/
SSO-Konfiguration für WPM

SSO-Konfiguration für WPM

Owned by Lango: Language and translation manager
Last updated: Aug 21, 2024Version comment
11 min read

Die Konfigurationsleitfäden für die Konfiguration von Single Sign On (SSO) finden Sie weiter unten.

Derzeit wird die SSO-Implementierung auf der Seite von Workplace Management (und Workplace Experience) immer vom Spacewell Integration Team durchgeführt.

Azure AD Konfigurationsanleitung

Nachfolgend finden Sie die notwendigen Schritte, um eine Single Sign On-Anwendung innerhalb des Azure AD-Portals zu erstellen.

Azure-Anwendung erstellen

  1. Navigieren Sie in Azure AD zu Unternehmensanwendungen



  2. Drücken Sie auf "Neue Anwendung".



  3. Drücken Sie auf "Eigene Anwendung erstellen".



  4. Geben Sie einen passenden Namen ein und wählen Sie die Option "Eine andere Anwendung integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie)". Klicken Sie anschließend auf "Erstellen". Es kann einige Zeit dauern, bis die Anwendung erstellt ist. Azure wird Ihnen die folgende Meldung anzeigen, bis sie fertig ist.

 

Einrichten der Einzelanmeldung

Sobald die Anwendung erstellt wurde, werden Sie zum Bildschirm mit den Anwendungseigenschaften weitergeleitet.

  1. Klicken Sie auf "Einzelanmeldung einrichten" oder tun Sie dies im Menü links unter "Einzelanmeldung".

     

  2. Wählen Sie die Option "SAML".

 

Automatische Verwendung der Metadaten-Datei

Am einfachsten lassen sich die Einstellungen für die einmalige Anmeldung in der Metadaten-Datei eintragen. Diese kann auf zwei Arten erworben werden:

 

  1. Sobald Sie die URL haben, müssen Sie die XML-Datei auf Ihrem Computer speichern.

  2. Wenn Sie die erforderlichen Einstellungen manuell vornehmen möchten, können Sie diese Werte aus den Metadaten abrufen. Wir stellen keine Dokumentation für eine manuelle Einrichtung zur Verfügung, da wir davon ausgehen, dass Sie über das notwendige Wissen verfügen, wenn Sie sich für diese Option entscheiden.

Bitte beachten Sie: Wenn Sie sich für eine manuelle Einrichtung entscheiden, kann Spacewell Ihnen die Kosten für eine eventuell notwendige Unterstützung durch einen Spacewell-Berater in Rechnung stellen.

Hochladen der Metadaten

  1. In Azure klicken Sie auf "Metadaten-Datei hochladen".

     

  2. Wählen Sie die XML-Datei aus, die Sie gerade auf Ihrem Computer gespeichert haben, und klicken Sie auf "Hinzufügen".

  3. Als Ergebnis sollten Sie eine Seite "SAML-Basiskonfiguration" angezeigt bekommen. Auf dieser Seite finden Sie die vorausgefüllten Werte aus der Metadaten-Datei. Ein Wert, den Sie hinzufügen können, ist die "Sign on URL (Optional)". Die Verwendung dieses Wertes ermöglicht die vom Dienstanbieter initiierte einmalige Anmeldung (Single Sign On). Diese Angabe ist nicht erforderlich, wird aber empfohlen. In den meisten Fällen sollte diese URL wie folgt lauten: https://client.axxerion.com/axxerion/sso
    Ersetzen Sie dabei "Client" durch Ihre mandantenspezifische URL, die Ihnen bereits bekannt sein sollte. Beachten Sie, dass Workplace Management mehrere SSO-Verbindungen innerhalb einer Client-Umgebung unterstützt. Wenn dies der Fall ist, wird diese URL anders lauten und sollte mit Ihrem Spacewell-Kontakt besprochen werden.

  4. Sobald Sie die erforderlichen Werte eingegeben haben, drücken Sie auf "Speichern".

  5. Nach erfolgreicher Speicherung schließen Sie den Konfigurationsbildschirm. Azure könnte Sie auffordern, die Verbindung zu testen. Lehnen Sie dieses Angebot ab, da noch einige Einstellungen vorgenommen werden müssen (sowohl in Azure als auch auf der Workplace Management-Seite).

 

Festlegung zusätzlicher Ansprüche (optional)

Wenn Sie beabsichtigen, die SSO-Verbindung in Kombination mit Just In Time Provisioning zu verwenden, möchten Sie möglicherweise zusätzliche Ansprüche hinzufügen. Navigieren Sie dazu zu "Attribute & Ansprüche" und drücken Sie auf "Bearbeiten".

In dem daraufhin angezeigten Bildschirm können Sie beliebige (Gruppen-)Ansprüche hinzufügen. Wenn Sie weitere Hilfe beim Hinzufügen von Ansprüchen benötigen, wenden Sie sich bitte an Ihren Azure-Administrator, um zu erfahren, wie Sie diese hinzufügen können.

 

Hinzufügen von Benutzern

  1. Klicken Sie im Menü auf der linken Seite auf "Benutzer und Gruppen".



  2. Drücken Sie auf "Benutzer/Gruppe hinzufügen".



  3. Klicken Sie auf "Keiner ausgewählt" und suchen Sie entweder nach den Benutzern oder einer bestimmten Gruppe, denen Sie Zugang zur Single Sign On-Anwendung geben möchten.

  4. Drücken Sie auf "Auswählen", um die Benutzer und/oder Gruppen hinzuzufügen.



  5. Klicken Sie auf "Zuweisen", um die Benutzer der Anwendung zuzuweisen.

  6. Alle anderen Änderungen an den Benutzern und/oder Gruppen sollten vom Azure-Administrator auf Ihrer Seite vorgenommen werden.

 

Weitergabe der erforderlichen Informationen

Wenn Sie alle oben genannten Schritte durchgeführt haben, können Sie die Metadaten-Datei der Anwendung mit Ihrem Spacewell-Kontakt teilen. Navigieren Sie auf der SAML-basierten Anmeldeseite zu Abschnitt 3 "SAML-Zertifikate" und geben Sie die "App Federation Metadata Url" frei. mit Ihrem Spacewell-Kontakt. Sie werden die notwendigen Schritte unternehmen, damit die SSO-Verbindung funktionieren kann.

 

Zertifikatserneuerungen

  • Workplace Management wird jedes Jahr das Zertifikat aktualisieren, das für die SSO-Verbindung verwendet wird. Derzeit akzeptiert Azure dieses Zertifikat, ohne dass irgendwelche Schritte von Ihrer Seite aus erforderlich sind.

  • Falls das Zertifikat auf der Azure-Seite erneuert wird, sollte Spacewell so schnell wie möglich über die notwendigen Supportkanäle darüber informiert werden. Wenn Spacewell die URL der Federation-Metadaten erhält, kann ein Spacewell-Ansprechpartner die erforderlichen Einstellungen auf der Workplace Management-Seite problemlos aktualisieren. Sollte Spacewell nicht benachrichtigt werden, wird die SSO-Verbindung nicht mehr funktionieren, sobald das Zertifikat auf der Azure-Seite abläuft.

 


Okta-Konfigurationsanleitung

Nachfolgend finden Sie die notwendigen Schritte, um eine Single-Sign-On-Anwendung innerhalb des Okta-Portals zu erstellen.

Erstellen einer Okta SSO-Anwendung

  1. In Okta navigieren Sie zu "Anwendungen > Anwendungen" und klicken auf "App-Integration erstellen".



  2. Im Modal wählen Sie bitte "SAML 2.0" und klicken auf "Weiter".

     

  3. Geben Sie einen "App-Namen" ein und klicken Sie auf "Weiter". Es steht Ihnen frei, eine der "App-Sichtbarkeit"-Optionen zu aktivieren, wenn sie auf Sie zutreffen. Sie brauchen auch nichts für das App-Logo hinzuzufügen, da diese Anwendung nicht verwendet wird, um Ihren Benutzern präsentiert zu werden (mehr dazu im Abschnitt "Erstellen einer Okta-Bookmark-Anwendung")

 

Metadaten-Informationen

Der einfachste Weg, die für die SAML 2.0-Verbindung erforderlichen Informationen abzurufen, ist die Metadaten-Datei. Diese kann auf zwei Arten erworben werden:

 

  1. Sobald Sie die URL haben, können Sie diese in Ihrem Browser öffnen. Wenn Sie möchten, können Sie die Datei auch herunterladen und in Ihrem bevorzugten Texteditor öffnen.

  2. In der folgenden Tabelle finden Sie die Zuordnung, wobei in der ersten Spalte das Feld in der Okta-Anwendung und in der zweiten Spalte der Tag-Name in der XML aus den Workplace Management Federation Metadaten steht.

Okta

Tag-Metadaten

Okta

Tag-Metadaten

Einmalige Anmelde-URL 

md:AssertionConsumerService > Standort

Zuhörer-URI (SP Entity ID) 

md:EntityDescriptor > entityID

Name ID-Format

Vorübergehend

 

3. Blättern Sie nach unten zu den "Attributangaben (optional)" und fügen Sie die Attribute hinzu, die gemeinsam genutzt werden sollen. Als Minimum sollten Sie "user.email", "user.firstName" und "user.lastName" hinzufügen. Achten Sie auf die Werte in der Spalte "Name", da diese mit Ihrem Spacewell-Kontakt geteilt werden müssen. Verwenden Sie die Schaltfläche "Add Another", um weitere Attribute hinzuzufügen, wenn Sie diese benötigen.

4. Drücken Sie auf "Weiter".

5. Setzen Sie im nächsten Bildschirm den Wert auf "Ich bin ein Okta-Kunde, der eine interne App hinzufügt" und "Dies ist eine interne App, die wir erstellt haben".

6. Klicken Sie auf "Fertigstellen".

7. Navigieren Sie im daraufhin angezeigten Bildschirm zum Abschnitt "SAML-Signaturzertifikate".
8. Klicken Sie auf das aktive Zertifikat und drücken Sie auf "Aktionen", gefolgt von "IdP-Metadaten anzeigen".
9. Es sollte sich eine Registerkarte mit der erforderlichen Metadaten-URL öffnen. Notieren Sie sich die URL und teilen Sie diese mit Ihrem Spacewell-Kontakt.

 

Erstellen der Okta-Bookmark-Anwendung (optional)

Wenn Sie möchten, dass sich Benutzer von Okta in Workplace Management anmelden, müssen Sie eine Lesezeichenanwendung erstellen. Die SSO-Anwendung in Okta erlaubt es nicht, eine URL anzugeben, mit der sich ein Benutzer anmelden kann. Durch das Hinzufügen einer Lesezeichenanwendung ist dies jedoch möglich.

Klicken Sie in Okta auf "Anwendungen > Anwendungen", gefolgt von "App-Katalog durchsuchen".

  1. Suchen Sie in der Suchleiste nach "Lesezeichen" und wählen Sie die "Lesezeichen-App".



  2. Klicken Sie auf "Integration hinzufügen".



  3. Geben Sie einen "Application Label" und die "URL" ein. In den meisten Fällen sollte die URL wie folgt lauten: https://client.axxerion.com/axxerion/sso
    Ersetzen Sie dabei "Client" durch Ihre mandantenspezifische URL, die Ihnen bereits bekannt sein sollte. Beachten Sie, dass Workplace Management mehrere SSO-Verbindungen innerhalb einer Client-Umgebung unterstützt. Wenn dies der Fall ist, wird diese URL anders lauten und sollte mit Ihrem Spacewell-Kontakt besprochen werden.

  4. Drücken Sie auf "Fertig", wenn Sie fertig sind.

 

Benutzer zuweisen

Die Zuweisung von Benutzern gilt mindestens für die SSO-Anwendung und optional für die Lesezeichenanwendung.

  1. Öffnen Sie die Anwendung und gehen Sie auf die Registerkarte "Zuweisungen". Klicken Sie auf "Zuweisen" und wählen Sie, ob Sie Personen oder Gruppen hinzufügen möchten



  2. Im folgenden Beispiel werden wir einen bestimmten Benutzer hinzufügen. Wählen Sie die Benutzer, die Sie hinzufügen möchten, und drücken Sie auf "Zuweisen". Nach der Zuweisung drücken Sie auf "Fertig".



  3. Ihre Benutzer sollten in der Anwendung sichtbar sein

 

Anwendungslogo hinzufügen (optional)

  1. Wenn Sie ein Logo zu einer der beiden Anwendungen hinzufügen möchten, können Sie das Workplace Management-Logo unten herunterladen.

  2. Klicken Sie auf das Logo und das Bild sollte vergrößert werden.

  3. Sie können es herunterladen, indem Sie auf das Symbol "Download" oben rechts klicken.



  4. Öffnen Sie die Anwendung und drücken Sie auf das "Stift"-Symbol in der Nähe des bestehenden Logos (wahrscheinlich das Zahnrad)

     

  5. Wählen Sie dann das heruntergeladene Bild aus und klicken Sie auf "Logo aktualisieren".

 

 

Zertifikatserneuerungen

  • Workplace Management wird jedes Jahr das Zertifikat aktualisieren, das für die SSO-Verbindung verwendet wird. Derzeit akzeptiert Okta dieses Zertifikat, ohne dass irgendwelche Schritte von Ihrer Seite aus erforderlich sind.

  • Falls das Zertifikat auf der Okta-Seite erneuert wird, sollte Spacewell so schnell wie möglich über die notwendigen Supportkanäle darüber informiert werden. Wenn Spacewell die URL für die Federation-Metadaten erhalten hat, kann ein Spacewell-Ansprechpartner die erforderlichen Einstellungen auf der Workplace Management-Seite problemlos aktualisieren. Sollte Spacewell nicht benachrichtigt werden, wird die SSO-Verbindung nicht mehr funktionieren, sobald das Zertifikat auf der Seite von Okta abläuft.

 

ADFS-Konfigurationshandbuch

Nachfolgend finden Sie die Einstellungen, die bei Verwendung zu einer erfolgreichen SAML-Verbindung mit Workplace Management führen. Diese Einstellungen haben zu den meisten erfolgreichen Verbindungen mit Kunden geführt. Wenn Sie von den folgenden Einstellungen abweichen, kann Ihr Spacewell-Kontakt Stunden in Rechnung stellen.

Einstellungen in ADFS

In den folgenden Abbildungen finden Sie Verweise auf den Server "axpr05". Dieser sollte durch Ihren Workplace Management-Server ersetzt werden. Sie finden diese Informationen im Abschnittw unten https://spacewell.atlassian.net/wiki/spaces/~62e256719974783acc356c63/pages/128024601.

 

Einrichtung der erforderlichen Ansprüche

Achten Sie auf die Reihenfolge der Ansprüche. Wenn der benutzerdefinierte Anspruch früher kommt, schlägt die Verbindung fehl.

 

Benutzerdefinierter Anspruch

Der benutzerdefinierte Anspruch, der oben verwendet wird, ist wie folgt aufgebaut:

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "!!!REPLACE!!!entityId of the ADFS on your end!!!REPLACE!!!", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "!!!REPLACE!!!url of Axxerion server!!!REPLACE!!!");

 

Benutzerdefinierte Ansprüche, falls die oben genannten nicht funktionieren

In dem seltenen Fall, dass die obige Anweisung für eine funktionierende Verbindung nicht ausreicht, müssen möglicherweise die folgenden benutzerdefinierten Ansprüche implementiert werden. Alle anderen Ansprüche sollten entfernt werden.

Zollantrag 1

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);

Zollantrag 2

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "!!!REPLACE!!!entityId of the ADFS on your end!!!REPLACE!!!", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "!!!REPLACE!!!url of Workplace management server!!!REPLACE!!!");

 

 

Abrufen der Federation-Metadaten-URL für WPM

Navigieren Sie im Workplace Management zum Umgebungs-Setup, indem Sie auf die Schaltfläche "Setup" im Dashboard oder im Menü auf "Admin > Setup" klicken.

Notieren Sie sich die Servernummer

Die Metadaten-URL kann über die folgende URL gefunden werden:

https://axpr00.axxerion.com/axxerion/saml/metadata

In dieser URL sollten Sie die 00 durch Ihre Servernummer ersetzen. Beachten Sie: Wenn Sie sich auf einem Server mit einem einstelligen "x" befinden, sollte es axpr0x sein.

 

 

 

Related content

SSO-configuratie voor WPM
SSO-configuratie voor WPM
Workplace Knowledge Base (nl.support.spacewell.com)
More like this
SSO configuration for WPM
SSO configuration for WPM
Workplace Knowledge Base (support.spacewell.com)
More like this
Wie man Workplace SSO einrichtet
Wie man Workplace SSO einrichtet
Workplace Knowledge Base (de.support.spacewell.com)
More like this
EXP - Gebruikers anonimiseren
EXP - Gebruikers anonimiseren
What`s new (NL)
More like this
Workplace SSO instellen
Workplace SSO instellen
Workplace Knowledge Base (nl.support.spacewell.com)
More like this
Exchange und Azure Konfigurationsanleitung
Exchange und Azure Konfigurationsanleitung
Workplace Knowledge Base (de.support.spacewell.com)
More like this