Zum Hauptinhalt gehen
Support kontaktieren Servicestatus Plattform-Login
English (United States) Español Français
Anmelden

SSO (Einmalanmeldung)

Aktualisiert

Dieser Artikel erklärt, was SSO (Single Sign-On) ist, wie es funktioniert und welche Konfiguration erforderlich ist, um es in Ihrem Sinch Engage-Konto einzurichten.   

Single Sign-on (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich mit einem einzigen Satz von Anmeldedaten bei mehreren Anwendungen oder Diensten anzumelden. Anstatt sich bei verschiedenen Plattformen separat anzumelden, vereinfacht SSO den Zugriff, indem der Benutzer einmal authentifiziert wird und der Zugriff auf alle verbundenen Systeme gewährt wird. 

Hinweis - Wenn Sie nach Informationen über Sinch ID Single-Sign On suchen, können Sie in diesem Artikel darüber lesen.

Wie SSO funktioniert 

Benutzer meldet sich einmal an: Der Benutzer gibt seine Anmeldedaten auf einer Plattform eines Identitätsanbieters (IdP) ein.  
Ausgabe des Authentifizierungstokens: Der IdP verifiziert die Anmeldeinformationen und generiert ein sicheres Authentifizierungstoken.
Zugriff gewährt: Das Token wird für verbundene Anwendungen freigegeben, so dass der Benutzer ohne erneute Anmeldung auf sie zugreifen kann. 

Vorteile von SSO 

Bequemlichkeit: Die Benutzer müssen sich nicht mehrere Passwörter merken. 

Sicherheit: Reduziert das Risiko von Phishing und Passwortwiederverwendung. 

Effizienz: Beschleunigt die Anmeldezeiten und minimiert IT-Supportanfragen für Passwortrücksetzungen. 

Informationen zur Vorkonfiguration

Derzeit ist SSO eine Funktion, die nur auf Anfrage verfügbar ist. Wenn Sie sie für Ihr Konto aktivieren möchten, senden Sie bitte eine Anfrage an unser Support-Team. Wenn Sie die Funktion bereits aktiviert haben, gehen wir jetzt durch, wie Sie sie einrichten. Bevor Sie mit der Konfiguration von SSO fortfahren können, müssen Sie bestimmte Kriterien erfüllen:

  1. Ein Identitätsanbieter, der den Standard SAML 2.0 unterstützt. Wir bieten Unterstützung für die folgenden Anbieter: Microsoft Azure AD (Active Directory)
    Okta

  2. Benutzerberechtigungen, die es Ihnen ermöglichen, Anwendungen innerhalb Ihres Identitätsanbieters zu konfigurieren.

  3. Administrator-Zugangsdaten für das übergeordnete Sinch Engage-Konto.

Validierung der SSO-Domainüberprüfung

Wenn Sie Single Sign-On (SSO) einrichten, müssen Sie nachweisen, dass Sie Eigentümer der Domain sind, indem Sie einen DNS-TXT-Eintrag hinzufügen. Dies ist eine in der Branche übliche Sicherheitspraxis.

Schritte zur Validierung Ihrer Domain

  1. Holen Sie sich die Details Ihres TXT-Eintrags - Auf dem SSO-Konfigurationsbildschirm sehen Sie den Wert des TXT-Eintrags, der für Ihre Domain erstellt wurde.
  2. Fügen Sie den TXT-Eintrag zu Ihrem DNS hinzu
    - Melden Sie sich bei den DNS-Einstellungen Ihres Domainanbieters an.
    - Fügen Sie einen TXT-Eintrag mit den angegebenen Details hinzu.
  3. Warten Sie auf die DNS-Aktualisierung - es kann ein paar Minuten dauern, bis DNS-Änderungen übertragen werden.
  4. Speichern Sie Ihre SSO-Konfiguration
    - Gehen Sie zurück zur SSO-Einrichtungsseite und klicken Sie auf Speichern.
    - Wenn der TXT-Eintrag noch nicht vorhanden ist, verhindert das System, dass Sie speichern, und zeigt klare Hinweise, was zu tun ist.

Hinweis: Wenn Sie eine einzige Domäne für mehrere Konten verwenden und die Domänen-Eigentümerschaft für diese Konten überprüfen müssen, können Sie mehrere Werte in den TXT-Eintrag eingeben, die durch ein Leerzeichen getrennt sind, wobei jeder Wert von Anführungszeichen umgeben ist. Zum Beispiel:

_sso_domain_verify.dub.ams.stg.mmd.zone. 60 IN TXT "559d63e31092f630ecc07ef84b58a643b64dfd7d0612fc3125ab1c825deb53cd" "4c54ce3fe8553f75282c75f6be30d8d087c4dc82f6cd038d56fb8a3ec6415096"

Wenn Sie selbst keinen TXT-Eintrag hinzufügen können, wenden Sie sich bitte an Ihr IT-Team oder Ihren Domain-Provider, um Hilfe zu erhalten. Sollte auch dieser Ihnen nicht weiterhelfen können, wenden Sie sich bitte an unser Support-Team.

Schritt 1 | Konfigurieren Ihres SSO-Identitätsanbieters

Wichtig: Diese Einrichtungsanleitung ist für IT-Systemadministratoren bestimmt. Wir können Ihnen zwar bei der Einrichtung von SSO für unsere Plattform helfen, aber wir können keinen Support für die Konfiguration Ihres SAML-Identitätsanbieters bieten.

Um Sicherheit und Kompatibilität zu gewährleisten, unterstützt unser System derzeit nur bekannte Identity Provider (IdPs) wie Microsoft Entra ID (Azure AD) und Okta. Leider unterstützen wir derzeit keine benutzerdefinierten Domains oder selbst gehostete IdPs für die SSO-Einrichtung.

Die unterstützten vertrauenswürdigen Standorte sind:
- okta.com
- microsoftonline.com

Die verwendeten IDP-Domains müssen Unterdomains der vertrauenswürdigen Domain sein.

Wir haben auch festgestellt, dass einige Kunden versuchen, eine SSO-Anmeldung mit nur einem Tastendruck (z. B. Okta ISPM SSO-App) mit Sinch Engage zu konfigurieren. Zurzeit unterstützen wir diese Funktion nicht. Um auf Ihr Konto über SSO zuzugreifen, müssen Sie sich über die SSO-Anmeldeseite des Sinch Engage Webportals anmelden.

Wir verwenden SAML 2.0 (Security Assertion Markup Language), einen Standard, der es Identitätsanbietern (IdP) ermöglicht, Autorisierungsdaten wie Ihren Benutzernamen und Ihr Passwort sicher an Dienstanbieter wie Sinch Engage weiterzugeben.

  1. Der erste Schritt besteht darin, eine neue SAML-Anwendung mit Ihrem IdP zu erstellen:
    - Für Microsoft Azure AD navigieren Sie zur Microsoft Entra Gallery und wählen Sie Eigene Anwendung erstellen, dann folgen Sie dieser Anleitung 
Entra-Button "Eigene Anwendung erstellen"

- Für Okta folgen Sie bitte dieser Anleitung

  1. Konfigurieren Sie die Anwendung anhand der folgenden Einstellungen:

Für Microsoft Azure AD

MICROSOFT AZURE AD
Zielgruppen-URI (SP-Entitäts-ID) https://app.sinch.com/
Single-Sign-On-URL https://app.sinch.com/login
Assertion Consumer Service URL (Antwort-URL) https://eu.app.api.sinch.com/v2/iam/sso/acs

 

MICROSOFT AZURE AD | Anspruch
NAME TYP WERT
Eindeutige Benutzeridentifikation (Name ID) SAML user.userprincipalname

 

MICROSOFT AZURE AD | Zusätzlicher Anspruch
NAME TYP WERT
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress SAML user.mail
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname SAML user.givenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name SAML user.userprincipalname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname SAML user.surname

 

Für Okta

OKTA
Zielgruppen-URI (SP-Entitäts-ID) https://app.sinch.com/
Single Sign-On URL (Assertion Consumer Service URL (Antwort-URL)) https://app.api.sinch.com/v2/iam/sso/acs

 

OKTA | Attribute
NAME NAMENSFORMAT WERT
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress URI-Referenz user.email
http://schemas.microsoft.com/claims/authnmethodsreferences URI-Referenz session.amr
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname URI-Referenz user.firstName
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname URI-Referenz user.lastName
  1. Logo konfigurieren - dies ist optional.
  2. Weisen Sie der Anwendung Benutzer oder Gruppen zu.
  3. Kopieren oder laden Sie die IdP-XML-Metadaten herunter – bewahren Sie diese an einem sicheren Ort auf, da Sie sie für Schritt 5 der Konfiguration der Sinch Engage Platform benötigen.

 

Schritt 2 | Konfigurieren der Sinch Engage Plattform

  1. Loggen Sie sich in das übergeordnete Konto in der Sinch Engage Plattform ein - denken Sie daran, dass Sie Benutzeranmeldeinformationen auf Admin-Ebene benötigen, um von hier aus fortzufahren.
Bildschirmfoto der Unterkontoebenen
  1. Sobald Sie auf der Sinch Engage Plattform angemeldet sind, gehen Sie zum Menü und klicken Sie auf Einstellungen > Konto:
Bildschirmfotos der Einstellungsnavigation

Hinweis: Wenn Sie die Option Single Sign-on (SSO) nicht sehen können, bedeutet dies lediglich, dass die Funktion in Ihrem Konto nicht aktiviert ist. Sie können sich an den Support wenden, um die Aktivierung dieser Funktion zu beantragen.

  1. Konfigurieren Sie die E-Mail-Domains, die Sie für SSO aktivieren möchten. E-Mail-Domains können nur einmal pro Kontohierarchie verwendet werden, d. h. wenn Sie eine E-Mail-Domain auf der Ebene eines Unterkontos festlegen, können Sie dieselbe E-Mail-Domain nicht für ein anderes Unterkonto festlegen. Um die eingegebenen Informationen zu speichern, drücken Sie einfach die Eingabetaste auf Ihrer Tastatur oder klicken Sie irgendwo außerhalb des Feldes. 
  2. Verwenden Sie den Dropdown-Pfeil, um Ihren Identitätsanbieter (IdP) auszuwählen - entweder Okta oder Azure AD. Wenn Ihr IdP nicht aufgeführt ist, können Sie sich an den Support wenden, um mehr über die Erweiterung der SSO-Unterstützung auf Ihren IdP zu erfahren.

  3. Geben Sie die von Ihrem IdP bereitgestellte XML-Datei in das vorgesehene Feld ein.

  4. Wenn sich jemand über SSO bei der Sinch MessageMedia-Plattform anmeldet, aber noch kein Benutzerprofil hat, können Sie der Sinch MessageMedia-Plattform erlauben, automatisch einen neuen Benutzer mit den vom IdP bereitgestellten Anmeldeinformationen zu erstellen. Schalten Sie diesen Schalter einfach auf Ein, um die Funktion zu aktivieren.
  5. Verwenden Sie den Dropdown-Pfeil, um die Standardbenutzerrolle festzulegen, die diesen neu erstellten Profilen zugewiesen werden soll.
  6. Wählen Sie die Konten und Unterkonten aus, auf die diese neuen Benutzer Zugriff haben sollen.
  7. Wenn Sie diesen Schalter auf Ein stellen, werden alle Benutzer, die sich mit Anmeldedaten anmelden, die mit den von Ihnen festgelegten E-Mail-Domains übereinstimmen, gezwungen, sich ausschließlich über SSO bei der Sinch MessageMedia-Plattform anzumelden.

  8. Sie können die SAML-Authentifizierung erzwingen, indem Sie sie ein- und ausschalten - dies gilt dann für alle Benutzer.

Hinweis zu 2FA (Zwei-Faktoren-Authentifizierung) 

Wenn SSO erzwungen wird, kann sich der Benutzer nicht mit einem Passwort anmelden, so dass 2FA nicht ausgelöst wird.
Wenn SSO nicht erzwungen wird, kann sich der Benutzer mit einem Passwort anmelden, wodurch 2FA ausgelöst wird. Sie können sich jedoch auch über SSO anmelden, wodurch die 2FA umgangen wird.

FAQs

  • Meine Organisation verwendet einen Identitätsdienstanbieter (IdP), der nicht in der Liste enthalten ist. Wird er unterstützt werden?Bitte wenden Sie sich an das Support-Team und teilen Sie uns mit, welchen Identitätsanbieter Sie verwenden möchten.
  • Bieten Sie Unterstützung für lokale Microsoft Active Directory-Umgebungen (on-premises)?Nein, wir unterstützen nur Azure Active Directory.
  • Unterstützen Sie vom IdP initiiertes SSO?
    Leider derzeit nicht. Die Benutzer müssen ihre E-Mail-Adresse auf der Seite Anmeldung mit Einzelanmeldung erneut eingeben.
  • Meldet die Erzwingung von SAML SSO Benutzer ab?
    Nein, aktive Benutzersitzungen bleiben eingeloggt, bis sie ablaufen. Das nächste Mal, wenn sich ein Benutzer anmelden muss, muss er sich mit SAML SSO anmelden.
  • Welche SAML-Version wird von Sinch Engage unterstützt?
    Wir unterstützen derzeit SAML v2.0.
  • Kann ich mich trotzdem bei der Sinch Engage-Plattform anmelden, wenn mein Identitätsanbieter ausgefallen ist?
    Wenn Sie SAML-Authentifizierung erzwingen aktiviert haben und Ihr IDP ausgefallen ist, sollten Sie sich mit dem Support-Team in Verbindung setzen, damit wir "SAML erzwingen" (Enforce SAML) deaktivieren können, damit sich Administratoren und Benutzer, die bereits vorher existierten, wieder mit E-Mail anmelden können.
  • Warum erhalte ich die Fehlermeldung "SSO auth failed" (SSO-Authentifikation fehlgeschlagen)?
    Es gibt mehrere Gründe, warum diese Fehlermeldung angezeigt werden kann. Nachfolgend finden Sie die beiden häufigsten Beispiele, sollte jedoch keines dieser Beispiele zutreffen, wenden Sie sich bitte an den Support. a. Höchstwahrscheinlich liegt es an einer Diskrepanz in Ihrem relativen Active Directory (AD), wo die Datensätze möglicherweise nicht übereinstimmen. In diesem Fall müssen Sie mit Ihrem AD-Administrator überprüfen, ob die richtigen Details vorhanden sind.
     b. b. Wenn sich ein Benutzer mit Single Sign-On (SSO) anmeldet, beginnt er manchmal mit der Eingabe seiner E-Mail-Adresse. Nachdem sie die Anmeldeschritte durchlaufen haben, bestätigt das System ihre Identität und sendet ihre Daten zurück, einschließlich ihrer verifizierten E-Mail. Manchmal ist die zurückgesendete E-Mail eine andere als die, die sie eingegeben haben. Dies geschieht in der Regel, weil das System so eingerichtet wurde, dass es das falsche E-Mail-Feld abruft. Viele Plattformen speichern mehrere E-Mail-ähnliche Felder (z. B. ihre-organisation.com vs. on.ihre-organisation.com). Wenn das falsche Feld verwendet wird, kann der Administrator die Einstellungen einfach aktualisieren und das richtige Feld auswählen.

Verknüpfung mit

Verwandte Beiträge