DifficultySchwierigkeitsgrad: expertExperte

Workplace Smart Buildings Single Sign-On (SSO) is available for ist verfügbar für Workplace Web (GO -), the die Workplace App and und Workplace back-end Studio.

Prerequisites

based on e-mail address

IWMS account for user must exist

Voraussetzungen

anhand der E-Mail-Adresse

• IWMS-Konto für Benutzer muss vorhanden sein

  • Idealerweise kümmert sich eine HR-Schnittstelle um die automatische Einrichtung von IWMS-Benutzern.

  • Wenn der angemeldete Benutzer nicht im IWMS vorhanden ist, kann er keine IWMS-abhängigen Funktionen wie z. B. Reservierungen nutzen.

• Identity Provider Mapping (receiving following attributes from the identity providerEmpfang der folgenden Attribute vom Identity Provider: "IWMS login -Login-ID", "First NameVorname", "Last NameNachname" and und "E-Mail“)

  In case the “IWMS login ID” attribute is not correctly mapped, the user will not be able to use any IWMS-dependant features like making reservations

  Mail")

  • Wenn das Attribut "IWMS-Login-ID" nicht korrekt zugeordnet ist, kann der Benutzer keine IWMS-abhängigen Funktionen wie z. B. Reservierungen nutzen.

• (optional) Mapping between zwischen Active Directory account groups with Workplace rolesKontengruppen und Workplace Rollen

How is it set up?

Workplace supports SAML 2.0 protocol which is the industry standard among all up-to-date integrations.

The SSO configuration from IWMS cannot be re-used on Workplace. These are 2 separated apps from the Identity Provider perspective, and each requires an independent SSO federation setup.

Contact your Spacewell Account Manager to have Workplace SSO set up.

Wie ist sie aufgebaut?

Workplace unterstützt das SAML 2.0-Protokoll, das den Industriestandard unter allen aktuellen Integrationen darstellt.

Die SSO-Konfiguration von IWMS kann nicht auf Workplace wiederverwendet werden. Aus Sicht des Identity Providers handelt es sich um zwei getrennte Anwendungen, die jeweils eine unabhängige SSO-Verbundkonfiguration erfordern.

Wenden Sie sich an Ihren Spacewell Account Manager, um Workplace SSO einrichten zu lassen.

Wie funktioniert das?

Workplace Single Sign-On (SSO) is available for ist verfügbar für Workplace Web (GO -), the die Workplace mobile Mobile App, Outlook Room Raum-Finder Add-In and und Workplace back-end Studio.

Spacewell employees can find more information on -Mitarbeiter finden weitere Informationen unter https://spacewell.atlassian.net/wiki/spaces/SUM/pages/178159642/Cobundu+SSO#How-it-works

Erstmalige Anmeldung

Subsequent logins

Nachfolgende Anmeldungen

Workplace prüft, wann (auf der IDP-Seite) der Benutzer zum letzten Mal durch Angabe von Benutzername und Passwort authentifiziert wurde.

<AuthnStatement AuthnInstant="2024-03-18T10:55:40.225Z"...
(now - 120 seconds - maxAuthLifeTime) < AuthnInstant < (now + 120 seconds)

• by default, there is a 120 seconds tolerance (there can always be a glitch or slight misalignment in time stamp)

• maxAuthLifeTime = setting on Workplace in months/years. This setting can be used to extend the tolerance time frame

"Maximum Authentication Lifetime“ setting can be specified in hours, days, months, years. The value needs to be higher than 0, and will be set to 2 years per default.

Image Removed

Login without SSO

• Standardmäßig gibt es eine Toleranz von 120 Sekunden (es kann immer eine Panne oder eine leichte Abweichung beim Zeitstempel geben).

• maxAuthLifeTime = Einstellung auf Workplace in Monaten/Jahren. Diese Einstellung kann verwendet werden, um den Toleranzzeitrahmen zu erweitern

Die Einstellung "Maximale Authentifizierungsdauer" kann in Stunden, Tagen, Monaten oder Jahren angegeben werden. Der Wert muss größer als 0 sein und wird standardmäßig auf 2 Jahre gesetzt.

Image Added

Anmeldung ohne SSO

Wenn SSO für Ihre Umgebung konfiguriert ist und Sie keine Anmeldung innerhalb des Identity Providers haben, müssen Sie einen Workaround anwenden:

How does IDP resolution work?

IDP resolution is the mechanism of redirecting the user to the correct SSO provider when there are multiple providers present. This happens based on the email domain of the user.

If there are multiple allowed email domains (linked to different providers) set up for the same tenant, and users try to log in to Workplace Experience:

• some of will be redirected to the Azure Cloud of IDP1 based on the email domain

• similarly, others will be redirected to the Azure Cloud of IDP2 based on the email domain

SSO issues

If a user is experiencing SSO issues, he will be brought to the “Login Without SSO” page, which allows login with Cobundu Credentials. Yet, this user does not know his Cobundu credentials.

He might then also see the “Password reset” feature, but password reset feature is disabled when SSO is enabled for a tenant AND user auto-creation is enabled AND the user who is asking for the reset is auto-created.

An e-mail will be send saying that password reset is not allowed.

Role Mapping (see Roles & Profiles)

We can map the roles from the customer IDP user-assigned roles with the Workplace Experience roles:

• If a user logs in using SSO and has no Workplace account yet:

  • The user will be automatically created

  • Based upon the AD Account Group ID passed via metadata, the user will be created and assigned a Workplace role as defined in the role mapping 

• If a user logs in using SSO and already has a Workplace account:

  • Based upon the AD Account Group ID passed via metadata, the user will be assigned a Workplace role as defined in the role mapping

To start using this feature, contact your Spacewell Account Manager.

Image Removed

Automatic creation of Workplace users

The set-up of Workplace SSO has the hidden advantage that for every (new) Workplace user signing in, upon first login, Workplace creates an account on-the-fly (both in Workplace Management and Experience) and the user can start using the system.

Image Removed

A user logging in with Workplace ID (tenant.ID) or e-mail address is recognized as being part of a tenant where SSO has been setup and Workplace will automatically create a Workplace account.

The Identity provider is considered as the single source of truth. In other words: if the user is created automatically, the information is managed externally.

To make sure Workplace is always up-to-date with the user information, at each login (of an automatically created user), the following attributes are checked and updated:

• user first name

• last name

• IWMS ID

To start using this feature, contact your Spacewell Account Manager.

FAQ

How to test Workplace SSO setup?

On Workplace Web (GO), the Workplace App or Workplace back-end Studio:

1. User to provide Workplace user ID (or e-mail address, depending on set-up)

2. (Workplace will evaluate the account ID prefix, and know this login attempt needs to happen via SSO.) The user is redirected to the external SSO login screen.

3. After entering the credentials (assuming the Identity Provider approves): Workplace will automatically create a Workplace account (and link to the IWMS account).

4. The user will be able to use all relevant Workplace functionalities.

How does SSO treat Leavers in the company?

SSO is a Sign-on tool. It does not make any no updates on users nor does it handle deletion or deactivation. If a user is set to disabled in the IWMS, the linked Workplace user is still active, but does not have any IWMS rights anymore: the user can login to Workplace touchpoints and browse reservable rooms, floorplans etc, but as soon as they want to make a reservation, this will not be possible (because they don't have the correct IWMS rights anymore).

Troubleshooting

• Check if the IWMS user is set up correctly

  • Does the user have the necessary rights?

  • Is the user enabled?

• Check if the Workplace user is set up correctly

  • Is the Workplace user linked to the IWMS user?

  • Are any Roles assigned?

  • Is the user enabled?

• If you’re testing the access of the user in Workplace, does the SSO page open?

  • If yes, then please check SSO with your IT department

  • If no, please contact Spacewell Support

• What if the Auto-Create User field “Allowed email domains (comma separated)” is not editable (grey)?

  • “Allowed email domains” is a cross-tenant setting, and can only be managed with global super-accounts by Spacewell.

  • In some cases, it can even be greyed out for global super-accounts. This happens for example in special cases of custom setup with CMEK. This list then needs to be manually managed from the back-end.

Wie funktioniert die IDP-Auflösung?

Die IDP-Auflösung ist der Mechanismus, mit dem der Benutzer an den richtigen SSO-Anbieter weitergeleitet wird, wenn mehrere Anbieter vorhanden sind. Dies geschieht auf der Grundlage der E-Mail-Domäne des Benutzers.

Wenn mehrere zulässige E-Mail-Domänen (die mit verschiedenen Anbietern verknüpft sind) für denselben Mandanten eingerichtet sind und Benutzer versuchen, sich bei Workplace Experience anzumelden:

• einige von werden auf die Azure Cloud von IDP1 umgeleitet, basierend auf der E-Mail-Domäne

• andere werden auf die Azure Cloud von IDP2 umgeleitet, basierend auf der E-Mail-Domäne

SSO-Probleme

Wenn ein Benutzer SSO-Probleme hat, wird er auf die Seite "Login ohne SSO" geleitet, die ein Login mit Cobundu Credentials erlaubt. Dieser Benutzer muss jedoch nicht wissen seine Cobundu-Zeugnisse.

Er könnte dann auch die Funktion "Passwort zurücksetzen" sehen, aber die Funktion zum Zurücksetzen des Passworts ist deaktiviert, wenn SSO für einen Mandanten aktiviert ist. UND die automatische Benutzererstellung ist aktiviert UND der Benutzer, der die Rücksetzung beantragt, wird automatisch erstellt.

Es wird eine E-Mail gesendet, die besagt, dass das Zurücksetzen des Passworts nicht erlaubt ist.

Role Mapping (siehe Roles and Profiles)

Wir können die Rollen aus den vom Kunden zugewiesenen IDP-Benutzerrollen den Workplace Experience-Rollen zuordnen:

• Wenn sich ein Benutzer mit SSO anmeldet und noch kein Workplace-Konto hat:

  • Der Benutzer wird automatisch erstellt

  • Basierend auf der AD-Kontogruppen-ID, die über die Metadaten übergeben wird, wird der Benutzer erstellt und ihm eine Workplace-Rolle zugewiesen, wie in der Rollenzuordnung definiert 

• Wenn sich ein Benutzer mit SSO anmeldet und bereits ein Workplace-Konto besitzt:

  • Basierend auf der AD-Kontogruppen-ID, die über die Metadaten übergeben wird, wird dem Benutzer eine Workplace-Rolle zugewiesen, wie in der Rollenzuordnung definiert

Um diese Funktion zu nutzen, wenden Sie sich an Ihren Spacewell Account Manager.

Image Added

Automatische Erstellung von Workplace-Benutzern

Die Einrichtung von Workplace SSO hat den versteckten Vorteil, dass für jeden (neuen) Workplace-Benutzer, der sich anmeldet, bei der ersten Anmeldung ein Konto on-the-fly erstellt wird (sowohl in Workplace Management als auch in Workplace Experience) und der Benutzer mit der Nutzung des Systems beginnen kann.

Image Added

Ein Benutzer, der sich mit einer Workplace ID (tenant.ID) oder einer E-Mail-Adresse anmeldet, wird als Teil eines Mandanten erkannt, für den SSO eingerichtet wurde, und Workplace erstellt automatisch ein Workplace-Konto.

Der Identitätsanbieter gilt als die einzige Quelle der Wahrheit. Mit anderen Worten: Wenn der Benutzer automatisch erstellt wird, werden die Informationen extern verwaltet.

Um sicherzustellen, dass Workplace immer auf dem neuesten Stand der Benutzerinformationen ist, werden bei jeder Anmeldung (eines automatisch erstellten Benutzers) die folgenden Attribute überprüft und aktualisiert:

• Benutzer-Vorname

• Nachname

• IWMS-ID

Um diese Funktion zu nutzen, wenden Sie sich an Ihren Spacewell Account Manager.

FAQ

Wie testet man die Workplace SSO-Einrichtung?

Auf Workplace Web (GO -), die Workplace App oder Workplace back-end Studio:

1. Benutzer muss Workplace-Benutzer-ID (oder E-Mail-Adresse, je nach Einrichtung) angeben

2. (Workplace wertet das Präfix der Konto-ID aus und weiß, dass dieser Anmeldeversuch über SSO erfolgen muss). Der Benutzer wird auf den externen SSO-Anmeldebildschirm umgeleitet.

3. Nach der Eingabe der Anmeldedaten (vorausgesetzt, der Identitätsanbieter stimmt zu): Workplace wird automatisch ein Workplace-Konto erstellen (und mit dem IWMS-Konto verknüpfen).

4. Der Benutzer kann alle relevanten Workplace-Funktionen nutzen.

Wie behandelt SSO Austretende im Unternehmen?

SSO ist ein Anmeldetool. Es nimmt keine Aktualisierungen von Benutzern vor und behandelt auch keine Löschungen oder Deaktivierungen. Wenn ein Benutzer im IWMS auf deaktiviert gesetzt wird, ist der verknüpfte Workplace-Benutzer immer noch aktiv, hat aber keine IWMS-Rechte mehr: Der Benutzer kann sich bei Workplace-Touchpoints anmelden und reservierbare Räume, Grundrisse usw. durchsuchen, aber sobald er eine Reservierung vornehmen möchte, ist dies nicht mehr möglich (weil er nicht mehr die richtigen IWMS-Rechte hat).

Fehlersuche

• Prüfen Sie, ob der IWMS-Benutzer korrekt eingerichtet ist.

  • Verfügt der Benutzer über die erforderlichen Rechte?

  • Ist der Benutzer aktiviert?

• Prüfen Sie, ob der Workplace-Benutzer korrekt eingerichtet ist

  • Ist der Workplace-Benutzer mit dem IWMS-Benutzer verknüpft?

  • Sind irgendwelche Rollen zugewiesen?

  • Ist der Benutzer aktiviert?

• Wenn Sie den Zugriff des Benutzers in Workplace testen, öffnet sich dann die SSO-Seite?

  • Wenn ja, dann überprüfen Sie bitte SSO mit Ihrer IT-Abteilung

  • Falls nein, kontaktieren Sie bitte den Spacewell Support

• Was ist, wenn das Feld "Erlaubte E-Mail-Domänen (durch Komma getrennt)" bei der automatischen Benutzererstellung nicht editierbar (grau) ist?

  • "Erlaubte E-Mail-Domänen" ist eine mandantenübergreifende Einstellung und kann nur mit globalen Super-Accounts von Spacewell verwaltet werden.

  • In einigen Fällen kann sie sogar für globale Superkonten ausgegraut sein. Dies geschieht zum Beispiel in besonderen Fällen der benutzerdefinierten Einrichtung mit CMEK. Diese Liste muss dann manuell über das Backend verwaltet werden.

Suche