SSO SAML 2.0-Protokoll

Bevor Sie beginnen

Das folgende Dokument beschreibt die Einrichtung einer einmaligen Authentifizierung zwischen Ihrem Identity Provider (Verzeichnis) und den LUCCA-Lösungen mithilfe des Protokolls SAML 2.0.

Bezeichnung

IdP Identity Provider der Identity Provider, ein Service, der mit Ihrem internen Verzeichnis verknüpft ist
SP Service Provider der Service Provider, d. h. die LUCCA-Lösungen

Schritt 1: Erstellen der Konfiguration in Lucca

Diese Aktion muss von einem/einer Administrator:in oder einem/einer Benutzer:in mit Zugriff auf das Modul „Authentifizierungs- und SSO-Einstellungen“ ausgeführt werden.

MerciApp_e54zozhQB9.png

1. Aktivieren Sie die Authentifizierungsmethode, die dem Protokoll entspricht (OAuth 2.0, SAML 2.0 usw.) und Ihr IDP.

MerciApp_flRw7FWTAp.png

2. Rufen Sie unterschiedliche Informationen in den Details des Bereichs „Informationen zum Lucca Service Provider“ ab. In diesem Beispiel handelt es sich um ein SAML 2.0-Protokoll, es bleibt jedoch für andere Protokolle anwendbar:

  • Ihre Login-URL;
  • Ihre Antwort-URL;
  • Ihre Metadaten-URL (nur SAML2.0);
  • Ihr Lucca-Identifikator (nur SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Schritt 2: Integration der SP-Metadaten

Anhand der Metadaten, die in Ihrer LUCCA-Schnittstelle bereitgestellt werden, sollte eine SAML 2.0-App auf Ihrem IdP für das Konto des LUCCA SP konfiguriert werden.

Ihr IdP gibt ein einzelnes Benutzerattribut (einzigartiger Benutzername) im SAML 2.0-Token an den LUCCA SP zurück.

SAML_diagram__2_.pngSP LUCCA gleicht den empfangenen Benutzernamen mit den in der LUCCA-Datenbank eingebetteten Login-Daten ab. Dies ist entweder das Feld für die geschäftliche E-Mail-Adresse oder das Feld Login.

Nach der Authentifizierung wird dem/der Benutzer:in eine LUCCA-Sitzung zugeteilt.

Schritt 3: Sicherheitsniveau

Der von unserem SP generierte AuthRequest-Authentifizierungsantrag wird signiert. Das von Ihrem IdP zurückgegebene Token kann auf der SAML-Antwort- und/oder SAML-Assertions-Ebene signiert werden.

Darüber hinaus kann der SAML-Assertion-Knoten verschlüsselt werden.

Schritt 4: Lucca-Einstellungen

Diese Aktion muss von einem/einer Administrator:in durchgeführt werden.

Nach der Konfiguration in Ihrem Interface kehren Sie zu den Authentifizierungseinstellungen von Lucca zurück und geben Sie dort Folgendes ein:

  • Die IdP-Metadaten
  • Der Sicherheitsgrad des Tokens
  • Die Signatur- und Verschlüsselungsrichtlinie
  • Das LUCCA-Feld, dem die im Token gesendete Benutzername entspricht (Schritt 2): E-Mail-Adresse oder Login

Wir empfehlen eine öffentliche URL für den Zugriff auf die IdP-Metadaten. Im Fall einer Verlängerung des IdP-Zertifikats kann die Konfiguration innerhalb unseres SPs so automatisch auf dem neuesten Stand gehalten werden.

Wenn Sie jedoch Ihren IdP (und damit auch die Metadaten) nicht öffentlich darlegen möchten, können Sie uns die XML-Metadatendatei senden.

Hinweis: Im Falle einer Erneuerung des IdP-Zertifikats müssen Sie es anschließend in Ihrer Lucca-Schnittstelle aktualisieren, um eine Dienstunterbrechung zu vermeiden.

Mit dem Verbindungsattribut können Sie festlegen, welches Attribut (Login oder geschäftliche E-Mail-Adresse) von Ihrem Identity Provider gesendet wird, um die Verbindung herzustellen.

Sobald diese Informationen eingegeben und gespeichert wurden, können Sie die Verbindung per SSO jederzeit aktivieren:

mceclip2.png

Sobald die Verbindung über SSO aktiviert ist, können Sie die Möglichkeit für Ihre Mitarbeitenden deaktivieren, auf die Lucca-Verbindungsseite zu gelangen, die es ihnen ermöglicht, sich mit ihrem Lucca-Login und einem personalisierten Passwort anzumelden, indem Sie „Login/Login-Verbindungspass Lucca“ deaktivieren.

Inhalt der Seite

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich