Einmalanmeldung (SSO) - Hauptkonfiguration

Aktivierung von Single Sign-On (SSO)

Um Single Sign-On (SSO) zu aktivieren, folgen Sie diesen Schritten:
Suchen Sie den SSO-Umschalter in Ihren Authentifizierungs-Einstellungen.
Schalten Sie den Umschalter um, um SSO zu aktivieren.

⚠️ Wichtig: Sie können Ihre SSO-Konfiguration nur mit dem direkten Link zu Ihrer Anwendung testen. SSO funktioniert nicht im Vorschau-Modus.

SSO Konfigurationsoptionen

1. SAML-basiertes SSO konfigurieren

Wenn Sie SAML verwenden möchten, müssen Sie sowohl die Drimify-Service-Provider-Daten als auch die Daten Ihres Identity Providers konfigurieren.

Service Provider Details (bereitgestellt von Drimify):

Entity-ID – Ein individuelles Kennzeichen für Ihre Konfiguration.
ACS (Assertion Consumer Service) URL – Hierhin sendet der IdP SAML-Aussagen.
SLS (Single Logout Service) URL – Bearbeitet Abmeldeanforderungen.

Diese Werte erscheinen, sobald SSO aktiviert ist und müssen zu Ihrem Identity Provider (IdP) hinzugefügt werden.

Identity Provider Details (bereitgestellt von Ihnen):

Entity-ID (Issuer) – z.B., https://idp.example.com/
Single Sign-On Service URL – z.B., https://idp.example.com/sso/saml
Single Logout Service URL – z.B., https://idp.example.com/slo/saml
X.509 Zertifikat – Erforderlich zur Validierung von SAML-Antworten.
Verschlüsselungszertifikat (optional) – Zum Verschlüsseln von Aussagen.

2. Authentifizierungsmethode (Optional)

Sie können optional eine authenticationMethod definieren, um bei der Anmeldung über SSO ein bestimmtes Authentifizierungsniveau zu erzwingen.

Verfügbare Methoden:

Keine (IdP entscheiden lassen)
Passwort / Passwort über TLS
X.509-Zertifikat
PKI-Authentifizierung
Kerberos
Smartcard / Smartcard PKI
Zeit-synchronisiertes Token (OTP)
Mobil (1FA / 2FA)
Nur IP-Adresse / IP + Passwort
Vorherige Sitzung
Nicht spezifiziert

Wenn Sie unsicher sind, wählen Sie Keine, um den Identity Provider die Authentifizierungsmethode bestimmen zu lassen.

3. OAuth-basiertes SSO konfigurieren

Sie können SSO auch über einen OAuth-Anbieter konfigurieren.

Unterstützte OAuth-Optionen:

Keycloak
Benutzerdefinierter Anbieter

Für Keycloak:

Client-ID
Client Secret
Keycloak-Server-URL
Realm
Version

Für benutzerdefiniertes OAuth:

Client-ID
Client Secret
Autorisierungs-URL
Zugriffstoken-URL
Ressourcen-Eigentümer (Benutzerinfo) URL
Scopes (z. B. openid, profile, email)
ID-Feld (z. B. sub)
E-Mail-Feld (z. B. email)
Vorname-Feld (z. B. given_name)
Nachname-Feld (z. B. family_name)

Schritt-für-Schritt-Zusammenfassung

SSO aktivieren über den Umschalter.
Konfigurationsmethode wählen:

SAML oder OAuth manuell konfigurieren.

Erforderliche Details eingeben (abhängig von der Methode).
Speichern und testen mit dem direkten Anwendungslink.

Wichtige Hinweise

🔐 Plananforderung: Ihr Abonnement muss die Premium-SSO-Option enthalten.
🔗 Testen mit Direktlink: Der Vorschau-Modus unterstützt kein SSO.
🛠️ Überprüfen Sie Ihre SSO-Plattform: Stellen Sie sicher, dass Ihr IdP oder OAuth-Anbieter Anfragen von Drimify zulässt.

Tipps zur Fehlerbehebung

SAML-spezifisch

✅ ACS-URL / Entity-ID-Abgleich: Überprüfen Sie diese Werte in Ihrem IdP.
📅 Abgelaufenes Zertifikat: Aktualisieren Sie das X.509-Zertifikat, wenn es abgelaufen oder geändert wurde.
🚫 Nicht unterstützte Authentifizierungsmethode: Versuchen Sie, "Keine" einzustellen, wenn die Anmeldung fehlschlägt.
📥 SAML-Aussage nicht akzeptiert: Stellen Sie sicher, dass sie im korrekten Format ist und die erforderlichen Felder (wie E-Mail) enthält.

OAuth-spezifisch

❌ Ungültige Client-ID/Secret: Überprüfen Sie die Anmeldeinformationen.
🌐 Falsche URLs: Stellen Sie sicher, dass alle URLs korrekt und erreichbar sind.
🔍 Fehlende Scopes: Bestätigen Sie, dass die erforderlichen Scopes enthalten sind.
🧩 Fehlende Feldzuordnungen: Stimmen Sie die Feldnamen mit der Benutzerinfo-Antwort Ihres OAuth-Anbieters überein.### Allgemeine Probleme

⚠️ SSO funktioniert nur über Direktlink: Vermeiden Sie Tests in der Vorschau.
🔄 SSO wird nicht ausgelöst: Stellen Sie sicher, dass es aktiviert ist und Ihr Tarif die Funktion beinhaltet.
🧭 Benutzerdaten stimmen nicht überein: Überprüfen Sie, ob Ihr IdP oder OAuth-Anbieter eine gültige, eindeutige Benutzerkennung zurückgibt.

Aktualisiert am: 30/05/2025