Dieser Artikel erklärt, was SSO (Single Sign-On) ist, wie es funktioniert und welche Konfiguration erforderlich ist, um es in Ihrem Sinch Engage-Konto einzurichten.
Single Sign-on (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich mit einem einzigen Satz von Anmeldedaten bei mehreren Anwendungen oder Diensten anzumelden. Anstatt sich bei verschiedenen Plattformen separat anzumelden, vereinfacht SSO den Zugriff, indem der Benutzer einmal authentifiziert wird und der Zugriff auf alle verbundenen Systeme gewährt wird.
| Hinweis - Wenn Sie nach Informationen über Sinch ID Single-Sign On suchen, können Sie in diesem Artikel darüber lesen. |
Wie SSO funktioniert
Benutzer meldet sich einmal an: Der Benutzer gibt seine Anmeldedaten auf einer Plattform eines Identitätsanbieters (IdP) ein.
Ausgabe des Authentifizierungstokens: Der IdP verifiziert die Anmeldeinformationen und generiert ein sicheres Authentifizierungstoken.
Zugriff gewährt: Das Token wird für verbundene Anwendungen freigegeben, so dass der Benutzer ohne erneute Anmeldung auf sie zugreifen kann.
Vorteile von SSO
Bequemlichkeit: Die Benutzer müssen sich nicht mehrere Passwörter merken.
Sicherheit: Reduziert das Risiko von Phishing und Passwortwiederverwendung.
Effizienz: Beschleunigt die Anmeldezeiten und minimiert IT-Supportanfragen für Passwortrücksetzungen.
Wichtige SSO (Single Sign-On) Vorkonfigurationsinformationen
Derzeit ist SSO eine Funktion, die nur auf Anfrage verfügbar ist. Wenn Sie sie für Ihr Konto aktivieren möchten, stellen Sie bitte eine Anfrage an unser Support-Team. Wenn Sie die Funktion bereits aktiviert haben, gehen wir jetzt durch, wie Sie sie einrichten. Bevor Sie mit der Konfiguration von SSO fortfahren können, müssen Sie bestimmte Kriterien erfüllen:
1. Ein Identitätsanbieter, der den Standard SAML 2.0 unterstützt. Wir bieten Unterstützung für die folgenden Anbieter:
a. Microsoft Azure AD (Aktives Verzeichnis)
b. Okta
2. Benutzerberechtigungen, die es Ihnen ermöglichen, Anwendungen innerhalb Ihres Identitätsanbieters zu konfigurieren.
3. Administrator-Benutzeranmeldeinformationen für das übergeordnete Hub-Konto.
Schritt 1 | Konfigurieren Ihres SSO-Identitätsanbieters
|
Wichtig: Diese Einrichtungsanleitung ist für IT-Systemadministratoren bestimmt. Wir können Ihnen zwar bei der Einrichtung von SSO für unsere Plattform helfen, aber wir können keinen Support für die Konfiguration Ihres SAML-Identitätsanbieters bieten. Um Sicherheit und Kompatibilität zu gewährleisten, unterstützt unser System derzeit nur bekannte Identity Provider (IdPs) wie Microsoft Entra ID (Azure AD) und Okta. Leider unterstützen wir derzeit keine benutzerdefinierten Domains oder selbst gehostete IdPs für die SSO-Einrichtung. Wir haben auch festgestellt, dass einige Kunden versuchen, eine SSO-Anmeldung mit nur einem Tastendruck (z. B. Okta ISPM SSO-App) mit Sinch Engage zu konfigurieren. Zurzeit unterstützen wir diese Funktion nicht. Um auf Ihr Konto über SSO zuzugreifen, müssen Sie sich über die SSO-Anmeldeseite des Sinch Engage Webportals anmelden. |
Wir verwenden SAML 2.0 (Security Assertion Markup Language), einen Standard, der es Identitätsanbietern (IdP) ermöglicht, Autorisierungsdaten wie Ihren Benutzernamen und Ihr Passwort sicher an Dienstanbieter wie den Hub weiterzugeben.
1. Der erste Schritt besteht darin, eine neue SAML-Anwendung bei Ihrem IdP zu erstellen:
- Für Microsoft Azure AD navigieren Sie zur Microsoft Entra Gallery und wählen Sie Eigene Anwendung erstellen, dann folgen Sie dieser Anleitung
- Für Okta folgen Sie bitte dieser Anleitung
2. Konfigurieren Sie die Anwendung anhand der folgenden Einstellungen:
● Für Microsoft Azure AD
| MICROSOFT AZURE ANZEIGE | |
| Audience URI (SP Entity ID) | https://eu.app.sinch.com/ |
| URL für Einmalanmeldung | https://eu.app.sinch.com/login |
| Assertion Consumer Service URL (Antwort-URL) | https://eu.app.api.sinch.com/v2/iam/sso/acs |
| MICROSOFT AZURE AD | Claim | ||
| NAME | TYP | WERT |
| Eindeutige Benutzeridentifikation (Name ID) | SAML | user.userprincipalname |
| MICROSOFT AZURE AD | Additional Claim | ||
| NAME | TYP | WERT |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | SAML | user.mail |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | SAML | user.givenname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | SAML | user.userprincipalname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | SAML | user.surname |
● Für Okta
| OKTA | |
| Audience URI (SP Entity ID) | https://eu.app.sinch.com/ |
| Single Sign-On URL (Assertion Consumer Service URL (Antwort-URL)) | https://eu.app.api.sinch.com/v2/iam/sso/acs |
| OKTA | Attribute | ||
| NAME | NAME FORMAT | WERT |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | URI-Referenz | user.email |
| http://schemas.microsoft.com/claims/authnmethodsreferences | URI-Referenz | session.amr |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | URI-Referenz | user.firstName |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | URI-Referenz | user.lastName |
3. Konfigurieren Sie ein Logo - dies ist optional.
4. Weisen Sie der Anwendung Benutzer oder Gruppen zu.
5. Kopieren oder laden Sie die IdP-XML-Metadaten herunter - bewahren Sie diese an einem sicheren Ort auf, da Sie sie für Schritt 5 der Hub-Konfiguration benötigen .
Schritt 2 | Konfigurieren des Hubs
1. Loggen Sie sich in das übergeordnete Konto im Hub ein - denken Sie daran, dass Ihre Benutzeranmeldedaten Administrator-Zugriff benötigen, um von hier aus fortzufahren!
2. Sobald Sie im Hub angemeldet sind, gehen Sie zum Menü und klicken Sie auf Einstellungen, dann wählen Sie Konto:
| Hinweis: Wenn Sie die Option Single Sign-on (SSO) nicht sehen können, bedeutet dies lediglich, dass die Funktion in Ihrem Konto nicht aktiviert ist. Sie können sich an den Support wenden, um die Aktivierung dieser Funktion zu beantragen. |
3. Wählen Sie die Registerkarte Sicherheit .
4. Konfigurieren Sie die E-Mail-Domains, die Sie für SSO aktivieren möchten. E-Mail-Domains können nur einmal pro Kontohierarchie verwendet werden, d. h. wenn Sie eine E-Mail-Domäne auf der Ebene eines Unterkontos festlegen, können Sie dieselbe E-Mail-Domain nicht für ein anderes Unterkonto festlegen.
5. Verwenden Sie den Dropdown-Pfeil, um Ihren Identitätsanbieter (IdP) auszuwählen - entweder Okta oder Azure AD. Wenn Ihr IdP nicht aufgeführt ist, können Sie sich an den Support wenden, um mehr über die Erweiterung der SSO-Unterstützung auf Ihren IdP zu erfahren.
6. Geben Sie die von Ihrem IdP bereitgestellte XML-Datei in das vorgesehene Feld ein.
7. Wenn sich jemand mit SSO beim Hub anmeldet, aber noch kein Benutzerprofil hat, können Sie dem Hub erlauben, automatisch einen neuen Benutzer mit den vom IdP bereitgestellten Anmeldedaten zu erstellen. Schalten Sie diesen Schalter einfach auf Ein, um die Funktion zu aktivieren.
8. Verwenden Sie den Dropdown-Pfeil, um die Standardbenutzerrolle festzulegen, die diesen neu erstellten Profilen zugewiesen werden soll.
9. Wählen Sie die Konten & Unterkonten aus, auf die diese neuen Benutzer Zugriff haben sollen.
10. Wenn Sie diesen Schalter auf Ein stellen, werden alle Benutzer, die sich mit Anmeldeinformationen anmelden, die mit den von Ihnen festgelegten E-Mail-Domänen übereinstimmen, gezwungen, sich nur mit SSO am Hub anzumelden.
|
Hinweis zu 2FA (Zwei-Faktoren-Authentifizierung) Wenn SSO erzwungen wird, kann sich der Benutzer nicht mit einem Passwort anmelden, so dass 2FA nicht ausgelöst wird. |
FAQs
- Meine Organisation verwendet einen Identitätsdienstanbieter (IdP), der nicht in der Liste enthalten ist. Wird er unterstützt werden?Bitte wenden Sie sich an das Support-Team und teilen Sie uns mit, welchen Identitätsanbieter Sie verwenden möchten.
- Bieten Sie Unterstützung für lokale Microsoft Active Directory-Umgebungen (on-premises)?Nein, wir unterstützen nur Azure Active Directory.
-
Unterstützen Sie vom IdP initiiertes SSO?
Leider nicht in diesem Stadium. Die Benutzer müssen ihre E-Mail-Adresse auf der Seite Anmeldung mit Einzelanmeldung erneut eingeben. -
Meldet die Erzwingung von SAML SSO Benutzer ab?
Nein, aktive Benutzersitzungen bleiben eingeloggt, bis sie ablaufen. Das nächste Mal, wenn sich ein Benutzer anmelden muss, muss er sich mit SAML SSO anmelden. - Welche Version von SAML wird vom Hub unterstützt?Wir unterstützen derzeit SAML v2.0.
-
Kann ich mich trotzdem beim Hub anmelden, wenn mein Identitätsanbieter einen Ausfall hat?Wenn Sie SAML-Authentifizierung erzwingen aktiviert haben und Ihr IDP ausgefallen ist, sollten Sie sich mit dem Support-Team in Verbindung setzen, damit wir "SAML erzwingen" deaktivieren können, damit sich Administratoren und Benutzer, die bereits vorher existierten, wieder mit E-Mail anmelden können.
-
Warum erhalte ich die Fehlermeldung "SSO auth failed" (SSO-Authentifikation fehlgeschlagen)?
Es gibt mehrere Gründe, warum diese Fehlermeldung angezeigt werden kann. Nachfolgend finden Sie die beiden häufigsten Beispiele, sollte jedoch keines dieser Beispiele zutreffen, wenden Sie sich bitte an den Support.
a. Höchstwahrscheinlich liegt es an einer Diskrepanz in Ihrem relativen Active Directory (AD), wo die Datensätze möglicherweise nicht übereinstimmen. In diesem Fall müssen Sie mit Ihrem AD-Administrator überprüfen, ob die richtigen Details vorhanden sind.
b. Wenn sich ein Benutzer mit Single Sign-On (SSO) anmeldet, beginnt er manchmal mit der Eingabe seiner E-Mail-Adresse. Nachdem sie die Anmeldeschritte durchlaufen haben, bestätigt das System ihre Identität und sendet ihre Daten zurück, einschließlich ihrer verifizierten E-Mail. Manchmal ist die zurückgesendete E-Mail eine andere als die, die sie eingegeben haben. Dies geschieht in der Regel, weil das System so eingerichtet wurde, dass es das falsche E-Mail-Feld abruft. Viele Plattformen speichern mehrere E-Mail-ähnliche Felder (z. B. ihre-organisation.com vs. on.ihre-organisation.com). Wenn das falsche Feld verwendet wird, kann der Administrator die Einstellungen einfach aktualisieren und das richtige Feld auswählen.
Sollten Sie dennoch Hilfe benötigen, wenden Sie sich bitte an unser Support-Team, das Ihnen gerne weiterhelfen wird.