SSO (Single Sign On)

Dieser Artikel wurde mit maschineller Übersetzung übersetzt.


Was ist SSO?


SSO (Single Sign On) ist eine Authentifizierungsmethode, mit der jeder in Ihrem Unternehmen nahtlos auf iChemistry zugreifen kann.

Da Ihre IT-Abteilung kontrolliert, wer Zugang hat, müssen Sie keine einzelnen Benutzer mit einem weiteren Benutzernamen und Passwort anlegen. Einfach ausgedrückt: Sie verwenden dieselben Anmeldenamen, mit denen Sie sich bei Ihrem Computer anmelden. Sie müssen lediglich einen Link zu Ihrem iChemistry System verteilen. Auf diese Weise ist der Zugriff auf das System sicher, einfach und zeitsparend.


Wie funktioniert SSO in iChemistry?

  1. Wenn ein Benutzer seinen iChemistry-Link öffnet, prüft die Plattform, ob in der Datenbank ein Benutzer zugeordnet ist, und gewährt, falls gefunden, den Zugriff.

  2. Wenn es keinen Benutzer mit der angegebenen E-Mail-Adresse gibt, erstellt iChemistry ein Konto für ihn und ermöglicht den Zugriff anhand der Informationen aus den Ansprüchen in der SAML-Antwort (die Ihr IT-Team in der Konfigurationsphase eingerichtet hat). Standardmäßig wird den Benutzern ein "Nur-Lese-Zugriff" auf die Informationen Ihres Unternehmens gewährt.

  3. Allerdings können die Berechtigungen innerhalb von iChemistry nachträglich innerhalb der Plattform bearbeitet werden. Die Handhabung von Berechtigungen mit SSO ist in dieser Hinsicht leicht anzupassen.


Mit SSO sparen Sie Zeit beim Anlegen von Benutzern, denn SSO nimmt Ihnen diese Arbeit ab.


Benutzerzugangsverwaltung mit SSO:

Mit Single Sign On unter Verwendung von SAML 2.0 können Sie von Active Directory aus steuern, wer Zugriff auf iChemistry haben soll und welche Berechtigungen er erhalten soll sowie zu welcher Abteilung der Benutzer gehört.

Mit den Informationen aus Active Directory müssen Sie die Benutzer nicht mehr in iChemistry verwalten.


Jedes Mal, wenn ein Benutzer versucht, auf iChemistry zuzugreifen, wird er mit Hilfe der SAML-Antwort authentifiziert, die die Benutzerrechte enthält .

Gruppe und Abteilung sowie das Benutzerkonto in iChemistry können entsprechend aktualisiert werden.


Gut zu wissen über die Konfiguration von SSO in iChemistry:

Die Konfiguration von SSO für iChemistry erfordert einige Aufgaben von beiden Parteien. Wenn SSO für iChemistry aktiviert ist, bedeutet dies, dass die interne Authentifizierung umgangen wird und die Benutzer aufgefordert werden, sich über die Domäne Ihres Unternehmens anzumelden. Damit das funktioniert, konfiguriert Intersolia das SSO zusammen mit Ihrem IT-Team, das uns die so genannten Metadaten zur Verfügung stellen muss. Wir benötigen folgende Attribute: userEmail, userFullName, userId, userRole und departmentId.


Wir unterstützen Azure AD und SAML 2.0.


Weitere Erläuterungen erhalten Sie auf Anfrage, wenn Sie daran interessiert sind, Ihre Vereinbarung mit der SSO-Authentifizierung zu erweitern.



Wenn Sie an der SSO-Option interessiert sind, wenden Sie sich bitte an Ihren Kontoinhaber oder den Kundenservice support@intersolia.com. Wir freuen uns darauf, Ihnen zu helfen.



Technische FAQ


SSO (Single Sign On) ist eine Authentifizierungsmethode, die den Zugriff auf iChemistry ermöglicht, ohne dass Sie einen Benutzernamen und ein Passwort aus dem iChemistry System benötigen. Es müssen keine internen Benutzerkonten angelegt werden und es gibt keine vergessenen Passwörter mehr.


Die Authentifizierung erfolgt über die Domäne des Kunden (manchmal auch Identitätsanbieter genannt).

Hier sind einige häufig gestellte Fragen zu iChemistry Single Sign On


Welche SSO-Protokolle werden unterstützt?

iChemistry Single Sign On arbeitet mit SAML 2.


Funktioniert SSO mit ADFS und/oder Azure AD?

Ja. Jeder Identitätsanbieter sollte funktionieren, solange er SAML 2 mit benutzerdefinierten Ansprüchen und Attributen unterstützt


Ist SSO SP oder ID initiiert?

Beide Szenarien funktionieren. Wenn der Benutzer bereits in seinem internen Browser an der Domäne authentifiziert ist, authentifiziert iChemistry den Benutzer durch Überprüfung der SAML-Antwort des Kunden und der Benutzer wird nahtlos angemeldet.


Wenn der Benutzer nicht an der Domäne authentifiziert ist, leitet iChemistry den Benutzer mit einer SAML-Anfrage an den Kundenidentitätsanbieter weiter und der Benutzer muss sich über die Domäne authentifizieren.


Wie lautet die EntityID für iChemistry SAML Configuration?

Sie sollten es iChemistrySSO nennen. Würden Sie eine andere EntityID verwenden, muss der iChemistry-Support dies wissen, wenn er SSO für Ihren iChemistry-Link aktiviert.


Welche Claims und Attribute sind erforderlich?

Sie müssen mindestens die folgenden Attribute konfigurieren.

  • BenutzerVollName
  • BenutzerE-Mail
  • userRole
  • Abteilungsnummer
  • Benutzerkennung


Identifikator

Standardmäßig verwendet iChemistry userEmail als Identifikator für eine Verwendung, aber Sie können auch einen zusätzlichen Anspruch für einen anderen eindeutigen Identifikator wie UPN hinzufügen.

  • BenutzerPrincipalName



Ist es möglich, verschiedene Abteilungen für Schreibrechte zu definieren?

Sie können ein optionales claim&-Attribut hinzufügen für

  • DepartmentWriteId


Wo konfiguriere ich die Abteilungskennung?

Einstellungen > Allgemeines > Abteilungsinfo

DepartmentID ist im Feld Abteilung ID definiert


Domain hat nicht für alle Ansprüche eine Eigenschaft?

Sie müssen mindestens userFullName und userEmail für alle Benutzer haben.

userRole, departmentId und userId müssen in der SAML-Antwort vorhanden sein, mit oder ohne Wert.

Einige Identitätsanbieter senden jedoch keine Ansprüche, wenn keine Werte vorhanden sind.

Um dies zu umgehen, können Sie den Ansprüchen konstante Werte zuweisen. Zum Beispiel userRole "SSO", departmentId "1" und userId "SSO"


Wie wird bei Single Sign On die Sprache des Benutzers definiert?

Bei der ersten Anmeldung bei iChemistry erstellt Single Sign On ein internes Konto für den Benutzer mit den Anwendungsvorgaben. (je nachdem, wie die URL von iChemistry eingerichtet ist)


Wie wird bei Single Sign On die Gruppe der Benutzerrechte definiert?

Standardmäßig gewährt iChemistry allen Benutzern den minimalen Lesezugriff und ordnet sie der Gruppe 'Benutzer' zu.

Als Administrator können Sie jedoch den Benutzer in eine andere Berechtigungsgruppe ändern.

Sonst können Sie eine Gruppe von Benutzerrechten aus Ihrer Domäne angeben, indem Sie den Anspruch userRole verwenden.


Was passiert, wenn der Nutzer sein Arbeitsverhältnis beendet?

Es gibt keinen Automatismus, um inaktive Benutzer aus der iChemistry Datenbank auszusortieren.

Sie können Benutzer manuell in iChemistry finden und aussortieren (Einstellungen> Berechtigungen > Benutzer)


Wenn Sie SSO für bestehede iChemistry mit Benutzernamen und Passwörtern aktivieren möchten

Dies ist normalerweise kein Problem. Um Verwechslungen mit besteheden Berechtigungen zu vermeiden, sollten Sie sicherstellen, dass für alle Benutzerkonten in iChemistry die richtige E-Mail-Adresse eingestellt ist, da SSO die Benutzer anhand ihrer E-Mail-Adressen identifiziert.


Kommt es auf die Anzahl der Nutzer an?

Nein. iChemistry erlaubt eine unbegrenzte Anzahl von Benutzern und Gruppen mit Benutzerrechten.


Funktioniert Single SIgn On in mehreren Links?

Ja. Single Sign On wird von Intersolia für alle Links konfiguriert, sofern nicht anders vereinbart.

Abhängig von der Konfiguration kann dieselbe SAML-Konfiguration für alle Links verwendet werden.


In manchen Fällen kann es erforderlich sein, für alle Links separate Verbünde zu erstellen (z.B. wenn der Kunde mehrere Domains in verschiedenen Ländern verwendet).


Funktioniert die iChemistry Smartphone-App mit Single SIgn On?

Ja. Genau wie iChemistry im Web. Wenn der Benutzer die Anwendungs-ID in der App eingibt, wird er mit einer SAML-Anfrage zur Anmeldeseite der Kundendomäne weitergeleitet. Der Benutzer kann sich bei der Domain anmelden und wird zur App umgeleitet, wenn er als Benutzer angemeldet ist.


Kann man Benutzername & Passwort verwenden, wenn SSO aktiviert ist?

Standardmäßig nicht. Um Single Sign On zu umgehen, wenden Sie sich für weitere Informationen an den Kundensupport


Kann man bei aktiviertem SSO einen Benutzernamen & ein Passwort (vor)erstellen?

Ja. Sie können Benutzer intern in iChemistry anlegen, aber iChemistry prüft trotzdem, ob sich der Benutzer über die Domäne authentifiziert hat.

Wenn ein Benutzer in iChemistry angelegt wird, muss er bei der ersten Anmeldung sein temporäres Passwort von iChemistry in ein anderes ändern. Dieses Passwort wird nie wieder abgefragt, wenn SSO aktiviert ist.


Was passiert, wenn Benutzerkonten aus der iChemistry Benutzerliste ausgesortiert werden?

Das Benutzerkonto wird inaktiviert und kann nicht mehr verwendet werden.Wenn derselbe Benutzer das nächste Mal versucht, sich mit SSO anzumelden und von der Domäne aus Zugriff erhalten hat, wird ein neues Benutzerkonto erstellt.


Obwohl wir uns um Genauigkeit bemüht haben, ist diese Übersetzung möglicherweise nicht ganz fehlerfrei. Bitte berücksichtigen Sie dies bei der Interpretation der Informationen.

War diese Antwort hilfreich? Ja Nein

Feedback senden
Leider konnten wir nicht helfen. Helfen Sie uns mit Ihrem Feedback, diesen Artikel zu verbessern.