Hinweis:
Aufgrund des technischen Inhalts sind viele Begriffe und Befehle in diesem Artikel auf Englisch.
Grundlagen
In diesem Guide zeigen wir euch, wie ihr Single Sign-On (SSO) mit SAML oder OpenID in COYO einrichtet. Um einen Authentifizierungs-Anbieter für COYO zu konfigurieren, müsst ihr zuerst einen Identitätsanbieter (IDP) konfigurieren.Bitte beachtet, dass wir keine Hilfe bei der Konfiguration eines IDP anbieten können, da es viele verschiedene Anbieter auf dem Markt gibt.
COYO Authentifizierungs-Anbieter
Über SAML just-in-time können Benutzer bei der ersten Anmeldung importiert werden, wenn sie noch nicht in COYO existieren.
COYO unterstützt keine 2-Faktor-Authentifizierung. Ihr könnt jedoch einen SAML-Service verwenden. Ihr müsst dabei sicherstellen, dass der Dienst ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle und TLS 1.2 verwendet.
Erstellen eines Authentifizierungs-Anbieters


SAML
Wenn ihr Microsoft ADFS verwendet, findet ihr die metadata.xml unter:
Allgemeines
- Aktiviert "ADFS" nur, wenn euer Microsoft Active Directory "Federation Services" verwendet.
- "Entity-ID", "Authentifizierungs-URL" und "Logout-URL" werden in der metadata.xml eures IDP aufgelistet.
- "Logout Methode" definiert, ob die COYO-Abmeldung den Nutzer lokal (nur COYO) oder global (SAML-Abmeldung) abmeldet.
- "Antwortgültigkeit" definiert den Zeitraum für Anfragen. Wir empfehlen die üblichen 300 Sekunden.
- "Benutzerverzeichnis" definiert, für welche Nutzer ihr diesen Authentifizierungs-Anbieter verwenden möchtet.

Anfragesignierung

Antwortvalidierung

Just-in-Time-Bereitstellung (optional)
Falls ihr SAML nicht zum importieren von Nutzern verwenden wollt, könnt ihr mit dem nächsten Schritt fortfahren.
Ab Version 25 bietet COYO auch den Import von Nutzern bei der ersten Anmeldung über SAML an.
Dazu wählt ihr als Typ SAML just-in-time. Im Tab Just-in-Time-Bereitstellung müsst ihr die Attribute definieren, welche für die Nutzer importiert werden. Ihr erhaltet die benötigten Werte, wenn ihr danach in eurer FederationMetadata.xml sucht.
Seit dem Cloudrelease 31 ist es außerdem möglich Profilfelder zu synchronisieren. Dazu wählt ihr bei der JIT-Bereistellung die Profilfelder aus und ordnet sie entsprechend den Werten der FederationMetadata.xml zu.
Vertrauensstellung hinzufügen


Test der Verbindung
Open ID
- Die "Mapping-ID" ist der Parameter der Antwort des IDP, der mit dem Anmeldenamen des COYO-Nutzers übereinstimmen muss.
Der "eindeutige_Name" sollte in diesem Fall mit der E-Mail des COYO-Nutzers übereinstimmen. - Um die "Client-ID" und "Client-Secret" zu erstellen, müsst ihr COYO als Webanwendung in der Administration eures IDP registrieren. Ihr werdet nach der Anmelde-URL von COYO gefragt. Diese Redirect-URL wird beim Speichern eurer Konfiguration des Authentifizierungs-Anbieters in COYO generiert.
- Die URLs für "Authentifizierung", "Access-Token" und "User-Info" werden in der App-Registrierung eures IDP definiert.

Wir haben außerdem eine Anleitung für die Integration von Office 365 über Microsoft Azure vorbereitet: Office 365 Integration.
Open ID: Weitere Beispiele
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Facebook generiert und können unter https://developers.facebook.com/apps/ konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Facebook-Log-in.
- "Authentifizierungs-URL": https://www.facebook.com/dialog/oauth
- "Access-Token-URL": https://graph.facebook.com/oauth/access_token
- "User-Info-URL": https://graph.facebook.com/me?fields=email
- "Anwendungsbereich": email
- "Token Schema": query
- "Authentifizierungsschema": form
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von LinkedIn generiert und können unter https://www.linkedin.com/developer/apps konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als LinkedIn-Log-in.
- "Authentifizierungs-URL": https://www.linkedin.com/oauth/v2/authorization
- "Access-Token-URL": https://www.linkedin.com/oauth/v2/accessToken
- "User-Info-URL": https://api.linkedin.com/v1/people/~:(email-address)?format=json
- "Anwendungsbereich":r_liteprofile,r_emailaddress
- "Token Schema": header
- "Authentifizierungsschema": query
Private Microsoft Accounts
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Microsoft generiert und können unter https://apps.dev.microsoft.com/#/appList konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Microsoft-Log-in.
- "Authentifizierungs-URL": https://login.microsoftonline.com/common/oauth2/v2.0/authorize
- "Access-Token-URL": https://login.microsoftonline.com/common/oauth2/v2.0/token
- "User-Info-URL": https://graph.microsoft.com/v1.0/me
- "Anwendungsbereich": openid https://graph.microsoft.com/User.Read
- "Token Schema": header
- "Authentifizierungsschema": form
Google Workspace
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Google generiert und können unter https://console.developers.google.com/apis/credentials konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Google-Log-in.
- "Authentifizierungs-URL": https://accounts.google.com/o/oauth2/auth
- "Access-Token-URL": https://www.googleapis.com/oauth2/v4/token
- "User-Info-URL": https://www.googleapis.com/oauth2/v3/userinfo
- "Anwendungsbereich": email profile openid
- "Token Schema": header
- Authentifizierungsschema": header