragen.

Attribute: Eine Reihe von Daten über einen Benutzer, wie z. B. Benutzername, Vorname, Id der Mitarbeiter, usw.

Adressatenkreis-Einschränkung: Ein Wert innerhalb der SAML-Assertion, der angibt, für wen (und nur für wen) die Assertion bestimmt ist. Die „Zielgruppe“ wird der Service Provider sein und ist in der Regel eine URL. Sie kann jedoch technisch gesehen als beliebige Datenfolge formatiert werden. Wenn dieser Wert nicht SP bereitgestellt wird, versuchen Sie die Verwendung des ACS

Standard-Relay-State: Die URL, an die Benutzer nach einer erfolgreichen Authentifizierung durch SAML weitergeleitet werden.

Endpunkt: Die URLs, die verwendet werden, wenn Service Provider und Identity Provider miteinander kommunizieren.

Entity ID: Ein weltweit einzigartiger Name für einen Identity Provider oder einen Service Provider. Für jede Anwendung wird eine eindeutige Okta-Entity-ID generiert, die in den Einrichtungsanweisungen der Okta-Anwendung als Identity Provider Emittent bezeichnet wird.

Identity Provider (IdP): Die Autorität, die die Identität eines Benutzers und den Zugriff auf eine angeforderte Ressource (der „Service Provider“) überprüft und bestätigt.

Metadaten: Eine Reihe von Informationen, die der IdP dem SP und/oder umgekehrt im XML-Format zur Verfügung stellt.

  • Die vom SP bereitgestellten Metadaten enthalten in der Regel den ACS, die Audience Restriction, das NameID-Format und ein x.509-Zertifikat, wenn die Assertion verschlüsselt werden muss. Zurzeit können vom SP bereitgestellte Metadaten-Dateien nicht in Okta importiert werden.
  • Die vom IdP bereitgestellten Metadaten enthalten die Single Sign On-URL, die Entity-ID und die x.509-Zertifikatsdatei, die der SP zur Entschlüsselung der Assertion benötigt.

NameID: Ein Attribut innerhalb der Assertion, das zur Angabe des Benutzernamens verwendet wird

Service Provider (SP): Die gehostete Ressource oder der Service, auf den der Benutzer zugreifen möchte, z. B. Box, Workday®, Salesforce, eine benutzerdefinierte Anwendung usw.

Single Sign On URL: Der Endpunkt, der für die Bearbeitung von SAML-Transaktionen zuständig ist. Im Bildschirm zur Einrichtung der SAML-Vorlage von Okta verweist die SSO-URL auf das ACS des Service Providers

Funktionsweise

  1. Öffnen Sie das Admin Center unter admin.walkme.com
    1. Für EU-Benutzer, gehen Sie zu eu-admin.walkme.com
  2. Gehen Sie zur Seite Security und dann zu Single Sign-On
  3. Klicken Sie auf die Schaltfläche + SSO Setup
  4. Geben Sie den Namen des SSO ein
  5. Klicken Sie auf Save & Next
  6. Wählen Sie die IDP-Integrationsmethode:
    • Die URL-
    • Entity ID
    • XML Metadata – Wenn Sie diese Methode wählen, können Sie die XML-Daten als Datei herunterladen
  7. Geben Sie die erforderlichen Details ein, um die SSO-Einrichtung abzuschließen:
    • SAML SSO URL
    • Identity Provider Issuer / Entity ID
    • Public Certificate (Öffentliches Zertifikat)
  8. Wählen Sie die entsprechende Auftrags-Bindung
    • HTTP-redirect
    • HTTP-Port
    • 💡 Tipp: Klicken Sie auf Upload Metadata, um alle relevanten Felder automatisch auszufüllen
  9. Wählen Sie die Benutzer aus, die der SSO zugewiesen werden sollen
    • Sie können bestimmte Benutzer suchen und zuweisen oder mit Select All alle auswählen
    • Die Standard SSO ID ist die E-Mail, dies kann jedoch auf Wunsch geändert werden
    • Verwenden Sie die Schaltfläche Test SSO Setup, um die SSO-Einrichtung zu überprüfen
  10. Klicken Sie auf Save & Finish

Sobald die SSO-Verbindung erfolgreich hinzugefügt wurde, können Sie sie auf der Single Sign-On-Seite im Admin Center sehen.

Weitere Informationen zur Konfiguration von SSO für Azure AD finden Sie im folgenden Artikel: Microsoft Tutorial

SSO Certificate

Anmerkung:

  • WalkMe wechselt zu einer neuen SSO-Lösung, die von Okta, dem führenden Unternehmen in der Identitätsverwaltung, bereitgestellt wird. Sie bietet eine höhere Verfügbarkeit, Leistung und bessere Überwachungs- und Protokollierungsfunktionen.
  • Wenn Ihr Konto derzeit bei der Legacy SSO von WalkMe registriert ist, wenden Sie sich bitte an die Person, die Ihr Single Sign-On intern verwaltet (in der vom Regel Identitäts- und Zugriffsmanagement oder IT-Team) und lassen Sie sie den folgenden Prozess befolgen.
  • Diese Personen haben die Informationen, die zur Konfiguration von SSO ausgefüllt werden müssen.

  1. Erstellen Sie eine neue SSO-Verbindung nach den oben genannten Schritten.
  2. Im 3. Schritt müssen Sie das neue Zertifikat hochladen und dann die Einrichtung abschließen.
  3. Nach der Erstellung der neuen SSO-Verbindung sollten alle relevanten Links, die das alte SSO verwenden, in die neue geändert werden, die in der Einrichtung erstellt wurde.

SSO-Fehlerbehebung

Was verursacht SAML-Fehler?

SAML-Fehler treten in der Regel auf, wenn bei der SAML-Einrichtung fehlende oder falsche Informationen eingegeben wurden. Die meisten dieser Probleme können Sie über Ihre IDP-Einstellungen beheben, aber für einige müssen Sie auch Ihre SSO-Einstellungen in WalkMe aktualisieren.

SAML Fehlermeldungen

Fehlermeldung So beheben Sie sie
Die SAML-Antwort enthält nicht den richtigen Identity Provider-Emittenten. Bitte überprüfen Sie, ob die Emittent-URL in Ihren [IDP]-Einstellungen mit dem unten aufgeführten Identity Provider-Emittenten übereinstimmt. Überprüfen Sie Ihre IDP-Einstellungen, um sicherzustellen, dass Sie den richtigen Wert in Ihre SSO-Konfiguration im Admin Center kopiert haben. Der Emittentenwert in einem IDP wird üblicherweise als eine Emittenten-URL oder Entity URL/ID bezeichnet.
Die SAML-Antwort ist nicht signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktivieren Sie „Antworten unterschreiben“ in Ihren IDP-Einstellungen. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort enthält nicht die richtige Zielgruppe. Bitte überprüfen Sie, ob die URL des Dervice Providers in Ihren [IDP]-Einstellungen mit dem Service Provider-Emittenten in den erweiterten Optionen unten übereinstimmt. Vergewissern Sie sich, dass der Service Provider-Emittent mit der Zielgruppe in Ihren IDP-Einstellungen übereinstimmt. Auf der in Ihren IDP-Einstellungen wird möglicherweise auch als SP Entity ID oder Relying Party Identifier bezeichnet.
Die Assertion der SAML-Antwort ist nicht signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktivieren Sie „Assertionen über Antworten unterschreiben“ in Ihren IDP-Einstellungen. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort enthält nicht den richtigen Bestimmungsort, der etwa so aussehen soll: https://auth.walkme.com/sso/saml2. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktualisieren Sie den Bestimmungsort in Ihrem IDP. Der Name des Wertes kann variieren, ist aber in der Regel einer der folgenden: Reply URL, ACS URL, Assertion Consumer Service URL, Trusted URL oder Endpoint URL.
Der SAML-Antwort fehlt das ID-Attribut. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Vergewissern Sie sich, dass Sie die NameID als Anspruch in Ihrem IDP im richtigen (persistenten) Format angeben.
Weder die SAML-Antwort noch die Assertion der SAML-Antwort sind signiert. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Aktivieren Sie in Ihren IDP-Einstellungen das Signieren der Antwort, die Assertion der Antwort oder beides. Wenn Sie diese Optionen nicht angezeigt wird, wenden Sie sich an Ihren IDP.
Die SAML-Antwort ist nicht signiert (obwohl es eine signierte und verschlüsselte Assertion mit einer entschlüsselten Id gibt). Es tut uns leid, aber WalkMe unterstützt dieses Format nicht. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Wir unterstützen dieses Formats nicht. Aktivieren Sie das Unterschreiben der Antwort und vergewissern Sie sich, dass Sie die Richtlinien zur korrekten Einrichtung Ihres SSO befolgen.
Die SAML-Antwort ist nicht Version 2.0. Bitte überprüfen Sie Ihre [IDP]-Einstellungen. Vergewissern Sie sich, dass Sie SAML 2.0 in Ihrem IDP verwenden.
Hmm, es sieht so aus, als wäre die Signaturprüfung fehlgeschlagen. Bitte überprüfen Sie die Unterschriftenzertifikate in Ihren [IDP]-Einstellungen. Aktualisieren Sie das Zertifikat in Ihrer SSO-Konfiguration im Admin Center , damit es dem von Ihrem IDP gesendeten Zertifikat entspricht.

War dies hilfreich?

Ja Nein
Ja
Nein
Vielen Dank für Ihr Feedback!

Weitere Informationen

Be part of something bigger.

Engage with peers, ask questions, share ideas

Ask the Community
×