/
Wie man Workplace SSO einrichtet

Wie man Workplace SSO einrichtet

Owned by Lango: Language and translation manager
Last updated: Sept 17, 2024Version comment
6 min read

Schwierigkeitsgrad: Experte

Lernziele

Nach der Lektüre dieses Artikels werden Sie in der Lage sein:

  • Ihr Active Directory für die Kommunikation mit Workplace einrichten

  • verstehen, wie Workplace SSO funktioniert

  • Workplace SSO einrichten, um Workplace-Benutzern automatisch Rollen zuzuweisen

  • Workplace SSO einrichten, um automatisch Workplace-Benutzer anzulegen

Workplace Smart Buildings Single Sign-On (SSO) ist verfügbar für Workplace Web (GO -)die Workplace App und Workplace back-end Studio.

 

image-20240118-155323.png

Voraussetzungen

anhand der E-Mail-Adresse

  • IWMS-Konto für Benutzer muss vorhanden sein

    • Idealerweise kümmert sich eine HR-Schnittstelle um die automatische Einrichtung von IWMS-Benutzern.

    • Wenn der angemeldete Benutzer nicht im IWMS vorhanden ist, kann er keine IWMS-abhängigen Funktionen wie z. B. Reservierungen nutzen.

  • Identity Provider Mapping (Empfang der folgenden Attribute vom Identity Provider: "IWMS-Login-ID", "Vorname", "Nachname" und "E-Mail")

    • Wenn das Attribut "IWMS-Login-ID" nicht korrekt zugeordnet ist, kann der Benutzer keine IWMS-abhängigen Funktionen wie z. B. Reservierungen nutzen.

  • (optional) Mapping zwischen Active Directory Kontengruppen und Workplace Rollen

Es sollte möglich sein, die IDP anhand der E-Mail-ID des Benutzers zu identifizieren:

Ein bestimmter E-Mail-Domänenname (z. B. @spacewell.com) kann nur einem IDP in unserem System zugeordnet werden.

Wie ist sie aufgebaut?

Workplace unterstützt das SAML 2.0-Protokoll, das den Industriestandard unter allen aktuellen Integrationen darstellt.

Die SSO-Konfiguration von IWMS kann nicht auf Workplace wiederverwendet werden. Aus Sicht des Identity Providers handelt es sich um zwei getrennte Anwendungen, die jeweils eine unabhängige SSO-Verbundkonfiguration erfordern.

Wenden Sie sich an Ihren Spacewell Account Manager, um Workplace SSO einrichten zu lassen.

Wie funktioniert das?

Workplace Single Sign-On (SSO) ist verfügbar für Workplace Web (GO -)die Workplace Mobile App, Outlook Raum-Finder Add-In und Workplace back-end Studio.

Spacewell-Mitarbeiter finden weitere Informationen unter https://spacewell.atlassian.net/wiki/spaces/SUM/pages/178159642/Cobundu+SSO#How-it-works

Erstmalige Anmeldung

  1. Workplace wertet das Präfix der Konto-ID aus und weiß, dass dieser Anmeldeversuch über SSO erfolgen muss.

  2. Der Benutzer wird auf die Anmeldeseite des externen Identitätsanbieters weitergeleitet.

  3. Nach der Eingabe der Anmeldeinformationen, wenn der Identity Provider zustimmt, gibt die SSO-Verbindung die oben genannten Attribute (siehe Voraussetzungen) an Workplace zurück.

  4. Workplace erstellt automatisch ein Workplace-Konto (und verknüpft es mit dem IWMS-Konto).

  5. Der Benutzer kann alle relevanten Workplace-Funktionen nutzen.

Fügen Sie den entsprechenden E-Mail-Adressanbieter (z. B. @spacewell.com oder @mcs.be) zur Workplace SSO-Konfiguration hinzu, um E-Mail-Anbieter auf die Whitelist zu setzen. Um eine E-Mail-Domäne auf die Whitelist zu setzen, fügen Sie sie zu Workplace Back-End Studio Settings > SAML SSO > "Allowed email domains (comma separated)" (unter "Auto-Create user") hinzu.

  1. Workplace bewertet die Domäne und weiß, dass dieser Anmeldeversuch über SSO erfolgen muss.

  2. Der Benutzer wird auf den externen SSO-Anmeldebildschirm umgeleitet.

  3. Nach der Eingabe der Anmeldeinformationen, wenn der Identity Provider zustimmt, gibt die SSO-Verbindung die oben genannten Attribute (siehe Voraussetzungen) an Workplace zurück.

  4. Workplace erstellt automatisch ein Workplace-Konto (und verknüpft es mit dem IWMS-Konto).

  5. Der Benutzer kann alle relevanten Workplace-Funktionen nutzen.

Nachfolgende Anmeldungen

Workplace prüft, wann (auf der IDP-Seite) der Benutzer zum letzten Mal durch Angabe von Benutzername und Passwort authentifiziert wurde.

 

<AuthnStatement AuthnInstant="2024-03-18T10:55:40.225Z"... (now - 120 seconds - maxAuthLifeTime) < AuthnInstant < (now + 120 seconds)

  • Standardmäßig gibt es eine Toleranz von 120 Sekunden (es kann immer eine Panne oder eine leichte Abweichung beim Zeitstempel geben).

  • maxAuthLifeTime = Einstellung auf Workplace in Monaten/Jahren. Diese Einstellung kann verwendet werden, um den Toleranzzeitrahmen zu erweitern

 

Die Einstellung für die Authentifizierungsdauer in Workplace sollte so konfiguriert werden, dass sie mit dem Wert für die Authentifizierungsdauer Ihres Identitätsanbieters übereinstimmt.

Die Einstellung "Maximale Authentifizierungsdauer" kann in Stunden, Tagen, Monaten oder Jahren angegeben werden. Der Wert muss größer als 0 sein und wird standardmäßig auf 2 Jahre gesetzt.

image-20240304-123153.png

Anmeldung ohne SSO

Wenn SSO für Ihre Umgebung konfiguriert ist und Sie keine Anmeldung innerhalb des Identity Providers haben, müssen Sie einen Workaround anwenden:

  1. fügen Sie /no-sso an die URL an (z. B. https://go.cobundu.com/no-sso)

  2. Wählen Sie "Mit Ihren Cobundu-Anmeldedaten anmelden".

  3. Loggen Sie sich mit Ihrer Workplace ID und Ihrem Passwort ein

  1. Geben Sie Ihre Workplace ID oder E-Mail-Adresse ein

  2. werden Sie auf die SSO-Anmeldeseite weitergeleitet

  3. Wählen Sie in der oberen linken Ecke "Fertig".

  4. Wählen Sie "Mit Ihren Cobundu-Anmeldedaten anmelden".

  5. Loggen Sie sich mit Ihrer Workplace ID und Ihrem Passwort ein

Wie funktioniert die IDP-Auflösung?

Die IDP-Auflösung ist der Mechanismus, mit dem der Benutzer an den richtigen SSO-Anbieter weitergeleitet wird, wenn mehrere Anbieter vorhanden sind. Dies geschieht auf der Grundlage der E-Mail-Domäne des Benutzers.

Wenn mehrere zulässige E-Mail-Domänen (die mit verschiedenen Anbietern verknüpft sind) für denselben Mandanten eingerichtet sind und Benutzer versuchen, sich bei Workplace Experience anzumelden:

  • einige von werden auf die Azure Cloud von IDP1 umgeleitet, basierend auf der E-Mail-Domäne

  • andere werden auf die Azure Cloud von IDP2 umgeleitet, basierend auf der E-Mail-Domäne

SSO-Probleme

Wenn ein Benutzer SSO-Probleme hat, wird er auf die Seite "Login ohne SSO" geleitet, die ein Login mit Cobundu Credentials erlaubt. Dieser Benutzer muss jedoch nicht wissen seine Cobundu-Zeugnisse.

Er könnte dann auch die Funktion "Passwort zurücksetzen" sehen, aber die Funktion zum Zurücksetzen des Passworts ist deaktiviert, wenn SSO für einen Mandanten aktiviert ist. UND die automatische Benutzererstellung ist aktiviert UND der Benutzer, der die Rücksetzung beantragt, wird automatisch erstellt.

Es wird eine E-Mail gesendet, die besagt, dass das Zurücksetzen des Passworts nicht erlaubt ist.

Role Mapping (siehe Roles and Profiles)

Wir können die Rollen aus den vom Kunden zugewiesenen IDP-Benutzerrollen den Workplace Experience-Rollen zuordnen:

  • Wenn sich ein Benutzer mit SSO anmeldet und noch kein Workplace-Konto hat:

    • Der Benutzer wird automatisch erstellt

    • Basierend auf der AD-Kontogruppen-ID, die über die Metadaten übergeben wird, wird der Benutzer erstellt und ihm eine Workplace-Rolle zugewiesen, wie in der Rollenzuordnung definiert 

  • Wenn sich ein Benutzer mit SSO anmeldet und bereits ein Workplace-Konto besitzt:

    • Basierend auf der AD-Kontogruppen-ID, die über die Metadaten übergeben wird, wird dem Benutzer eine Workplace-Rolle zugewiesen, wie in der Rollenzuordnung definiert

Wenn diese Funktion verwendet wird, überschreibt sie alle manuellen Rollenzuweisungen.

Um diese Funktion zu nutzen, wenden Sie sich an Ihren Spacewell Account Manager.

Automatische Erstellung von Workplace-Benutzern

Die Einrichtung von Workplace SSO hat den versteckten Vorteil, dass für jeden (neuen) Workplace-Benutzer, der sich anmeldet, bei der ersten Anmeldung ein Konto on-the-fly erstellt wird (sowohl in Workplace Management als auch in Workplace Experience) und der Benutzer mit der Nutzung des Systems beginnen kann.

Ein Benutzer, der sich mit einer Workplace ID (tenant.ID) oder einer E-Mail-Adresse anmeldet, wird als Teil eines Mandanten erkannt, für den SSO eingerichtet wurde, und Workplace erstellt automatisch ein Workplace-Konto.

 

Der Identitätsanbieter gilt als die einzige Quelle der Wahrheit. Mit anderen Worten: Wenn der Benutzer automatisch erstellt wird, werden die Informationen extern verwaltet.

Um sicherzustellen, dass Workplace immer auf dem neuesten Stand der Benutzerinformationen ist, werden bei jeder Anmeldung (eines automatisch erstellten Benutzers) die folgenden Attribute überprüft und aktualisiert:

  • Benutzer-Vorname

  • Nachname

  • IWMS-ID

 

Um diese Funktion zu nutzen, wenden Sie sich an Ihren Spacewell Account Manager.

FAQ

Wie testet man die Workplace SSO-Einrichtung?

Auf Workplace Web (GO -), die Workplace App oder Workplace back-end Studio:

  1. Benutzer muss Workplace-Benutzer-ID (oder E-Mail-Adresse, je nach Einrichtung) angeben

  2. (Workplace wertet das Präfix der Konto-ID aus und weiß, dass dieser Anmeldeversuch über SSO erfolgen muss). Der Benutzer wird auf den externen SSO-Anmeldebildschirm umgeleitet.

  3. Nach der Eingabe der Anmeldedaten (vorausgesetzt, der Identitätsanbieter stimmt zu): Workplace wird automatisch ein Workplace-Konto erstellen (und mit dem IWMS-Konto verknüpfen).

  4. Der Benutzer kann alle relevanten Workplace-Funktionen nutzen.

Wie behandelt SSO Austretende im Unternehmen?

SSO ist ein Anmeldetool. Es nimmt keine Aktualisierungen von Benutzern vor und behandelt auch keine Löschungen oder Deaktivierungen. Wenn ein Benutzer im IWMS auf deaktiviert gesetzt wird, ist der verknüpfte Workplace-Benutzer immer noch aktiv, hat aber keine IWMS-Rechte mehr: Der Benutzer kann sich bei Workplace-Touchpoints anmelden und reservierbare Räume, Grundrisse usw. durchsuchen, aber sobald er eine Reservierung vornehmen möchte, ist dies nicht mehr möglich (weil er nicht mehr die richtigen IWMS-Rechte hat).

Fehlersuche

  • Prüfen Sie, ob der IWMS-Benutzer korrekt eingerichtet ist.

    • Verfügt der Benutzer über die erforderlichen Rechte?

    • Ist der Benutzer aktiviert?

  • Prüfen Sie, ob der Workplace-Benutzer korrekt eingerichtet ist

    • Ist der Workplace-Benutzer mit dem IWMS-Benutzer verknüpft?

    • Sind irgendwelche Rollen zugewiesen?

    • Ist der Benutzer aktiviert?

  • Wenn Sie den Zugriff des Benutzers in Workplace testen, öffnet sich dann die SSO-Seite?

    • Wenn ja, dann überprüfen Sie bitte SSO mit Ihrer IT-Abteilung

    • Falls nein, kontaktieren Sie bitte den Spacewell Support

  • Was ist, wenn das Feld "Erlaubte E-Mail-Domänen (durch Komma getrennt)" bei der automatischen Benutzererstellung nicht editierbar (grau) ist?

    • "Erlaubte E-Mail-Domänen" ist eine mandantenübergreifende Einstellung und kann nur mit globalen Super-Accounts von Spacewell verwaltet werden.

    • In einigen Fällen kann sie sogar für globale Superkonten ausgegraut sein. Dies geschieht zum Beispiel in besonderen Fällen der benutzerdefinierten Einrichtung mit CMEK. Diese Liste muss dann manuell über das Backend verwaltet werden.

 

 

Suche

Search

Related content

Workplace SSO instellen
Workplace SSO instellen
Workplace Knowledge Base (nl.support.spacewell.com)
More like this
How to set up Workplace SSO
How to set up Workplace SSO
Workplace Knowledge Base (support.spacewell.com)
More like this
Workplace SSO FAQ & Troubleshooting
Workplace SSO FAQ & Troubleshooting
Workplace Knowledge Base (support.spacewell.com)
More like this
Automatic creation, update & deletion of Workplace users
Automatic creation, update & deletion of Workplace users
Workplace Knowledge Base (support.spacewell.com)
More like this
EXP - SSO met meerdere identiteitsproviders
EXP - SSO met meerdere identiteitsproviders
What`s new (NL)
More like this
EXP - Gebruikers anonimiseren
EXP - Gebruikers anonimiseren
What`s new (NL)
More like this