Hinweis:
Aufgrund des technischen Inhalts sind viele Begriffe und Befehle in diesem Artikel auf Englisch.
Grundlagen
In diesem Guide zeigen wir euch, wie ihr Single Sign-On (SSO) mit SAML oder OpenID in COYO einrichtet. Um einen Authentifizierungs-Anbieter für COYO zu konfigurieren, müsst ihr zuerst einen Identitätsanbieter (IDP) konfigurieren.Hinweis:
Bitte beachtet, dass wir keine Hilfe bei der Konfiguration eines IDP anbieten können, da es viele verschiedene Anbieter auf dem Markt gibt.
Diese werden unterschiedlich konfiguriert und zudem kennen wir eure Netzwerkinfrastruktur nicht.
Bitte beachtet, dass wir keine Hilfe bei der Konfiguration eines IDP anbieten können, da es viele verschiedene Anbieter auf dem Markt gibt.
Diese werden unterschiedlich konfiguriert und zudem kennen wir eure Netzwerkinfrastruktur nicht.
COYO Authentifizierungs-Anbieter
COYO ermöglicht die Einrichtung mehrerer Authentifizierungs-Anbieter und unterstützt die Protokolle SAML2.0 und OpenID. Wir unterstützen alle IDPs, die diese beiden gängigen Authentifizierungsprotokolle verwenden. Dadurch wird ermöglicht, sich automatisch durch die Windows-integrierte Authentifizierung (SAML) oder bei Netzwerken, wie z. B. LinkedIn (OpenID), zu authentifizieren.
Hinweis:
COYO unterstützt keine 2-Faktor-Authentifizierung. Ihr könnt jedoch einen SAML-Service verwenden. Ihr müsst dabei sicherstellen, dass der Dienst ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle und TLS 1.2 verwendet.
COYO unterstützt keine 2-Faktor-Authentifizierung. Ihr könnt jedoch einen SAML-Service verwenden. Ihr müsst dabei sicherstellen, dass der Dienst ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle und TLS 1.2 verwendet.
Erstellen eines Authentifizierungs-Anbieters
Meldet euch bei eurem COYO als Administrator an und wechselt in die Administration. Beim Öffnen des Bereiches "Authentifizierung" seht ihr folgenden Ausschnitt:
Klickt auf "Authentifizierungs-Anbieter erstellen", wählt den gewünschten "Typ" aus (SAML, OpenID) und setzt den Haken auf "aktiv". Wählt die automatische Anmeldung, um eine automatische Umleitung nach 3 Sekunden auf euren IDP einzurichten.
SAML
Um SAML einzurichten, solltet ihr die Entity-ID, Endpunkte, Zertifikate und vieles mehr in der metadata.xml eures Identity Providers (IDP) finden.
Wenn ihr Microsoft ADFS verwendet, findet ihr die metadata.xml unter:
Allgemeines
Jetzt ist es an der Zeit, euren SAML-Authentifizierungs-Anbieter zu konfigurieren. Im Screenshot seht ihr eine exemplarische Konfiguration für ein ADFS. Folgende Punkte sind wichtig:
- Aktiviert "ADFS" nur, wenn euer Microsoft Active Directory "Federation Services" verwendet.
- "Entity-ID", "Authentifizierungs-URL" und "Logout-URL" werden in der metadata.xml eures IDP aufgelistet.
- "Logout Methode" definiert, ob die COYO-Abmeldung den Nutzer lokal (nur COYO) oder global (SAML-Abmeldung) abmeldet.
- "Antwortgültigkeit" definiert den Zeitraum für Anfragen. Wir empfehlen die üblichen 300 Sekunden.
- "Benutzerverzeichnis" definiert, für welche Nutzer ihr diesen Authentifizierungs-Anbieter verwenden möchtet.
Die lokalen COYO-Endpunkte werden nach dem ersten Speichern generiert.
Anfragesignierung
Aktiviert diese Funktion, indem ihr "Anfragen signieren" auswählt. Es ist möglich, den SAML-Antrag von COYO mit einem Zertifikat und seinem privaten Schlüssel zu signieren. Fügt einfach beide hier ein und achtet darauf, das PEM-Format zu verwenden. Dies erhöht die Sicherheit.
Antwortvalidierung
Neben der Unterzeichnung der COYO-Anfragen ist es auch möglich, die Antwort des SAML-Servers zu überprüfen. In der Regel findet ihr das Zertifikat des SAML-Servers in dessen metadata.xml. Fügt es einfach hier ein und stellt sicher, dass es sich um das PEM-Format handelt.
Deaktivieren, um die Validierung zu überspringen.
Vertrauensstellung hinzufügen
Wenn ihr damit fertig seid, könnt ihr COYO als vertrauenswürdig in die Administration eures IDPs aufnehmen. Für Mircosoft ADFS heißt das Management-Tool ADFS. Wenn ihr Probleme mit Micorsoft ADFS habt, hilft euch vielleicht dieser Artikel weiter.
Test der Verbindung
Ihr habt nun einen vollständig konfigurierten SAML IDP, der bei der Anmeldung bei COYO verwendet werden kann. Als Letztes probiert ihr die Anmeldung einfach mit einem Nutzer, des von euch konfigurierten Benutzerverzeichnisses, aus.
Open ID
Im Gegensatz zu SAML ist die OpenID-Authentifizierung bei Aktivierung immer für alle COYO-Nutzer verfügbar und nicht auf eines der COYO Benutzerverzeichnisse beschränkt. Um OpenID zu konfigurieren, lest bitte die OpenID-Handbücher des Identitätsanbieters.
In diesem Artikel zeigen wir euch ein Beispiel für eine Konfiguration für Microsoft Office365. Folgende Punkte sind wichtig:
- Die "Mapping-ID" ist der Parameter der Antwort des IDP, der mit dem Anmeldenamen des COYO-Nutzers übereinstimmen muss.
Der "eindeutige_Name" sollte in diesem Fall mit der E-Mail des COYO-Nutzers übereinstimmen. - Um die "Client-ID" und "Client-Secret" zu erstellen, müsst ihr COYO als Webanwendung in der Administration eures IDP registrieren. Ihr werdet nach der Anmelde-URL von COYO gefragt. Diese Redirect-URL wird beim Speichern eurer Konfiguration des Authentifizierungs-Anbieters in COYO generiert.
- Die URLs für "Authentifizierung", "Access-Token" und "User-Info" werden in der App-Registrierung eures IDP definiert.
Im Screenshot findet ihr das gemeinsame Schema für Microsoft Office365 mit seinem Azure-Tenant. "Anwendungsbereich" sind die Berechtigungen, die ihr benötigt, um auf die URL der Nutzerinformation zuzugreifen. "Token Schema" und "Authentifizierungsschema" werden vom IDP definiert.
Open ID: Weitere Beispiele
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Facebook generiert und können unter https://developers.facebook.com/apps/ konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Facebook-Log-in.
- "Authentifizierungs-URL": https://www.facebook.com/dialog/oauth
- "Access-Token-URL": https://graph.facebook.com/oauth/access_token
- "User-Info-URL": https://graph.facebook.com/me?fields=email
- "Anwendungsbereich": email
- "Token Schema": query
- "Authentifizierungsschema": form
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von LinkedIn generiert und können unter https://www.linkedin.com/developer/apps konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als LinkedIn-Log-in.
- "Authentifizierungs-URL": https://www.linkedin.com/oauth/v2/authorization
- "Access-Token-URL": https://www.linkedin.com/oauth/v2/accessToken
- "User-Info-URL": https://api.linkedin.com/v1/people/~:(email-address)?format=json
- "Anwendungsbereich": r_basicprofile,r_emailaddress
- "Token Schema": header
- "Authentifizierungsschema": query
Private Microsoft Account
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Microsoft generiert und können unter https://apps.dev.microsoft.com/#/appList konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Microsoft-Log-in.
- "Authentifizierungs-URL": https://login.microsoftonline.com/common/oauth2/v2.0/authorize
- "Access-Token-URL": https://login.microsoftonline.com/common/oauth2/v2.0/token
- "User-Info-URL": https://graph.microsoft.com/v1.0/me
- "Anwendungsbereich": openid https://graph.microsoft.com/User.Read
- "Token Schema": header
- "Authentifizierungsschema": form
G Suite
- Falls ihr die E-Mail als Login-Namen verwendet, könnt ihr mit der E-Mail als "Mapping-ID" arbeiten.
- "Client-ID" und "Client-Secret" werden von Google generiert und können unter √ konfiguriert werden. Fügt einfach eine neue App hinzu und konfiguriert sie als Google-Log-in.
- "Authentifizierungs-URL": https://accounts.google.com/o/oauth2/auth
- "Access-Token-URL": https://www.googleapis.com/oauth2/v4/token
- "User-Info-URL": https://www.googleapis.com/oauth2/v3/userinfo
- "Anwendungsbereich": email profile openid
- "Token Schema": header
- Authentifizierungsschema": header
Muss für jedes Benutzerverzeichnis auch ein neuer Authentifizierungs-Anbieter angelegt werden?
Im Falle von SAML, ja. Beim Erstellen eines SAML Authentifizierungs-Anbieters in der Administration von COYO, muss genau ein Benutzerverzeichnis angegeben werden und dieser Log-in gilt nur für Nutzer von diesem Benutzerverzeichnis.OpenID hingegen gilt für sämtliche Nutzer in eurem COYO.
