Single-Sign-On
Schematische Übersicht
Das Portal Selligent bietet einen Endpunkt für Dienstanbieter, der auf dem SAML 2.0-Protokoll basiert.
Der Identitätsanbieter (IDP) in Form eines SSO-Dienstes befindet sich auf der Kundenseite.
Das Single-Sign-On wird in Selligent initiiert und nach dem Postback vom IDP wird die SAML-Assertion auf ihre Gültigkeit geprüft und das Single-Sign-On wird durchgeführt.
Voraussetzungen für die Einrichtung
Um Single-Sign-On zwischen Selligent und einem Dritt-IDP einzurichten, müssen die folgenden Informationen zwischen den beiden Parteien ausgetauscht werden.
Zeta benötigt folgende Informationen vom Kunden:
- Die ID des Identitätsanbieters.
- SingleSignOnServiceBindingType: gibt an, ob es sich bei der Anfrage an den Identitätsanbieter um eine POST- oder eine REDIRECT-Anfrage handelt.
- SingleSignOnServiceUrl: Standort des SSO-Dienstes des Identitätsanbieters.
- Den öffentlichen Schlüssel des Identitätsanbieter-Zertifikats.
Zeta stellt dem Kunden die folgenden Informationen in Form einer metadata.xml-Datei zur Verfügung:
- Die ID des Dienstanbieters.
- Den Standort des Assertion Consumer Service.
- Den öffentlichen Schlüssel des Zertifikats des Dienstanbieters
Unterstützte SAML-Attribute
Der Selligent Dienstanbieter unterstützt eine Reihe von Attributen, die vom IDP des Kunden stammen. Diese Attribute können der SAML-Assertion in den SAML:AttributeStatement-Knoten hinzugefügt werden.
Die genauen Namen der zu verwendenden Attribute sind nachfolgend aufgeführt.
- UserID
- Muss eine eindeutige Kennung in der Selligent-Software sein. Dabei kann es sich um die E-Mail-Adresse des Benutzers, den Benutzernamen oder etwas anderes handeln, das den Benutzer identifiziert.
- Maximale Länge: 255 Zeichen
- Vorname
- Maximale Länge: 255 Zeichen
- Nachname
- Maximale Länge: 255 Zeichen
- E-Mail
- Maximale Länge: 255 Zeichen
- Sprache
- Format: EN, FR, ES, NL, …
- Selligent/IdpGroup
- Der genaue Name der IDP-Gruppe, die im Modul Admin-Konfiguration unter „IDP-Gruppen“ konfiguriert ist. Mehrere Attribute mit der Bezeichnung „Selligent/IdpGroup“ können eingefügt werden, um einem Benutzer mehrere Berechtigungsrollen zu gewähren.
Funktionsweise
Wie im Schema dargestellt, wird die eigentliche Authentifizierung des Benutzerkontos durch den Identitätsanbieter durchgeführt. Die Rückmeldung des IDP wird an Selligent gesendet und wie unten angegeben bearbeitet.
Die IDP-Authentifizierung ist fehlgeschlagen:
- Der Benutzer wird nicht auf dem Selligent-Portal angemeldet. Dem Benutzer wird eine Fehlermeldung angezeigt.
Die IDP-Authentifizierung war erfolgreich:
- Wenn ein Benutzer mit der angegebenen eindeutigen ID bereits in Selligent bekannt ist.
- Der Benutzer wird über SSO authentifiziert.
Wenn die SAML-Assertion eine IDP-Gruppe enthält, erhält der Benutzer die in den IDP-Gruppeneinstellungen konfigurierten Modulberechtigungen.
Wenn das IDP-Gruppenattribut nicht gesendet wird, behält der Benutzer die manuell zugewiesenen Berechtigungen.
- Der Benutzer wird über SSO authentifiziert.
- Wenn der Benutzer in Selligent nicht bekannt ist.
- Der Benutzer wird in Selligent erstellt
Wenn die SAML-Assertion eine IDP-Gruppe enthält, erhält der Benutzer die in den IDP-Gruppeneinstellungen konfigurierten Modulberechtigungen.
Wenn das IDP-Gruppenattribut nicht gesendet wird, kann sich der Benutzer zwar anmelden, sieht jedoch keine der
Anwendungsmodule. Ein Administrator-Benutzer kann die erforderlichen Berechtigungen für dieses neue Benutzerkonto manuell konfigurieren.
- Der Benutzer wird in Selligent erstellt
