Konfiguration des Google-Konnektors
Die Verbindung der LockSelf-Anwendung mit einem Identitätsverbund erfolgt über das SAMLv2-Protokoll. Es ist daher möglich, die Anwendung mit Ihrem Google-Unternehmenskonto zu verbinden.
Konnektor erstellen
- Melden Sie sich in Ihrer Google-Administratoroberfläche im Bereich „Anwendungen" an: https://admin.google.com/ac/apps/unified
- Klicken Sie auf „Anwendung hinzufügen" und dann auf „Benutzerdefinierte SAML-Anwendung hinzufügen".
- Legen Sie einen Namen für den Konnektor fest, in der Regel „LockSelf". Fügen Sie eine Beschreibung und ein Logo hinzu, falls gewünscht.
- Der nächste Schritt wurde bereits in Schritt 1 dieser Dokumentation abgeschlossen. Sie können direkt auf „Weiter" klicken.
- Füllen Sie die Felder für die Anwendung aus:
- ACS-URL: Entspricht der Assertionsverbraucherdienst-URL, d. h. der Antwort-URL.
- Entitäts-ID: Entspricht der Metadaten-URL der Anwendung.
- Start-URL: Entspricht der Anmelde-URL für Ihre Benutzer.
(wobei FQDN durch den Domainnamen Ihrer LockSelf-Installation ersetzt wird).
Die Namens-ID wird als primärer Bezeichner in LockSelf verwendet.
- Wählen Sie für das Format der Namens-ID „Transient"
- Wählen Sie für die Namens-ID „Basic Information > Primary email"
Der letzte Schritt besteht darin, die Attribute zu mappen, d. h. die Benutzerattribute anzugeben, die an die Anwendung gesendet werden.
- Primary Email: mail
- First name: firstname
- Last name: lastname
Klicken Sie dann auf „Fertigstellen".
Benutzern den Zugriff auf die Anwendung erlauben
In diesem Schritt wählen Sie, welche Benutzer oder Benutzergruppen auf den Konnektor und damit auf die Anwendung zugreifen dürfen.
Klicken Sie dazu auf den Block „Benutzerzugriff".
Wählen Sie anschließend die autorisierten Benutzer / Gruppen aus.
Verbindung überprüfen
Sobald diese Schritte abgeschlossen sind, können Sie den Konnektor testen:
-
Schritt 1: Öffnen Sie zum korrekten Testen ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnradsymbol und dann auf „Cache leeren".
-
Schritt 2: Geben Sie auf der SSO-Registerkarte Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
- Wenn dies nicht funktioniert, klicken Sie auf der Anmeldeseite auf die Zahnradsymbole oben rechts und überprüfen Sie, ob im API-URL-Feld /api/ am Ende des dedizierten Domainnamens steht. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
- Wenn dies nicht funktioniert, klicken Sie auf der Anmeldeseite auf die Zahnradsymbole oben rechts und überprüfen Sie, ob im API-URL-Feld /api/ am Ende des dedizierten Domainnamens steht. Zum Beispiel: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, usw.
-
Schritt 3: Sie werden zum Google-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
- Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, wo Sie aufgefordert werden, den PIN-Code für Ihr Konto zu erstellen.
Konnektor aktualisieren
Manchmal muss eine Aktualisierung der Signaturzertifikate bzw. Token-Verschlüsselung am Google-Konnektor vorgenommen werden.
In diesem Fall müssen Sie die neue IDP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Konsultieren Sie dazu diese Dokumentation: Konfiguration der SSO-Verbindung.
Aktualisiert