Einen Authentifizierungs-Anbieter einrichten (SAML oder OpenID)

Du kannst mehrere Authentifizierungs-Anbieter in Haiilo verwenden. Haiilo unterstützt die Protokolle SAML 2.0 und OpenID und alle Identitätsanbieter (IdP), die diese Protokolle verwenden werden vollständig unterstützt. So können sich deine Nutzer authentifizieren über Windows-integrierte Authentifizierung (SAML) oder auf Plattformen wie LinkedIn (OpenID). Mit SAML können Nutzer beim ersten Login auch dann importiert werden, wenn sie noch nicht in deiner Plattform existieren.

Haiilo selbst unterstützt keine 2-Faktor-Authentifizierung, aber du kannst einen SAML Dienst dafür verwenden. Du musst sicherstellen, dass der Dienst ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle und TLS 1.2 verwendet.

Einrichten eines SAML-Authentifizierungs-Anbieters

Wenn du einen SAML-Authentifizierungs-Anbieter in Haiilo einrichtest, kann er nur für ein Benutzerverzeichnis und seine Nutzer gelten. Um SAML einzurichten, brauchst du Informationen aus der IdP's metadata.xml. Besorge dir die Metadaten, bevor du fortfährst. Du kannst eine Videotutorial für die Einrichtung von SAML unten.

  1. Gehe zu Administration > Authentifizierung
  2. Wähle Authentifizierungs-Anbieter erstellen
  3. Gib einen Namen ein. Der Name wird den Nutzern auf dem Anmeldebildschirm nach "Anmelden mit".
  4. Wähle einen Typ aus: SAML oder SAML just-in-time
  5. Markieren Aktiv
  6. Entscheide, ob du die Automatische Anmeldung verwenden willst. Dadurch wird der Nutzer automatisch vom Anmeldebildschirm zum IdP umgeleitet, nachdem 3-5 Sekunden. Wenn Nutzer nicht umgeleitet werden wollen, wählen sie Als lokaler Benutzer anmelden vor der Weiterleitung, um zum Anmeldebildschirm zu gelangen.Automatische Anmeldung.png
  7. Entscheide, ob dieser Authentifizierungs-Anbieter Sitzung-E-Mails für neue Logins.
  8. Fülle die Informationen auf der Registerkarte Allgemein aus
    1. Aktiviere AD-FS nur, wenn dein Microsoft Active Directory Federation Services verwendet.
    2. Gib die Entitäts-ID, Authentifizierung-URL und Logout-URL aus deiner IdP metadata.xml.
    3. Wähle die Logout Methode. Damit wird festgelegt, ob der Nutzer lokal (nur Haiilo) oder global (SAML-Abmeldung) abgemeldet wird wenn er sich aus Haiilo abmeldet.
    4. Gib eine Antwortgültigkeit ein. Damit legst du den Zeitrahmen für Abfragen fest. Haiilo empfiehlt den Standardwert von 300 Sekunden.
    5. Wähle die Benutzerverzeichnis das diesen Authentifizierungs-Anbieter verwenden kann. Die Optionen hängen ab von Einstellungen deines Benutzerverzeichnisses ab.Authentifizierungsanbieter_erstellen_step_2.png
  9. Fülle die Informationen auf der Anfragesignierung Registerkarte aus, falls zutreffend
    1. Es ist möglich, die SAML-Anfrage in Haiilo mit einem Zertifikat und einem privaten Schlüssel zu signieren. Aktiviere diese Funktion, indem du die Option Anfragen signieren.
    2. Gib ein Zertifikat und einen privaten Schlüssel im PEM-Format ein. Du kannst ein selbstsigniertes Zertifikat verwenden. Das Zertifikat muss zum ADFS-Server in den Einstellungen der Vertrauensbeziehung unter "Signieren" hinzugefügt werden.
  10. Fülle die Informationen auf der Antwortvalidierung Registerkarte aus
    1. Neben der Signierung von Haiilo-Anfragen kannst du auch die Antwort des SAML-Servers überprüfen. Dazu fügst du das Token-signierende Zertifikat des IdP-Servers hier ein.
    2. Wenn du diese Funktion nicht verwenden willst, wähle Deaktiviere Zertifikatsprüfung
  11. Wenn du in Schritt 4 SAML just-in-time ausgewählt hast, musst du die Attribute definieren die für die Nutzer importiert werden, auf der Seite Just-in-time-Bereitstellung.
    1. Du erhältst die notwendigen Werte, indem du sie in deiner metadata.xml suchst.
    2. Es ist auch möglich, Profilfelder zu synchronisieren. Dazu wählst du die Profilfelder in der Just-in-Time-Bereitstellung aus und ordne sie entsprechend den Werten in deiner metadata.xml.Bildschirmfoto_2020-05-28_um_10.19.06.png
  12. Wähle Speichern, um die Haiilo Endpunkte und metadata.xml zu erzeugen. Diese werden nach dem Speichern auf der Allgemein Registerkarte angezeigt.
  13. Füge die Informationen von Haiilo zu deinem IdP hinzu. Haiilo richtet nur einen Redirect zum IdP ein und erwartet dann eine SAML-Assertion, in der der Login-Name (z.B. die E-Mail-Adresse) als Name ID übergeben wird. Für SAML just-in-time müssen die Attribute, die zur Verfügung gestellt werden auch in der SAML-Assertion konfiguriert werden. ADFS Beispiel:Bildschirmfoto_2020-07-02_um_14.36.00.png
  14. Teste die Anmeldung mit einem Nutzer aus dem Benutzerverzeichnis, das du in Schritt 5 festgelegt hast.

Das Video ist nur in Englisch verfügbar.

Einrichten eines OpenID-Authentifizierungs-Anbieters

Im Gegensatz zu SAML ist die OpenID-Authentifizierung immer für alle Nutzer verfügbar und kann nicht auf ein Benutzerverzeichnis beschränkt werden. Um OpenID zu konfigurieren, lies bitte die OpenID-Richtlinien deines Identitätsanbieters. Du kannst sie Tutorial Videos zur Einrichtung von OpenID für Entra ID ansehen.

  1. Gehe zu Administration > Authentifizierung
  2. Wähle Authentifizierungs-Anbieter erstellen
  3. Gib einen Namen ein. Der Name wird den Nutzern auf dem Anmeldebildschirm nach "Anmelden mit".
  4. Wähle den Typ OpenID Connect
  5. Markieren Aktiv
  6. Entscheide, ob du die Automatische Anmeldung verwenden willst. Dadurch wird der Nutzer automatisch vom Anmeldebildschirm zum IdP umgeleitet, nachdem 3-5 Sekunden. Wenn Nutzer nicht umgeleitet werden wollen, wählen sie Als lokaler Benutzer anmelden vor der Weiterleitung, um zum Anmeldebildschirm zu gelangen.Automatische Anmeldung.png
  7. Entscheide, ob dieser Authentifizierungs-Anbieter Sitzung-E-Mails für neue Logins.
  8. Haiilo bietet Voreinstellungen für das automatische Ausfüllen der Felder mit deinen IdP-Informationen. Wähle eine Voreinstellung aus, wenn sie für deinen IdP gilt. Du kannst die Felder auch manuell ausfüllen manuell ausfüllen und Voreinstellungen leer lassen.
  9. Die Mapping-ID ist der Parameter in der IdP-Antwort, der mit dem Anmeldenamen (z.B. der E-Mail-Adresse) des Haiilo Nutzers übereinstimmen muss.
  10. Du musst Haiilo als Webanwendung in deinem IdP registrieren, um den Client-IDClient-Secret, Kunden-Id, Authentifizierungs-, Access-Token -, und User-Info URLs, Token Schema, und Authentifizierung Schema. Du wirst gefragt nach der Haiilo-Login-URL gefragt. Diese Weiterleitungs-URL wird erst nach dem Speichern deiner deiner Konfiguration in Haiilo.
  11. Anwendungsbereich ist die Berechtigung, die du für den Zugriff auf die URL brauchst für Nutzerinformationen.
  12. Wähle Speichern, um die Haiilo Redirect URL zu erstellen. Gib die URL in der App-Registrierung deines IdP ein.
  13. Teste die Anmeldung.

Authentifizierungsanbieter_open_id.png

War dieser Beitrag hilfreich?