SSO Azure Active Directory (SAML 2.0)

Bevor Sie beginnen

Für die Schnittstelle mit Azure AD stehen die Protokolle OAuth 2.0 und SAML 2.0 zur Verfügung.

Das folgende Dokument enthält die erforderlichen Informationen zum Einrichten einer einmaligen Authentifizierung zwischen Azure AD- und LUCCA-Lösungen über das SAML 2.0-Protokoll (nur für Azure AD Premium-Abonnements verfügbar).

Für das OAuth 2.0-Protokoll können Sie dem folgenden Merkblatt folgen: Azure AD SSO mit OAuth 2.0-Protokoll

Schritt 1: Erstellen der Konfiguration in Lucca

Diese Aktion muss von einem/einer Administrator:in oder einem/einer Benutzer:in mit Zugriff auf das Modul „Authentifizierungs- und SSO-Einstellungen“ ausgeführt werden.

MerciApp_e54zozhQB9.png

1. Aktivieren Sie die Authentifizierungsmethode, die dem Protokoll entspricht (OAuth 2.0, SAML 2.0 usw.) und Ihr IDP.

MerciApp_flRw7FWTAp.png

2. Rufen Sie unterschiedliche Informationen in den Details des Bereichs „Informationen zum Lucca Service Provider“ ab. In diesem Beispiel handelt es sich um ein SAML 2.0-Protokoll, es bleibt jedoch für andere Protokolle anwendbar:

  • Ihre Login-URL;
  • Ihre Antwort-URL;
  • Ihre Metadaten-URL (nur SAML2.0);
  • Ihr Lucca-Identifikator (nur SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Schritt 2: Erstellen einer SAML 2.0-App

1. Klicken Sie in der Azure Active Directory-Verwaltungsoberfläche auf das Menü Unternehmensanwendungen.

2. Klicken Sie auf Neue Anwendung

3. Wählen Sie Anwendung erscheint nicht in der Galerie aus und geben Sie eine Beschreibung der Anwendung ein (z. B. „Lucca“) und klicken Sie dann auf Hinzufügen.

4. Wählen Sie das SAML-Protokoll.

5. Laden Sie die Metadaten-XML-Datei (von der von Lucca bereitgestellten Metadaten-URL) und speichern Sie dann die defaultmäßig generierte Konfiguration. 

6. Bearbeiten Sie Benutzerattribute und Ansprüche, um ein einzelnes Attribut im SAML-Token zu senden: Dies ist einmaliger Benutzername (E-Mail-Adresse oder Login), der es LUCCA ermöglicht, es mit dem Feld für geschäftliche E-Mail-Adressen oder dem Login-Feld von Benutzerdateien abzugleichen.

Eindeutige Benutzerkennung => user.userprincipalname

Speichern Sie abschließend die Federation-Metadaten-URL.

7. (optional) Sie können die SAML-Token-Signaturrichtlinie ändern: SAML-Assertion und/oder SAML-Antwort signieren (nur den defaultmäßigen SAML-Assertionsknoten).

Auf der Tab Unternehmensanwendungen finden Sie die für LUCCA erstellte OAuth 2.0-Anwendung. Zukünftigen Benutzern:innen der LUCCA-Lösungen sollten die erforderlichen Berechtigungen zugeteilt werden.

Schritt 3: Lucca-Einstellungen

Diese Aktion muss von einem/einer Administrator:in durchgeführt werden.

Nach der Konfiguration in Ihrem Azure Active Directory-Verwaltungsinterface kehren Sie zu den Authentifizierungseinstellungen von Lucca zurück und geben Sie dort Folgendes ein:

  • das LUCCA-Feld, dem das im Token gesendete Azure AD-Attribut entspricht (Schritt 1): E-Mail-Adresse oder Login (Punkt 1);
  • Federation-Metadaten-URL (Punkt 2);
  • Gewählte SAML-Signaturrichtlinie (Punkt 3).

mceclip1.png

mceclip2.png

Sobald diese Informationen eingegeben und gespeichert wurden, können Sie die Verbindung per SSO jederzeit aktivieren:

mceclip0.png

Sobald die Verbindung über SSO aktiviert ist, können Sie die Möglichkeit für Ihre Mitarbeitenden deaktivieren, auf die Lucca-Verbindungsseite zu gelangen, die es ihnen ermöglicht, sich mit ihrem Lucca-Login und einem personalisierten Passwort anzumelden, indem Sie „Login/Login-Verbindungspass Lucca“ deaktivieren.

 

Zertifikatsverlängerung

Wenn Sie eine  öffentliche URL  für den Zugriff auf Metadaten eingerichtet haben, bleibt unser Authentifizierungsdienst auch im Falle einer Erneuerung aktuell.

Inhalt der Seite

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich