Du kannst die SAML-Authentifizierung zwischen Microsoft Entra ID und Haiilo einrichten, damit Deine Nutzer sich mit ihren Firmen-Anmeldedaten anmelden können. Um die Anmeldung zu ermöglichen, musst Du Schritte sowohl in Microsoft Entra ID als auch in der Administration von Haiilo abschließen.
Obwohl Haiilo selbst keine Zwei-Faktor-Authentifizierung anbietet, kannst Du einen SAML-Dienst verwenden, um dies zu tun. Du musst sicherstellen, dass der Dienst ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle und TLS 1.2 verwendet.
1. Eine Anwendung in Entra ID einrichten
Du benötigst Administratorrechte in Deinem Microsoft Entra ID-Konto, um eine SAML-Anwendung einzurichten.
Erstelle eine Anwendung
- Melde Dich bei der Microsoft Azure-Plattform an.
- Gehe zu Unternehmensanwendungen > Neue Anwendung
- Wähle Eigene Anwendung erstellen
- Vergebe einen Namen für Deine App, z.B. Haiilo, und wähle Nicht-Galerie als Typ
- Wähle Erstellen
Weise Testnutzer zu
- In Deiner neu erstellten Anwendung gehe zu Benutzer und Gruppen
- Wähle Benutzer/Gruppe hinzufügen
- Wähle Keine ausgewählt, um einen Testnutzer auszuwählen, der der Anwendung zugewiesen werden soll. Der Nutzer sollte bereits auf Deiner Haiilo-Plattform existieren.
- Bestätige und weise zu
Erhalte IdP-Informationen
- Gehe zu Single Sign-On und wähle die Methode SAML
- Scrolle zu Schritt 4 des SAML-Setups in Entra ID
- Kopiere und speichere die Login-URL, Microsoft Entra-Identifier und Logout-URL
Halte den Browser-Tab für Microsoft Entra ID geöffnet, damit Du die Einrichtung nach der Konfiguration von SAML in Haiilo abschließen kannst.
2. Einen SAML-Authentifizierungsanbieter in Haiilo einrichten
Beim Einrichten eines SAML-Authentifizierungsanbieters kann dieser nur auf ein Benutzerverzeichnis und die Nutzer dieses Verzeichnisses angewendet werden. Du benötigst die Berechtigung "Verwaltung der Authentifizierungs-Anbieter", um einen Authentifizierungsanbieter in Haiilo einzurichten.
Definiere grundlegende Informationen
- Gehe zu Administration > Authentifizierung
- Wähle Authentifizierungs-Anbieter erstellen
- Gib einen Namen ein. Der Name wird den Nutzern auf dem Anmeldebildschirm nach "Authentifizieren mit" angezeigt.
- Wähle einen Typ: SAML
- Markiere Aktiv
- Entscheide, ob Du Automatische Anmeldung verwenden möchtest. Dies leitet den Nutzer automatisch vom Anmeldebildschirm nach einigen Sekunden zum Identitätsanbieter um. Wenn Nutzer nicht umgeleitet werden möchten, können sie vor der Umleitung Als lokaler Benutzer anmelden auswählen.
- Entscheide, ob dieser Authentifizierungsanbieter Sitzungs-E-Mails für neue Anmeldungen sendet.
SAML konfigurieren
- Gib die Entitäts-ID (Microsoft Entra-Identifier), den Authentifizierungs-URL (Login-URL) und den Logout-URL ein, die Du von Entra ID kopiert hast.
- Setze sowohl den Authentifizierungs-URL als auch den Logout-URL auf
REDIRECT
. - Wähle eine Logout-Methode: Local oder Global/Federated. Dies legt fest, ob der Nutzer lokal (nur Haiilo) oder global (SAML-Abmeldung) abgemeldet wird, wenn er sich von Haiilo abmeldet.
- Gib eine Antwortgültigkeit ein, d.h. den Zeitrahmen für Anfragen. Wir empfehlen die Standarddauer von 300 Sekunden.
- Wähle das Benutzerverzeichnis aus, das diesen Authentifizierungsanbieter verwenden kann. Die Optionen hängen von Deinen Benutzerverzeichnis-Einstellungen ab.
- Im Tab Antwortvalidierung aktiviere Deaktiviere Zertifikatprüfung.
- Wähle Speichern, um die Konfiguration zu erstellen und die Haiilo-Endpunkte sowie Metadaten-XML zu generieren
Metadaten abrufen
- Wähle Bearbeiten bei Deinem neu erstellten SAML-Authentifizierungsanbieter
- Im Tab Allgemein scrolle nach unten
- Öffne die Lokale Serviceanbieter XML Metadaten und speichere sie auf Deinem Computer
3. Abschließen der SAML-Konfiguration auf Entra ID
Nachdem Du den Authentifizierungsanbieter in Haiilo konfiguriert hast, kannst Du Haiilos Metadaten in Microsoft Entra ID hochladen.
- In Deiner SAML-Anwendung auf Entra ID gehe zu Single Sign-On
- Wähle Metadatendatei hochladen und wähle die lokale Dienstanbieterdatei aus, die Du von Haiilo gespeichert hast. Alternativ kannst Du die Werte manuell ausfüllen. Sie folgen dem Muster:
-
Identifier (Entity ID):
{HOST}/web/sso/{NAME}
-
Reply URL:
{HOST}
-
Sign on URL:
{HOST}/web/saml/sso/alias/{NAME}
-
Relay State:
{HOST}
-
Logout URL:
{HOST}/web/saml/slo/alias/{NAME}
-
Identifier (Entity ID):
- In Attribute & Ansprüche wähle Bearbeiten
- Ändere den Eindeutigen Benutzeridentifikator zu
user.mail
- Wähle Speichern
Jetzt können Nutzer, wenn der Authentifizierungsanbieter in Haiilo aktiviert ist, sich mit ihren Microsoft-Anmeldeinformationen auf Deiner Plattform anmelden.