Konfiguration des Google-Konnektors
Die Anbindung der LockSelf-Anwendung an einen Identitätsverbund erfolgt über das Protokoll SAMLv2. Es ist daher möglich, die Anwendung mit Ihrem Google-Unternehmenskonto zu verbinden.
Erstellung des Konnektors
- Melden Sie sich an Ihrer Google-Admin-Oberfläche im Bereich Anwendungen an: https://admin.google.com/ac/apps/unified
- Klicken Sie auf „Anwendung hinzufügen" und dann auf „Benutzerdefinierte SAML-Anwendung hinzufügen".
- Legen Sie einen Namen für den Konnektor fest, in der Regel „LockSelf". Fügen Sie bei Bedarf eine Beschreibung und ein Logo hinzu.
- Der nächste Schritt wurde bereits in Schritt 1 dieser Dokumentation ausgeführt. Sie können direkt auf „Weiter" klicken.
- Füllen Sie die Felder zur Anwendung aus:
- ACS-URL: entspricht der Assertion-Consumer-Service-URL, also der Antwort-URL
- Entitäts-ID: entspricht der URL der Metadaten der Anwendung.
- Start-URL: entspricht der Anmelde-URL für Ihre Benutzer.
(wobei FQDN den Domainnamen Ihrer LockSelf-Installation ersetzt).
Die Name ID wird als Hauptkennung in LockSelf verwendet.
- Wählen Sie für das Name-ID-Format „Transient"
- Wählen Sie für die Name ID „Basic Information > Primary email"
Der letzte Schritt besteht darin, die Attribute zuzuordnen, das heißt, die Benutzerattribute anzugeben, die an die Anwendung gesendet werden.
- Primary Email: mail
- First name: firstname
- Last name: lastname
Klicken Sie anschließend auf „Fertigstellen".
Benutzern den Zugriff auf die Anwendung erlauben
In diesem Schritt wählen Sie aus, welche Benutzer oder Benutzergruppen Zugriff auf den Konnektor und damit auf die Anwendung haben dürfen.
Klicken Sie dazu auf den Block „Benutzerzugriff".
Wählen Sie anschließend die autorisierten Benutzer / Gruppen aus.
Die Verbindung überprüfen
Sobald diese Schritte ausgeführt sind, können Sie den Konnektor testen:
-
Schritt 1: Um korrekt testen zu können, öffnen Sie ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnrad und dann auf „Cache leeren".
-
Schritt 2: Geben Sie auf der Registerkarte SSO Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
- Falls dies nicht funktioniert, klicken Sie auf der Anmeldeseite oben rechts auf die Zahnräder und prüfen Sie, ob im Feld API-URL am Ende des dedizierten Domainnamens tatsächlich /api/ eingetragen ist. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
- Falls dies nicht funktioniert, klicken Sie auf der Anmeldeseite oben rechts auf die Zahnräder und prüfen Sie, ob im Feld API-URL am Ende des dedizierten Domainnamens tatsächlich /api/ eingetragen ist. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
-
Schritt 3: In diesem Schritt werden Sie zum Google-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
- Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, das Sie auffordert, den Ihrem Konto zugeordneten PIN-Code zu erstellen.
Den Konnektor aktualisieren
Mitunter muss eine Aktualisierung der Signatur-/Token-Verschlüsselungszertifikate am Google-Konnektor durchgeführt werden.
In diesem Fall müssen Sie die neue IdP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung.
Aktualisiert