Konfiguration des Azure-Konnektors
Die Anbindung der LockSelf-Anwendung an einen Identitätsverbund erfolgt über das Protokoll SAMLv2. Es ist daher möglich, die Anwendung mit Ihrem Azure-Unternehmenskonto zu verbinden.
Erstellung des Konnektors
- Klicken Sie auf „Neue Anwendung" und auf „Eigene Anwendung erstellen".
- Legen Sie einen Namen für den Konnektor fest, in der Regel „LockSelf", und klicken Sie auf das dritte Kontrollkästchen „Integrate any other application you do not find in the gallery (Non-gallery)". Klicken Sie abschließend auf „Erstellen".
- Klicken Sie im linken Menü auf „Einmaliges Anmelden" und dann auf „SAML".
Den Konnektor konfigurieren
- Bearbeiten Sie den ersten Block „Grundlegende SAML-Konfiguration".
- Geben Sie die Informationen wie unten dargestellt ein:
-
- Bezeichner (Entitäts-ID): entspricht der URL der Metadaten der Anwendung.
- Antwort-URL (Assertion Consumer Service URL): entspricht der Antwort-URL, die vom Konnektor aufgerufen wird.
- Anmelde-URL (optional): entspricht der Anmelde-URL für Ihre Benutzer.
-
(wobei FQDN den Domainnamen Ihrer LockSelf-Installation ersetzt).
-
-
- Bearbeiten Sie den zweiten Block „Attribute und Ansprüche".
In diesem Schritt müssen Sie die Ansprüche zwingend wie oben dargestellt zurückgeben. Achten Sie darauf, die Groß- und Kleinschreibung einzuhalten.
- (Optional) Wenn Sie bestimmte Benutzergruppen an LockSelf übermitteln möchten, müssen Sie einen Gruppenanspruch hinzufügen.
Falls Ihre Gruppen aus einem LOKALEN Verzeichnis übermittelt werden:
Aktivieren Sie das Kontrollkästchen „Der Anwendung zugewiesene Gruppen" und dann „sAMAccountName" als Quellattribut.
| Bitte beachten Sie, dass nur Gruppen, die aus einem lokalen Active Directory mit AAD Connect Sync 1.2.70.0 oder höher synchronisiert werden, an LockSelf übermittelt werden können. Prüfen Sie außerdem, ob Ihr Azure-Plan diese Funktion bietet. |
Falls Ihre Gruppen Sicherheitsgruppen sind, die direkt in Azure AD verwaltet werden:
Aktivieren Sie das Kontrollkästchen „Der Anwendung zugewiesene Gruppen" und dann „Anzeigenamen von reinen Cloud-Gruppen (Vorschau)" als Quellattribut.
Klicken Sie auf „Erweiterte Optionen" und aktivieren Sie dann „Den Namen des Gruppenanspruchs anpassen". Schreiben Sie schließlich „groups" in das Feld Name (achten Sie auf die Groß- und Kleinschreibung).
Nur die Gruppen, die Sie im nächsten Schritt hinzufügen, können an LockSelf übermittelt werden.
Sobald dieser Vorgang abgeschlossen ist, müssen Sie Ihren Account Manager informieren, damit wir diese Option auf Anwendungsseite aktivieren.
Benutzern den Zugriff auf die Anwendung erlauben
In diesem Schritt wählen Sie aus, welche Benutzer oder Benutzergruppen Zugriff auf den Konnektor und damit auf die Anwendung haben dürfen.
Klicken Sie dazu im linken Menü auf „Benutzer und Gruppen".
Wählen Sie anschließend die autorisierten Benutzer / Gruppen aus.
Die IdP-Metadaten abrufen
Sobald der Konnektor konfiguriert ist, können Sie die IdP-Metadaten abrufen.
Die Metadaten werden über eine URL abgerufen, die im Block „SAML-Signaturzertifikat" in der Zeile „App-Föderationsmetadaten-URL" verfügbar ist.
Kopieren Sie diese URL und tragen Sie sie in die LockSelf-Anwendung ein.
Die Verbindung überprüfen
Sobald diese Schritte ausgeführt sind, können Sie den Konnektor testen:
-
Schritt 1: Um korrekt testen zu können, öffnen Sie ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnrad und dann auf „Cache leeren".
-
Schritt 2: Geben Sie auf der Registerkarte SSO Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
- Falls dies nicht funktioniert, klicken Sie auf der Anmeldeseite oben rechts auf die Zahnräder und prüfen Sie, ob im Feld API-URL am Ende des dedizierten Domainnamens tatsächlich /api/ eingetragen ist. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
- Falls dies nicht funktioniert, klicken Sie auf der Anmeldeseite oben rechts auf die Zahnräder und prüfen Sie, ob im Feld API-URL am Ende des dedizierten Domainnamens tatsächlich /api/ eingetragen ist. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
-
Schritt 3: In diesem Schritt werden Sie zum Azure-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
- Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, das Sie auffordert, den Ihrem Konto zugeordneten PIN-Code zu erstellen.
Den Konnektor aktualisieren
Mitunter muss eine Aktualisierung der Signatur- / Token-Verschlüsselungszertifikate am Azure-Konnektor durchgeführt werden.
In diesem Fall müssen Sie die neue IdP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung.
Aktualisiert