Mit einem Single-sign-on könnt Ihr als Nutzer über eine einzige Authentifizierungsquelle in Propstack anmelden. Wie die SSO Funktion in Propstack aktiviert und genutzt wird, erfahrt Ihr in diesem Artikel.
Wie kann SSO in Propstack aktiviert werden?
Die SSO Funktion könnt Ihr in Propstack unter Verwaltung > Systemeinstellungen aktivieren.
Dafür müsst Ihr eine gültige Identity Provider URL eintragen, mit Verweis auf die zu verwendende SAML Datei. Wie die URL der SAML Datei bei Microsoft und Google abgerufen werden, erklären wir im nächsten Schritt.
Die Loginmethode beschreibt, ob ausschließlich SSO zur Anmeldung in Propstack genutzt werden soll, was bedeutet, dass der Login mit Passwort und E-Mail nicht mehr möglich ist. Oder ob SSO und eine E-Mail Anmeldung parallel möglich sein soll.
Wichtiger Hinweis: Wir empfehlen beim Einrichten der SSO Funktion immer beide Login Möglichkeiten (SSO+Mail) zu nutzen:
Über welche Anbieter ist eine SSO-Anmeldung möglich?
Wir unterstützen die beiden Anbieter Microsoft und Google. Bitte beachtet, dass die Einrichtung sehr komplex ist und wir empfehlen, dass Ihr Euch hierzu an Euren IT-Ansprechpartner und/oder an den Support von Microsoft oder Google wendet, solltet Ihr Unterstützung benötigen.
Microsoft:
-
Geht bitte wie folgt vor:
-
Im Microsoft Azure Portal anmelden: https://portal.azure.com/
-
Im linken Menü "Azure Active Directory" auswählen.
-
Eine neue (Unternehmen) Anwendung hinzufügen und im darauffolgenden Schirm "Eigene Anwendung erstellen" klicken.
-
-
In diesem Schritt richtet Ihr die eben erstellte Anwendung für SSO ein. Dafür ruft Ihr wieder das Azure Active Directory auf, wählt im linken Menü Unternehmensanwendungen und anschließend unsere gerade erzeugte Anwendung aus.
Alternativ könnt Ihr die erzeugte Anwendung über die Suche finden und auswählen. Innerhalb der Anwendung, im linken Menü zu dem Punkt "Einmaliges Anmelden" navigiert Ihr Euch und wählt anschließend als SSO-Methode "SAML" aus.
Jetzt könnt Ihr mit der Einrichtung von SAML für unsere Anwendung beginnen. Dafür klickt Ihr in dem Bereich "Grundlegende SAML-Konfiguration" auf das Stift Symbole, um den Bearbeitungsmodus zu öffnen.
Im folgenden Fenster tragt Ihr die Werte für Bezeichner (Entitäts-ID) und die Antwort-URL (Assertionsverbraucherdienst-URL) ein. Die anderen Werte müssen nicht ausgefüllt werden.
Bezeichner (Entitäts-ID):
https://crm.propstack.de/idpAntwort-URL (Assertionsverbraucherdienst-URL):
https://crm.propstack.de/saml_sessions/callbackJetzt könnt Ihr die App URL aus dem Bereich "SAML Zertifikate" kopieren, indem Ihr bei dem Feld "App Verbundmetadaten-URL" auf das Kopieren-Symbole klickt.
Diese Verbundmetadaten-URL könnt Ihr nun in Propstack unter Verwaltung >
Systemeinstellungen > SAML Single Sign-on (SSO) hinterlegen und so SSO für Propstack aktivieren.
-
Als letzten Schritt müsst Ihr entscheiden, welche Benutzer das SSO Verfahren nutzen dürfen oder ob es für alle Benutzer aktiviert wird. Um die Anmeldung in Propstack mit SSO für alle Benutzer freizugeben, wählt Ihr zuerst wieder unsere erstellte Anwendung in Azure aus und navigiert zu den Eigenschaften der Anwendung (Verwalten > Eigenschaften). Dort findet Ihr den Punkt "Zuweisung erforderlich" und stellt diesen auf "Nein", damit alle Benutzer die Anwendung und somit das SSO Verfahren nutzen können.
Wenn nur einzelnen Benutzer die Möglichkeit eingeräumt werden soll, dass SSO Verfahren zu nutzen, so könnt Ihr diese explizit hinzufügen. Dafür in den Bereich "Benutzer und Gruppen" wechseln. In diesem Bereich könnt Ihr einzelne Benutzer zu Anwendung hinzufügen.
Google:
-
Geht bitte wie folgt vor:
-
In der Google Admin Console anmelden: https://admin.google.com/
-
Im linken Menü "Apps" und dann "Web und mobile Apps" auswählen.
-
Einen App-Namen eingeben, z.B. "Propstack" und auf weiter klicken.
-
Wichtig: Metadaten herunterladen und für später speichern. Anschließend auf weiter klicken.
-
Nun können wir die Entitäts-ID und ACS-URl eintragen. Außerdem beim Name-ID-Format -> E-Mail auswählen und auf weiter klicken:
Entitäts-ID:
https://crm.propstack.de/idp
ACS-URL:
-
Im letzten Fenster "Fertigstellen" auswählen, damit die App erstellt wird.
-
-
Der Nutzerzugriff wird wie folgt konfiguriert:
-
Bitte hinterlegt die in Schritt 1 geladenen Metadaten in Propstack:
-
In Propstack unter Verwaltung > Systemeinstellung > SAML Single sign-on (SSO) aufrufen.
-