Einmalanmeldung (SSO) - Hauptkonfiguration
Aktivierung von Single Sign-On (SSO)
Um Single Sign-On (SSO) zu aktivieren, folgen Sie diesen Schritten:
- Suchen Sie den SSO-Umschalter in Ihren Authentifizierungs-Einstellungen.
- Schalten Sie den Umschalter um, um SSO zu aktivieren.
SSO Konfigurationsoptionen
1. SAML-basiertes SSO konfigurieren
Wenn Sie SAML verwenden möchten, müssen Sie sowohl die Drimify-Service-Provider-Daten als auch die Daten Ihres Identity Providers konfigurieren.
Service Provider Details (bereitgestellt von Drimify):
- Entity-ID – Ein individuelles Kennzeichen für Ihre Konfiguration.
- ACS (Assertion Consumer Service) URL – Hierhin sendet der IdP SAML-Aussagen.
- SLS (Single Logout Service) URL – Bearbeitet Abmeldeanforderungen.
Identity Provider Details (bereitgestellt von Ihnen):
- Entity-ID (Issuer) – z.B.,
https://idp.example.com/
- Single Sign-On Service URL – z.B.,
https://idp.example.com/sso/saml
- Single Logout Service URL – z.B.,
https://idp.example.com/slo/saml
- X.509 Zertifikat – Erforderlich zur Validierung von SAML-Antworten.
- Verschlüsselungszertifikat (optional) – Zum Verschlüsseln von Aussagen.
2. Authentifizierungsmethode (Optional)
Sie können optional eine authenticationMethod
definieren, um bei der Anmeldung über SSO ein bestimmtes Authentifizierungsniveau zu erzwingen.
Verfügbare Methoden:
- Keine (IdP entscheiden lassen)
- Passwort / Passwort über TLS
- X.509-Zertifikat
- PKI-Authentifizierung
- Kerberos
- Smartcard / Smartcard PKI
- Zeit-synchronisiertes Token (OTP)
- Mobil (1FA / 2FA)
- Nur IP-Adresse / IP + Passwort
- Vorherige Sitzung
- Nicht spezifiziert
3. OAuth-basiertes SSO konfigurieren
Sie können SSO auch über einen OAuth-Anbieter konfigurieren.
Unterstützte OAuth-Optionen:
- Keycloak
- Benutzerdefinierter Anbieter
Für Keycloak:
- Client-ID
- Client Secret
- Keycloak-Server-URL
- Realm
- Version
Für benutzerdefiniertes OAuth:
- Client-ID
- Client Secret
- Autorisierungs-URL
- Zugriffstoken-URL
- Ressourcen-Eigentümer (Benutzerinfo) URL
- Scopes (z. B.
openid
,profile
,email
) - ID-Feld (z. B.
sub
) - E-Mail-Feld (z. B.
email
) - Vorname-Feld (z. B.
given_name
) - Nachname-Feld (z. B.
family_name
)
Schritt-für-Schritt-Zusammenfassung
- SSO aktivieren über den Umschalter.
- Konfigurationsmethode wählen:
- SAML oder OAuth manuell konfigurieren.
- Erforderliche Details eingeben (abhängig von der Methode).
- Speichern und testen mit dem direkten Anwendungslink.
Wichtige Hinweise
- 🔐 Plananforderung: Ihr Abonnement muss die Premium-SSO-Option enthalten.
- 🔗 Testen mit Direktlink: Der Vorschau-Modus unterstützt kein SSO.
- 🛠️ Überprüfen Sie Ihre SSO-Plattform: Stellen Sie sicher, dass Ihr IdP oder OAuth-Anbieter Anfragen von Drimify zulässt.
Tipps zur Fehlerbehebung
SAML-spezifisch
- ✅ ACS-URL / Entity-ID-Abgleich: Überprüfen Sie diese Werte in Ihrem IdP.
- 📅 Abgelaufenes Zertifikat: Aktualisieren Sie das X.509-Zertifikat, wenn es abgelaufen oder geändert wurde.
- 🚫 Nicht unterstützte Authentifizierungsmethode: Versuchen Sie, "Keine" einzustellen, wenn die Anmeldung fehlschlägt.
- 📥 SAML-Aussage nicht akzeptiert: Stellen Sie sicher, dass sie im korrekten Format ist und die erforderlichen Felder (wie E-Mail) enthält.
OAuth-spezifisch
- ❌ Ungültige Client-ID/Secret: Überprüfen Sie die Anmeldeinformationen.
- 🌐 Falsche URLs: Stellen Sie sicher, dass alle URLs korrekt und erreichbar sind.
- 🔍 Fehlende Scopes: Bestätigen Sie, dass die erforderlichen Scopes enthalten sind.
- 🧩 Fehlende Feldzuordnungen: Stimmen Sie die Feldnamen mit der Benutzerinfo-Antwort Ihres OAuth-Anbieters überein.### Allgemeine Probleme
- ⚠️ SSO funktioniert nur über Direktlink: Vermeiden Sie Tests in der Vorschau.
- 🔄 SSO wird nicht ausgelöst: Stellen Sie sicher, dass es aktiviert ist und Ihr Tarif die Funktion beinhaltet.
- 🧭 Benutzerdaten stimmen nicht überein: Überprüfen Sie, ob Ihr IdP oder OAuth-Anbieter eine gültige, eindeutige Benutzerkennung zurückgibt.
Aktualisiert am: 30/05/2025
Danke!