Bevor Sie beginnen
Dieses Blatt behandelt die am häufigsten gestellten Fragen im Zusammenhang mit SSO.
Um antworten zu können, benötigen Sie in den meisten Fällen Administratorrechte auf Lucca sowie SSO-Administrationsrechte (Berechtigung: Authentifizierung und SSO verwalten).
Wenn Sie noch kein SSO für die Verbindung mit Lucca haben und eines hinzufügen möchten, finden Sie hier das entsprechende Hilfeblatt: Wie aktiviere ich eine SSO-Verbindung mit Lucca?
Häufig gestellte Fragen
Bei den bereitgestellten Antworten geht es um den Benutzernamen oder die Login-ID, bei denen es sich je nach Konfiguration Ihres SSO entweder um die geschäftliche E-Mail-Adresse oder um die Benutzeranmeldung handeln kann.
Ein:e Mitarbeitende:r oder eine Gruppe von Mitarbeitenden (nicht alle) kann sich nicht über SSO mit Lucca verbinden. Was muss man tun?
Die erste Aktion besteht darin, mit Ihren Mitarbeitenden zu klären, welche Verbindungsmethode sie verwenden. Möglicherweise versuchen sie, sich auf andere Weise als SSO anzumelden. In diesem Fall wird das Blockierungsproblem durch diesen Plug nicht behoben.
Meistens werden Ihre Mitarbeitenden mit dieser Art von Seite konfrontiert:
Ihrerseits steht im Administrationsmodul Ihres SSO, mit Ausnahme von Google SSO, ein Bereich zur Verbindungsverfolgung zur Verfügung.
Sie können jederzeit über eine bestimmte Periode oder durch die Suche nach Mitarbeitenden die aufgetretenen Fehler oder fehlgeschlagenen Anmeldungen sehen. Hier haben wir ein Beispiel für den Fehler „Token-Signatur-Überprüfung fehlgeschlagen“ im Feld „1“.
Beachten Sie die Fehlermeldung für den/die betreffende:n Mitarbeitende:n. Wenn Sie dieser Nachricht folgen, finden Sie hier einige mögliche Lösungen:
- Kein:e Benutzer:in mit dem Benutzernamen ... gefunden. Der/Die Benutzer:in ist noch nicht in Lucca, oder sein/ihr Vertrag hat noch nicht begonnen oder ist beendet;
- Kein:e Benutzer:in mit dem Benutzernamen ... gefunden. : Die von Ihrem/Ihrer Mitarbeitenden verwendete Login-ID für die Anmeldung ist nicht derjenige, der auf Lucca vorhanden ist. Beispielsweise unterscheidet sich die E-Mail-Adresse des/der Mitarbeitenden bei Ihrem Identity Provider von der geschäftlichen E-Mail-Adresse in der Personaldatei dieses/dieser Mitarbeitenden auf Lucca (oder dem Login, je nachdem. abhängig vom Typ Ihrer Login-ID);
- Es wurden mehrere Benutzer:innen mit dem Benutzernamen ... gefunden. : Die für diese Verbindung verwendete Login-ID für die Anmeldung taucht bei mehreren Mitarbeitenden auf Lucca auf. Normalerweise wird die von Ihrem SSO verwendete geschäftliche E-Mail-Adresse als geschäftliche E-Mail-Adresse für mindestens zwei Mitarbeitende auf Lucca verwendet.
Keine:r meiner Mitarbeitenden kann auf die Lösungen zugreifen. Was soll ich tun?
Wenn das Zugriffsproblem nicht lokal ist, sondern im Gegenteil Ihren gesamten Betrieb betrifft, müssen Sie uns dies in Ihrem zukünftigen Helpdesk-Antrag mitteilen.
Wenn Sie sich anmelden, erscheint dieser Bildschirm:
Mögliche Lösung, wenn Ihr SSO SAML 2.0 ist:
Es ist wahrscheinlich, dass Ihr Zertifikat abgelaufen ist. Wenden Sie sich an das für Ihr SSO zuständige Team seitens des Identity Providers, um die Metadatendatei oder idealerweise die öffentliche URL für den Zugriff auf die Metadaten abzurufen.
Um es zu aktualisieren, gibt es einen eigenen Bereich: Wann und wie aktualisiere ich mein Authentifizierungszertifikat (nur für SSO mit SAML 2.0)?
Mögliche Lösung, wenn Ihr SSO OAuth 2.0 ist:
Wenn es sich um eine neue Einstellung handelt, haben Sie bei der Konfiguration wahrscheinlich die Secret ID und nicht den Wert eingegeben.
Im Allgemeinen hat der Wert nicht die Form 00000000-0000-0000-0000-000000000000, sondern eher die Form eines langen Passworts.
Wenn Sie das Problem nach dem Ausprobieren dieser Lösungen nicht gelöst haben, ist wahrscheinlich Ihr Identity Provider dafür verantwortlich.
Wann und wie aktualisiere ich mein Authentifizierungszertifikat (nur für SSO mit SAML 2.0)?
Halten Sie zunächst Ihre Metadatendatei oder die öffentliche URL für den Zugriff auf Metadaten bereit.
Die URL ermöglicht die automatische tägliche (abendliche) Erneuerung Ihres Zertifikats. Wenn Sie eine Datei downgeloaded haben, müssen Sie die neue Datei manuell hochladen.
Alle diese Manipulationen erfolgen auf dem entsprechenden Tab:
Wir empfehlen, die URL zu verwenden und schrittweise Änderungen vorzunehmen, mit einer Phase, in der Sie über diese URL sowohl alte als auch neue Informationen teilen.
Wenn Sie über unsere Poplee Core HR-Lösung verfügen, erstellen Sie außerdem eine Warnung mit einem Fälligkeitsdatum, um das Aktualisierungsdatum Ihres Zertifikats vorherzusehen.
Kann ich verschiedene SSOs setzen, um auf meine Lucca-Umgebung zuzugreifen?
In der Tat!
Sie können mehrere SSOs für den Zugriff auf Ihre Instanz setzen. Durch die Konfiguration Ihrer Protokolle werden Ihren Mitarbeitenden auf der Anmeldeseite so viele Schaltflächen angezeigt, wie Protokolle konfiguriert sind.
Die Benutzer:innen müssen auf der Login-Seite wählen, welches sie verwenden möchten.
Zur Erinnerung, hier ist das Hilfeblatt zum Einrichten eines SSO. Es handelt sich beim ersten um den gleichen Vorgang wie im Folgenden: Wie aktiviere ich eine SSO-Verbindung mit Lucca?
Kann ich SSO für mobile Apps setzen?
SSO ist in allen mobilen Lucca-Apps verfügbar.
Ich möchte das Protokoll und/oder den Identity Provider wechseln, ist das kompliziert?
Überhaupt nicht! Sie sind völlig frei und autonom in Bezug auf die Verwaltung und die Authentifizierungsmethode.
Vom Modul aus haben Sie die Möglichkeit, das Protokoll Ihrer Wahl zu aktivieren und/oder zu deaktivieren und Ihr neues Protokoll einzurichten.
Einige Tipps vorab:
- Bevor Sie Ihre Konfiguration deaktivieren, erstellen Sie die neue und testen Sie sie anschließend.
- Kommunizieren Sie intern
- Wenn Sie die Änderung durchführen, können Sie mit den URLs in den erweiterten Optionen einstellen, dass die alte Anzeige auf die neue verweist.
Nachdem die Änderung durchgeführt wurde, können Sie das alte Protokoll deaktivieren.
Muss ich eine Dienstausfallzeit einplanen, um den Service Provider zu aktualisieren?
Nein. Das Aktivieren, Deaktivieren von Protokollen erfolgt in Echtzeit
Wir empfehlen, sich mit Ihrer Personalabteilung abzustimmen, falls Sie Umleitungs-URLs haben, die Sie Ihren Mitarbeitenden geben können.
Kann ich eine Multifaktor-Authentifizierung (MFA) setzen?
MFA (Multi-Faktor) ist möglicherweise bei der Verbindung über SSO möglich, diese Einstellung liegt jedoch auf der Seite Ihres Identity Providers.
Für jede andere Anfrage
Hier greifen wir Antworten auf häufig gestellte Fragen auf. Sollten Sie dort jedoch keine Antwort auf Ihre Frage finden, stehen wir Ihnen gerne über unseren Kunden-Helpdesk unter Angabe folgender Punkte in Ihrer Anfrage zur Verfügung:
- Betroffene:r Mitarbeitende:r
- Beschreibung des aufgetretenen Problems
- Die Beschreibung der Konfiguration Ihres SSO auf der Seite des Identity Providers
- Beschreibung der Konfiguration auf der Lucca-Seite