Konfiguration des Azure-Konnektors
Die Verbindung der LockSelf-Anwendung mit einem Identitätsverbund erfolgt über das SAMLv2-Protokoll. Es ist daher möglich, die Anwendung mit Ihrem Azure-Unternehmenskonto zu verbinden.
Konnektor erstellen
- Klicken Sie auf „Neue Anwendung" und dann auf „Eigene Anwendung erstellen".
- Legen Sie einen Namen für den Konnektor fest, in der Regel „LockSelf", und klicken Sie auf das dritte Kontrollkästchen „Integrate any other application you do not find in the gallery (Non-gallery)". Klicken Sie abschließend auf „Erstellen".
- Klicken Sie im linken Menü auf „Einmaliges Anmelden" und dann auf „SAML".
Konnektor konfigurieren
- Bearbeiten Sie den ersten Block „Grundlegende SAML-Konfiguration".
- Füllen Sie die Informationen wie unten angegeben aus:
-
- Bezeichner (Entitäts-ID): entspricht der Metadaten-URL der Anwendung.
- Antwort-URL (Assertionsverbraucherdienst-URL): entspricht der Antwort-URL, die vom Konnektor aufgerufen wird.
- Anmelde-URL (optional): entspricht der Anmelde-URL für Ihre Benutzer.
-
(wobei FQDN durch den Domainnamen Ihrer LockSelf-Installation ersetzt wird).
-
-
- Bearbeiten Sie den zweiten Block „Attribute & Ansprüche".
In diesem Schritt müssen Sie die Ansprüche wie oben angegeben zurückgeben. Achten Sie dabei unbedingt auf die Groß- und Kleinschreibung.
- (Optional) Wenn Sie bestimmte Benutzergruppen in LockSelf synchronisieren möchten, müssen Sie einen Gruppenanspruch hinzufügen.
Wenn Ihre Gruppen aus einem LOKALEN Verzeichnis synchronisiert werden:
Aktivieren Sie das Kontrollkästchen „Der Anwendung zugewiesene Gruppen" und wählen Sie dann „sAMAccountName" als Quellattribut.
| Hinweis: Nur Gruppen, die aus einem lokalen Active Directory mit AAD Connect Sync 1.2.70.0 oder höher synchronisiert wurden, können in LockSelf übertragen werden. Überprüfen Sie außerdem, ob Ihr Azure-Plan diese Funktion unterstützt. |
Wenn Ihre Gruppen Sicherheitsgruppen sind, die direkt in Azure AD verwaltet werden:
Aktivieren Sie das Kontrollkästchen „Der Anwendung zugewiesene Gruppen" und wählen Sie dann „Nur-Cloud-Gruppen-Anzeigenamen (Vorschau)" als Quellattribut.
Klicken Sie auf „Erweiterte Optionen" und aktivieren Sie „Name des Gruppenanspruchs anpassen". Geben Sie anschließend „groups" in das Feld „Name" ein (achten Sie dabei auf die Groß- und Kleinschreibung).
Nur die Gruppen, die Sie im nächsten Schritt hinzufügen, können in LockSelf übertragen werden.
Sobald dieser Vorgang abgeschlossen ist, müssen Sie Ihren Account Manager informieren, damit wir diese Option auf Anwendungsseite aktivieren können.
Benutzern den Zugriff auf die Anwendung erlauben
In diesem Schritt legen Sie fest, welche Benutzer oder Benutzergruppen auf den Konnektor und damit auf die Anwendung zugreifen dürfen.
Klicken Sie dazu im linken Menü auf „Benutzer und Gruppen".
Wählen Sie anschließend die autorisierten Benutzer / Gruppen aus.
IDP-Metadaten abrufen
Sobald der Konnektor konfiguriert ist, können Sie die IDP-Metadaten abrufen.
Die Metadaten werden über eine URL abgerufen, die im Block „SAML-Signaturzertifikat" in der Zeile „App-Verbundmetadaten-URL" verfügbar ist.
Kopieren Sie diese URL und tragen Sie sie in der LockSelf-Anwendung ein.
Verbindung überprüfen
Sobald diese Schritte abgeschlossen sind, können Sie den Konnektor testen:
-
Schritt 1: Öffnen Sie zum korrekten Testen ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnradsymbol und dann auf „Cache leeren".
-
Schritt 2: Geben Sie auf der SSO-Registerkarte Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
- Wenn dies nicht funktioniert, klicken Sie auf der Anmeldeseite auf die Zahnradsymbole oben rechts und überprüfen Sie, ob im API-URL-Feld /api/ am Ende des dedizierten Domainnamens eingetragen ist. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
- Wenn dies nicht funktioniert, klicken Sie auf der Anmeldeseite auf die Zahnradsymbole oben rechts und überprüfen Sie, ob im API-URL-Feld /api/ am Ende des dedizierten Domainnamens eingetragen ist. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
-
Schritt 3: Sie werden zum Azure-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
- Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, wo Sie aufgefordert werden, den PIN-Code für Ihr Konto zu erstellen.
IDP-Metadaten aktualisieren
Manchmal muss eine Aktualisierung der Signaturzertifikate bzw. Token-Verschlüsselung am Azure-Konnektor vorgenommen werden.
In diesem Fall müssen Sie die neue IDP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Konsultieren Sie dazu diese Dokumentation: Konfiguration der SSO-Verbindung.
Aktualisiert