Single Sign-On (SSO) - Anwendungsinformationen
Aktivieren von Single Sign-On (SSO)
Um Single Sign-On (SSO) zu aktivieren, befolgen Sie diese Schritte:
- Suchen Sie den SSO-Schalter unten auf der Veröffentlichen-Seite Ihres Spiels.
- Schalten Sie den Schalter um, um SSO für das Spiel zu aktivieren.
SSO-Konfigurationsoptionen
Bei der Aktivierung von SSO haben Sie drei mögliche Konfigurationsoptionen:
1. Verwendung der geerbten SSO-Konfiguration
Wenn Sie SSO aktivieren, es aber nicht manuell innerhalb der App konfigurieren und "Verwendung von Arbeitsbereichs- oder Benutzerkonfiguration" auswählen:
- Das System nutzt die auf der Ebene des Arbeitsbereichs definierte SSO-Konfiguration.
- Falls keine Konfiguration auf Ebene des Arbeitsbereichs verfügbar ist, wird auf die Benutzerkonfiguration zurückgegriffen.
Dies ermöglicht es Ihnen, die SSO-Einstellungen zentral zu verwalten, ohne sie separat für jedes Spiel konfigurieren zu müssen.
✅ Empfohlen, wenn Sie die gleiche SSO-Konfiguration für mehrere Spiele übernehmen möchten.2. Konfiguration von SAML-basiertem SSO
Wenn Sie sich entscheiden, SAML manuell zu konfigurieren, befolgen Sie diese Schritte:
Service-Provider-Details (Drimify stellt diese bereit)
- Service-Provider Entity ID – Individuelles Kennzeichen für Ihr Spiel als Service-Provider.
- Assertion Consumer Service (ACS) URL – URL, an die der IdP SAML-Aussagen sendet.
- Single Abmelden Service (SLS) URL – URL zur Verwaltung von Single-Logout-Anfragen vom IdP.
Identity-Provider-Details (Müssen Sie von Ihrem IdP einholen)
- Identity Provider Entity ID (Issuer URL) – z.B.
https://idp.example.com/
- Single Sign-On Service URL – z.B.
https://idp.example.com/sso/saml
- Single Abmelden Service URL – z.B.
https://idp.example.com/slo/saml
- X.509-Zertifikat – Erforderlich zur Überprüfung und Sicherung der Kommunikation.
- Verschlüsselungs-X.509-Zertifikat (Optional) – Zum Verschlüsseln von SAML-Aussagen.### Authentifizierungsmethode Konfigurieren (Optional)
Beim Einrichten von Single Sign-On (SSO) in Ihrem Drimify-Konto können Sie die Authentifizierungsmethode (authenticationMethod
) festlegen, die bestimmt, wie Benutzer sich beim Identity Provider (IdP) authentifizieren. Diese Einstellung erlaubt es Ihnen, ein bestimmtes Authentifizierungsniveau durchzusetzen, um die Sicherheitsrichtlinien Ihrer Organisation einzuhalten.
Sie können aus den folgenden Authentifizierungsmethoden wählen:
- Option deaktivieren – Entfernt diese Einstellung aus der SSO-Konfiguration, sodass keine spezifische Authentifizierungsmethode durchgesetzt wird.
- Keine (IdP entscheiden lassen) – Es wird keine spezifische Authentifizierungsmethode erzwungen; der IdP bestimmt den Authentifizierungsmechanismus.
- Passwort-Authentifizierung – Standard Benutzername und Passwort-Authentifizierung.
- Passwortgeschützte Übertragung – Passwort-Authentifizierung über eine geschützte Transportschicht (z. B. TLS).
- X.509-Zertifikatsauthentifizierung – Authentifizierung mit einem X.509-Zertifikat.
- PKI-Authentifizierung – Authentifizierung basierend auf der Public Key Infrastructure (PKI).
- Kerberos-Authentifizierung – Authentifizierung über ein Kerberos-Ticket.
- Smartcard-Authentifizierung – Anmeldung mit einer Smartcard.
- Smartcard PKI-Authentifizierung – Smartcard-Authentifizierung mit PKI.
- Zeit-synchrones Token – Einmal-Passwort (OTP), das durch zeitgesteuerte Token generiert wird.
- Mobile Einfaktor-/Zweifaktor-Authentifizierung – Authentifizierung über ein mobiles Gerät, entweder als Ein- oder Zweifaktormethode.
- IP-Adressen-Authentifizierung – Authentifiziert Benutzer basierend auf ihrer IP-Adresse.
- IP-Adresse mit Passwort – Erfordert sowohl IP-basierte Authentifizierung als auch ein Passwort.
- Authentifizierung vorheriger Sitzung – Verwendet eine zuvor authentifizierte Sitzung erneut.
- Nicht spezifizierte Authentifizierung – Es wird keine spezifische Authentifizierungsmethode definiert.
Um dies in Ihrem Formular zu konfigurieren, wählen Sie einfach die gewünschte Methode aus dem Dropdown-Menü aus. Wenn keine Methode explizit festgelegt wird, bestimmt der IdP den Authentifizierungstyp.
3. OAuth-basiertes SSO konfigurieren
Alternativ können Sie OAuth anstelle von SAML für die Authentifizierung nutzen.
Optionen für den oauth-anbieter
Sie können einen der folgenden Anbieter wählen:
- Keycloak
- Benutzerdefiniert
Wenn Sie Keycloak verwenden, benötigen Sie:
- Client-ID
- Client-Geheimnis
- Keycloak-Server-URL
- Keycloak-Realm
- Keycloak-Version
Wenn Sie einen benutzerdefinierten OAuth-Anbieter verwenden, benötigen Sie:
- Client-ID
- Client-Geheimnis
- Autorisierungs-URL
- Zugriffstoken-URL
- Ressourcenbesitzer-URL
- Scopes (z. B.
openid profil email
) - ID-Feld (z. B.
sub
) - E-Mail-Feld (z. B.
email
) - Vorname-Feld (z. B.
given_name
) - Nachname-Feld (z. B.
family_name
)
Schritt-für-Schritt-Zusammenfassung
- SSO aktivieren: Schalten Sie den SSO-Schalter im Veröffentlichungsabschnitt des Spiels um.
- Konfigurationsmethode wählen:
- Verwenden Sie die geerbte Arbeitsplatz-/Benutzerkonfiguration oder
- Konfigurieren Sie SAML oder OAuth manuell.
- Dienstanbieter-Details abrufen (wenn SAML verwendet wird).
- Einstellungen des Identitätsanbieters oder des oauth-anbieters eingeben.
- Konfiguration speichern und testen mit dem direkten Anwendungslink (nicht im Vorschaumodus).
Wichtige Hinweise
- 🔐 Plananforderung: Stellen Sie sicher, dass Ihr Abonnement die Option Premium SSO enthält.
- 🔗 Direktlink-Testen: SSO funktioniert nur über den direkten App-Link, nicht in der Vorschau.
- 🔧 SSO-Spiel-Detailkonfiguration: Stellen Sie sicher, dass Ihre SSO-Plattform Aufrufe von Drimify akzeptiert.
- 📋 Referenzleitfaden: Sehen Sie sich den SSO-Konfigurationsleitfaden für detaillierte Hilfe an.
Tipps zur Fehlersuche### 🛡️ SAML-Spezifische Probleme
- Falsche ACS-URL oder Entity-ID
Überprüfen Sie, dass die Assertion Consumer Service (ACS) URL und die Entity-ID in Ihrem Identity Provider (IdP) mit denen von Drimify in Ihrer SSO-Konfiguration übereinstimmen.
- Ungültiges oder abgelaufenes X.509-Zertifikat
Stellen Sie sicher, dass das in Ihrer Konfiguration hinzugefügte X.509-Zertifikat gültig ist und nicht abgelaufen ist. Sollte es sich ändern, aktualisieren Sie es in der Konfiguration.
- Nicht unterstützte Authentifizierungsmethode
Wenn Sie eine bestimmte Authentifizierungsmethode (wie Smartcard
oder Kerberos
) erzwingen und der Login fehlschlägt, versuchen Sie, die Methode auf "None" zu setzen, um dem IdP die Entscheidung zu überlassen.
- SAML-Assertions werden nicht akzeptiert
Stellen Sie sicher, dass Ihr IdP die Assertion im korrekten Format sendet (in der Regel urn:oasis:names:tc:SAML:2.0:assertion
) und dass sie die erwarteten Benutzerfelder (z.B. E-Mail) enthält.
🔐 OAuth-Spezifische Probleme
- Ungültige Client-ID oder Secret
Stellen Sie sicher, dass Ihre Client-ID und Ihr Client Secret korrekt von Ihrem OAuth-Anbieter-Dashboard kopiert wurden. Ein falsches Paar verhindert die Authentifizierung.
- Falsche URLs (Authorization / Token / Benutzerinfo)
Bestätigen Sie, dass die Authorization URL, Access Token URL und Benutzer-Info-URL korrekt und öffentlich zugänglich sind. Tippfehler oder falsche Umgebungen (z.B. dev vs prod) sind häufige Fehlerquellen.
- Fehlender oder falscher Scope
Stellen Sie sicher, dass Sie den korrekten Scope(s) angegeben haben, um Benutzerinformationen abzurufen (z.B. openid email profile
). Fehlende Scopes können zu unvollständigen Benutzerdaten führen.
- Fehlende oder falsch benannte Felder
Wenn Benutzer nicht korrekt identifiziert werden, prüfen Sie, ob Ihre ID-Feld, E-Mail-Feld, Vorname und Nachname-Feld-Namen mit der Struktur übereinstimmen, die von Ihrem OAuth-Anbieter zurückgegeben wird.
🚨 Allgemeine Probleme (Sowohl SAML als auch OAuth)
- SSO funktioniert in der Vorschau, aber nicht im Direktlink (oder umgekehrt)
SSO funktioniert nur im Live-Anwendung-Link, nicht in der Vorschau. Testen Sie immer mit dem direkten App-Link.
- SSO wird nicht ausgelöst
Stellen Sie sicher:
- SSO ist für das Spiel aktiviert.
- Ihr Tarif umfasst die Premium SSO-Option.
- Ihr SSO-Provider akzeptiert Anrufe von Drimify-Servern.
- Fallback-Konfiguration funktioniert nicht
Wenn Sie sich auf die Konfiguration auf Arbeitsbereichs- oder Benutzerebene verlassen, stellen Sie sicher, dass diese korrekt eingerichtet und aktiv ist. Andernfalls konfigurieren Sie SAML oder OAuth direkt in der App.
- App erhält nicht die richtige Benutzeridentität
Überprüfen Sie, ob Ihr IdP (SAML) oder OAuth-Anbieter eine konsistente, eindeutige Benutzer-ID, E-Mail-Adresse oder Identifizierungsmerkmal zurücksendet, die mit dem übereinstimmt, was in Ihrer App konfiguriert ist.
Aktualisiert am: 22/07/2025
Danke!