Voraussetzungen:
SSO muss vom Unternehmensadministrator des Rainbow Unternehmens konfiguriert werden.
Dem Unternehmen muss mindestens eine Enterprise-Lizenz zugewiesen sein, sonst wird die Registerkarte Sicherheit nicht angezeigt.
Vorgehensweise:
Melden Sie sich mit einem Company Admin-Konto an
Öffnen Sie Mein Unternehmen> Einstellungen> Registerkarte Sicherheit:
Fügen Sie eine neue Authentifizierungsmethode hinzu: OIDC oder SAML.
Für SAML geben Sie die folgenden Informationen aus Ihrem IDP ein:
- Anmelde-URL
- Abmelde-URL (optional)
- Attribut Benutzer-ID: Das Attribut ID hängt nicht von der Firma ab und sollte immer gleich sein.
Für ADFS: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Für Azure AD: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Für Shibboleth: urn:oid:0.9.2342.19200300.100.1.3
- Zertifikate: Dieses Zertifikat muss im pem-Format von Ihrem IDP heruntergeladen werden.
Es handelt sich um das Token-Signierungszertifikat.
Als Beispiel finden Sie es hier auf Azure AD:
Erweiterte Optionen:
Die Standardwerte sollten in den meisten Fällen funktionieren, sind aber mit Vorsicht zu verwenden
- Authentifizierung erzwingen: löst immer die Authentifizierung aus, auch wenn bereits eine Sitzung besteht, standardmäßig nicht aktiviert
- Anfrage immer signieren: Anfragen von Rainbow werden signiert, standardmäßig nicht aktiviert
- Unverschlüsselte Assertions zulassen: Assertions werden nicht verschlüsselt, standardmäßig aktiviert
Wenn Sie fertiggestellt sind, können Sie die Rainbow-Metadaten-Datei herunterladen und in den IDP-Server importieren.
Für OIDC:
Geben Sie die folgenden Informationen aus Ihrem IDP ein:
- Kunden-ID
- Geheimnis
- Such-URL
Erweiterte Optionen - Informationen zur Benutzer-Authentifizierung:
Die Standardwerte sollten in den meisten Fällen funktionieren, sind aber mit Vorsicht zu verwenden
- Attribut Benutzer-ID: der Name des Attributs, das in der Authentifizierungsanfrage zur Identifizierung des Benutzers verwendet werden soll
- Scope-Parameter: der Scope-Parameter, der in die Authentifizierungsanfrage aufgenommen werden soll
- ACR-Wert: eine durch Leerzeichen getrennte Zeichenkette, die die Werte der Authentifizierungskontextklasse angibt, die in der Authentifizierungsanfrage des Benutzers verwendet werden sollen, wobei die Werte in der Reihenfolge ihrer Präferenz erscheinen
Oder verwenden Sie die manuelle Methode:
Externer Authentifizierungsbezeichner
Auf Benutzerbasis ist es auch möglich, einen externen Authentifizierungsbezeichner zu konfigurieren.
Diese Kennung wird für die Authentifizierung des Benutzers verwendet.
Dies kann zum Beispiel nützlich sein, wenn sich die Rainbow LoginEmail von der E-Mail Adresse des Benutzers in Azure AD unterscheidet.
Am Ende der SSO-Konfiguration ist es möglich, SSO für alle Mitglieder des Unternehmens zu aktivieren, indem Sie das Menü SAML oder OIDC bearbeiten:
Hinweis: Die Administratoren des Unternehmens haben weiterhin die Wahl, sich mit SSO oder Login/Passwort anzumelden.
Weitere Informationen über OIDC, SAML, die Liste der unterstützten Server und deren Konfiguration finden Sie in den folgenden Artikeln:
https://support.openrainbow.com/hc/en-us/sections/360003695979-Authentification