Hinweis:
Aufgrund des technischen Inhalts sind viele Begriffe und Befehle in diesem Artikel auf Englisch.
Grundlagen
In diesem Guide zeigen wir euch, wie ihr Single Sign-On (SSO) mit SAML oder OpenID in COYO einrichtet. Um einen Authentifizierungs-Anbieter für COYO zu konfigurieren, müsst ihr zuerst einen Identitätsanbieter (IDP) konfigurieren.Hinweis:
Bitte beachtet, dass wir keine Hilfe bei der Konfiguration eines IDP anbieten können, da es viele verschiedene Anbieter auf dem Markt gibt.
Bitte beachtet, dass wir keine Hilfe bei der Konfiguration eines IDP anbieten können, da es viele verschiedene Anbieter auf dem Markt gibt.
COYO Authentifizierungs-Anbieter
COYO ermöglicht die Einrichtung mehrerer Authentifizierungs-Anbieter und unterstützt die Protokolle SAML2.0 und OpenID. Wir unterstützen alle IDPs, die diese beiden gängigen Authentifizierungsprotokolle verwenden. Dadurch wird ermöglicht, sich automatisch durch die Windows-integrierte Authentifizierung (SAML) oder bei Netzwerken, wie z. B. LinkedIn (OpenID), zu authentifizieren.
Über SAML just-in-time können Benutzer bei der ersten Anmeldung importiert werden, wenn sie noch nicht in COYO existieren.
Über SAML just-in-time können Benutzer bei der ersten Anmeldung importiert werden, wenn sie noch nicht in COYO existieren.
Hinweis:
COYO unterstützt keine 2-Faktor-Authentifizierung. Ihr könnt jedoch einen SAML-Service verwenden. Ihr müsst dabei sicherstellen, dass der Dienst ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle und TLS 1.2 verwendet.
COYO unterstützt keine 2-Faktor-Authentifizierung. Ihr könnt jedoch einen SAML-Service verwenden. Ihr müsst dabei sicherstellen, dass der Dienst ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle und TLS 1.2 verwendet.
Erstellen eines Authentifizierungs-Anbieters
Meldet euch bei eurem COYO als Administrator an und wechselt in die Administration. Beim Öffnen des Bereiches "Authentifizierung" seht ihr folgenden Ausschnitt:
Klickt auf "Authentifizierungs-Anbieter erstellen", wählt den gewünschten "Typ" aus (SAML, OpenID) und setzt den Haken auf "aktiv". Wählt die automatische Anmeldung, um eine automatische Umleitung nach 3 Sekunden auf euren IDP einzurichten.
SAML
Um SAML einzurichten, solltet ihr die Entity-ID, Endpunkte, Zertifikate und vieles mehr in der metadata.xml eures Identity Providers (IDP) finden.
Wenn ihr Microsoft ADFS verwendet, findet ihr die metadata.xml unter:
Allgemeines
Jetzt ist es an der Zeit, euren SAML-Authentifizierungs-Anbieter zu konfigurieren. Im Screenshot seht ihr eine exemplarische Konfiguration für ein ADFS. Folgende Punkte sind wichtig:
- Aktiviert "ADFS" nur, wenn euer Microsoft Active Directory "Federation Services" verwendet.
- "Entity-ID", "Authentifizierungs-URL" und "Logout-URL" werden in der metadata.xml eures IDP aufgelistet.
- "Logout Methode" definiert, ob die COYO-Abmeldung den Nutzer lokal (nur COYO) oder global (SAML-Abmeldung) abmeldet.
- "Antwortgültigkeit" definiert den Zeitraum für Anfragen. Wir empfehlen die üblichen 300 Sekunden.
- "Benutzerverzeichnis" definiert, für welche Nutzer ihr diesen Authentifizierungs-Anbieter verwenden möchtet.
Die lokalen COYO-Endpunkte und damit auch die Metadaten XML werden nach dem aktivieren und Speichern generiert.
Anfragesignierung
Aktiviert diese Funktion, indem ihr "Anfragen signieren" auswählt. Es ist möglich, den SAML-Antrag von COYO mit einem Zertifikat und seinem privaten Schlüssel zu signieren. Fügt einfach beide hier ein und achtet darauf, das PEM-Format zu verwenden. Ihr könnt ein selbstsigniertes Zertifikat verwenden. Das Zertifikat muss dann auf dem ADFS-Server in den Einstellungen der Vertrauensstellung unter "Signierung" hinzugefügt werden.
Antwortvalidierung
Neben der Unterzeichnung der COYO-Anfragen ist es auch möglich, die Antwort des SAML-Servers zu überprüfen. Dafür könnt Ihr hier einfach das Zertifikat des IDP-Server hinterlegen.
Deaktivieren, um die Validierung zu überspringen.
Just-in-Time-Bereitstellung (optional)
Falls ihr SAML nicht zum importieren von Nutzern verwenden wollt, könnt ihr mit dem nächsten Schritt fortfahren.
Ab Version 25 bietet COYO auch den Import von Nutzern bei der ersten Anmeldung über SAML an.
Dazu wählt ihr als Typ SAML just-in-time. Im Tab Just-in-Time-Bereitstellung müsst ihr die Attribute definieren, welche für die Nutzer importiert werden. Ihr erhaltet die benötigten Werte, wenn ihr danach in eurer FederationMetadata.xml sucht.
Seit dem Cloudrelease 31 ist es außerdem möglich Profilfelder zu synchronisieren. Dazu wählt ihr bei der JIT-Bereistellung die Profilfelder aus und ordnet sie entsprechend den Werten der FederationMetadata.xml zu.
Vertrauensstellung hinzufügen
Wenn ihr damit fertig seid, müsst Ihr COYO in euren IDP aufnehmen. Für Microsoft ADFS heißt das Management-Tool ADFS.
COYO macht lediglich einen Redirect zum ADFS Server und erwartet dann eine "SAML Assertion", bei welcher der Login-Name (z. B. die E-Mail-Adresse) als "Name-ID"("Namens-ID" auf Deutsch) übergeben wird. Im ADFS wird das unter Claim Issuance eingerichtet:
Für SAML Just-In-Time müssen zusätzlich die Attribute, welche bereitgestellt werden, dort Konfiguriert werden:
Beachtet, dass die Outgoing Claims auf einem deutschsprachigen Server anders betitelt sind.
Wenn ihr Fehler bei der Verbindung mit ADFS habt, hilft euch vielleicht dieser Artikel weiter.
Test der Verbindung
Ihr habt nun einen vollständig konfigurierten SAML IDP, der bei der Anmeldung bei COYO verwendet werden kann. Als Letztes probiert ihr die Anmeldung einfach mit einem Nutzer, des von euch konfigurierten Benutzerverzeichnisses, aus.
Open ID
Im Gegensatz zu SAML ist die OpenID-Authentifizierung bei Aktivierung immer für alle COYO-Nutzer verfügbar und nicht auf eines der COYO Benutzerverzeichnisse beschränkt. Um OpenID zu konfigurieren, lest bitte die OpenID-Handbücher des Identitätsanbieters.
In diesem Artikel zeigen wir euch ein Beispiel für eine Konfiguration für Microsoft Office365. Folgende Punkte sind wichtig:
- Die "Mapping-ID" ist der Parameter der Antwort des IDP, der mit dem Anmeldenamen des COYO-Nutzers übereinstimmen muss.
Der "eindeutige_Name" sollte in diesem Fall mit der E-Mail des COYO-Nutzers übereinstimmen. - Um die "Client-ID" und "Client-Secret" zu erstellen, müsst ihr COYO als Webanwendung in der Administration eures IDP registrieren. Ihr werdet nach der Anmelde-URL von COYO gefragt. Diese Redirect-URL wird beim Speichern eurer Konfiguration des Authentifizierungs-Anbieters in COYO generiert.
- Die URLs für "Authentifizierung", "Access-Token" und "User-Info" werden in der App-Registrierung eures IDP definiert.
Im Screenshot findet ihr das gemeinsame Schema für Microsoft Office365 mit seinem Azure-Tenant. "Anwendungsbereich" sind die Berechtigungen, die ihr benötigt, um auf die URL der Nutzerinformation zuzugreifen. "Token Schema" und "Authentifizierungsschema" werden vom IDP definiert.
Wir haben außerdem eine Anleitung für die Integration von Office 365 über Microsoft Azure vorbereitet: Office 365 Integration.
Open ID: Weitere Beispiele
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Facebook generiert und können unter https://developers.facebook.com/apps/ konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Facebook-Log-in.
- "Authentifizierungs-URL": https://www.facebook.com/dialog/oauth
- "Access-Token-URL": https://graph.facebook.com/oauth/access_token
- "User-Info-URL": https://graph.facebook.com/me?fields=email
- "Anwendungsbereich": email
- "Token Schema": query
- "Authentifizierungsschema": form
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von LinkedIn generiert und können unter https://www.linkedin.com/developer/apps konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als LinkedIn-Log-in.
- "Authentifizierungs-URL": https://www.linkedin.com/oauth/v2/authorization
- "Access-Token-URL": https://www.linkedin.com/oauth/v2/accessToken
- "User-Info-URL": https://api.linkedin.com/v1/people/~:(email-address)?format=json
- "Anwendungsbereich":r_liteprofile,r_emailaddress
- "Token Schema": header
- "Authentifizierungsschema": query
Private Microsoft Accounts
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Microsoft generiert und können unter https://apps.dev.microsoft.com/#/appList konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Microsoft-Log-in.
- "Authentifizierungs-URL": https://login.microsoftonline.com/common/oauth2/v2.0/authorize
- "Access-Token-URL": https://login.microsoftonline.com/common/oauth2/v2.0/token
- "User-Info-URL": https://graph.microsoft.com/v1.0/me
- "Anwendungsbereich": openid https://graph.microsoft.com/User.Read
- "Token Schema": header
- "Authentifizierungsschema": form
Google Workspace
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Google generiert und können unter https://console.developers.google.com/apis/credentials konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Google-Log-in.
- "Authentifizierungs-URL": https://accounts.google.com/o/oauth2/auth
- "Access-Token-URL": https://www.googleapis.com/oauth2/v4/token
- "User-Info-URL": https://www.googleapis.com/oauth2/v3/userinfo
- "Anwendungsbereich": email profile openid
- "Token Schema": header
- Authentifizierungsschema": header
Muss für jedes Benutzerverzeichnis auch ein neuer Authentifizierungs-Anbieter angelegt werden?
Im Falle von SAML, ja. Beim Erstellen eines SAML Authentifizierungs-Anbieters in der Administration von COYO, muss genau ein Benutzerverzeichnis angegeben werden und dieser Log-in gilt nur für Nutzer von diesem Benutzerverzeichnis.OpenID hingegen gilt für sämtliche Nutzer in eurem COYO.
