Bevor Sie beginnen
Mit SSO (Single Sign-On oder einmalige Authentifizierung) können sich die Mitarbeitenden in einer oder mehreren Webumgebungen wie Lucca mit einem einzigen Benutzernamen anmelden.
Dies vereinfacht und sichert den Zugang zu den Lucca-Lösungen. SSO basiert tatsächlich auf einem Vertrauensvertrag zwischen Lucca und Servern (Identity Providers oder Identity Provider).
Das heißt, dass die Website oder der Service, mit dem sich der/die Benutzer:in zu verbinden versucht, eine Anfrage an den Server oder die Website des Identity Providers stellt. Dieser fragt, ob der/die Benutzer:in angemeldet ist. Wenn ja, leitet er die Information weiter. Je nach verwendetem Protokoll tauschen die beiden Seiten Schlüssel, Signaturen usw. aus, was Ihnen ermöglicht, mit einem Klick die Identität der Mitarbeitenden zu überprüfen und zu bestätigen.
Hilfe zum Vokabular:
- SSO = Single Sign-On/Einmalige Authentifizierung
- Identity Provider = Server, der die Identitäten der Benutzer:innen bereitstellt. Er ist der zentrale Punkt der Authentifizierung, ein Tool, das dem Client gehört.
- Lucca Service Provider = Hier ist es unsere Lucca-App, die einen HRIS-Service anbietet.
- SAML2 = Das Protokoll, das zum Austausch des Sicherheitstokens zwischen dem Identity Provider und dem Lucca Service Provider verwendet wird.
- Metadaten = Metadaten, das sind Informationen, die zur Konfiguration des Lucca Service Providers und des Identity Providers verwendet werden (öffentliches Zertifikat, Schlüssel, Adresse usw.), sie müssen diese Metadaten austauschen, um sich gegenseitig zu kennen und zu vertrauen, sie enthalten Zertifikate. Es handelt sich entweder um eine xml-Datei, die auf dem Server abgelegt wird, oder um eine URL.
Von Lucca unterstützte Protokolle
Hier ist die Liste der von Lucca unterstützten Protokolle: SAML 2.0, OAuth 2.0, CAS.
Wenn Sie weitere Informationen zu den einzelnen angebotenen Protokollen wünschen, können Sie bei Bedarf unseren Bereich „Erweiterte Einstellungen“ konsultieren.
Welches Protokoll sollte man zwischen OAuth oder SAML 2.0 wählen?
Wir haben keine Empfehlung in Bezug auf die Sicherheit, was die beiden angeht.
Schritt 1: Einrichten Ihres SSO
Voraussetzungen
Um diese Funktionen einzurichten, sind technische Fähigkeiten erforderlich. Wir empfehlen, Ihren technischen Verantwortlichen oder Dienstleister zu kontaktieren, bevor Sie die nächsten Schritte unternehmen.
Füllen Sie Ihren Identity Provider aus
Als Administrator:in Ihrer Lucca-Umgebung haben Sie über das Zahnrad Zugriff auf ein Verwaltungsmodul für Ihre Verbindungsmethoden: Authentifizierungseinstellungen.
Defaultmäßig ist Ihre Authentifizierungsmethode eine Login/Passwort-Verbindung.
Mit der Schaltfläche „+“ der Authentifizierungsmethoden können Sie das Protokoll und den Identity Provider Ihrer Wahl auswählen.
Anschließend wird Ihnen eine Konfigurationsoberfläche angezeigt, in der Sie Schritt für Schritt die Informationen eingeben und verwalten können, die für die Interaktion zwischen Lucca und Ihrem Provider erforderlich sind.
Für die restlichen Einstellungen kommt es darauf an, was Sie in dieser Liste auswählen:
- SSO Google (OAuth 2.0)
- SSO Google (SAML 2)
- SSO Microsoft ADFS - Active Directory Federation Services (SAML 2)
- SSO Azure Active Directory (OAuth 2.0)
- SSO Azure Active Directory (SAML 2.0)
- SSO Okta (SAML 2)
- SSO SAML 2.0-Protokoll
- SSO CAS-Protokoll
Schritt 2: Personalisieren Sie Ihre Login-Optionen
Dank erweiterter Optionen können Sie das Login der Mitarbeitenden personalisieren:
- Der magische Link
Die Mitarbeitenden können sich nur mit ihrer E-Mail-Adresse in die mobilen Apps und in ihre Lucca-Umgebung einloggen, ohne Passwörter, Benutzernamen oder Logins eingeben zu müssen.
Diese Art der Anmeldung kann nützlich sein, wenn die Mitarbeitenden persönliche Geräte verwenden oder weit vom Büro entfernt sind.
- Login-Codes für mobile Apps
Die Mitarbeitenden können von mobilen Apps profitieren, je nach dem, was Sie abonniert haben. Sie können sich über einen magischen Link oder einen Code einloggen.
Jede:r Benutzer:in in einer Lucca-Umgebung hat Zugriff auf die Benutzeroberfläche Mein Konto, über die er/sie einen Verbindungscode für mobile Apps generieren kann.
Wir empfehlen Ihnen daher, diese Option zu aktivieren, um Ihren Mitarbeitenden die Verbindung zu erleichtern.
- Weiterleitungs-URL
Wenn Sie die Startseite oder Abmeldeseite für Ihre Mitarbeitenden beim Zugriff auf ihre Lucca-Umgebung personalisieren möchten, können Sie hier Ihre Weiterleitungen angeben.
- Anmeldung über SSO
SSO ist nicht auf alle mobilen Apps verfügbar (noch nicht). : Timmi Abwesenheiten und Cleemy Spesenabrechnungen: Die mobilen Apps Timmi Abwesenheiten und Cleemy Spesenabrechnungen ermöglichen die Anmeldung über SSO.
Verfolgung der Verbindungen
Wenn Ihr SSO eingerichtet ist, können Sie die fehlgeschlagenen Verbindungen über eine beliebige Periode verfolgen. Sie können Mitarbeitende, die nicht von Lucca erkannt werden, identifizieren und reagieren.