Zum Hauptinhalt springen
Microsoft SAML SSO

SSO in anny einrichten

Adriaan Wind avatar
Verfasst von Adriaan Wind
Vor über 9 Monaten aktualisiert

In diesem Artikel erfährst du, wie du einen Unternehmenslogin mit Microsoft bei anny einrichtest.

Vorbereitung

Die SSO Verbindung kannst du selbständig in deinem anny Admin Bereich unter SSO & Sicherheit hinterlegen. Neben den anny Admin Rechten benötigst du den Zugang zum Azure Active Directory deiner Organisation.

Einrichtung

Zur Einrichtung von SSO müssen die folgenden Schritte von dir ausgeführt werden. Wichtig: Du musst für diese Einrichtung Administrator des Active Directories sein.

  1. Gehe zu Azure Active Directory

  2. Erstelle eine neue Unternehmensanwendung über Unternehmensanwendungen > Neue Anwendung > Eigene Anwendung erstellen

  3. Gebe den Namen ein (z.B. anny SSO) und wähle "Integrate any other application you don't find in the gallery"

  4. Gehe zu SSO einrichten bzw. Einmaliges Anmelden

  5. Wähle SAML aus

  6. Lade die Metadaten XML Datei bei anny herunter und lade diese bei Microsoft über Metadatendatei hochladen hoch

  7. Aktiviere die Signierung der Attribute

  8. Lege fest, wer sich einloggen darf

  9. Kopiere die App-Verbundsmetadaten-URL und hinterlege diese in anny

Im Anschluss kannst du direkt die SSO Verbindung testen und ggf. deine Einstellungen anpassen.
Hier findest du eine Erläuterung zu potenziellen Fehlermeldungen SSO Troubleshooting

Zur Einrichtung des Attribute Mappings findest du hier einen Artikel: Attribute Mapping


Diese Schritte werden im folgenden nochmal mit Screenshots dargestellt

Folge den Screenshots, um das SSO mit Microsoft einzurichten.

Erstelle eine neue Unternehmensanwendung

Zuerst musst du eine neue Unternehmensanwendung erstellen.

SSO einrichten

Für die erstellte Anwendung musst du anschließend SSO einrichten.

.

Metadaten Datei hochladen

Um die meisten Einstellungen automatisch vorzunehmen, lädst du am besten die Metadaten Datei hoch.

Aktiviere die Signierung der Attribute

Wir überprüfen aus Sicherheitsgründen immer die Signatur der übermittelten Attribute. Das ist standardmäßig deaktiviert. Unter dem Punkt "SAML Zertifikat" kannst du die Signierung aktivieren.

Wähle die Einstellungen wir im Screenshot dargestellt:

Lege fest, wer sich einloggen darf

Du musst nun noch festlegen, wer sich in die Applikation einloggen darf. Im Normalfall sollen sich alle deine Mitarbeiter:innen einloggend dürfen. Navigiere dazu zu "Eigenschaften" und setze die Option "Zuweisung erforderlich" auf "Nein".

Möchtest du nur bestimmten Benutzern den Zugriff erlauben, musst du die Option auf "Ja" einstellen und unter "Benutzer und Gruppen" die Benutzer auswählen, die Zugriff erhalten sollen.

Metadaten URL kopieren und in anny hinterlegen

Abschließen kopierst du noch die Metadaten URL und hinterlegst diese in anny, sodass die Einrichtung abgeschlossen werden kann.


Optional: Signatur der Anfrage überprüfen

Du hast die Möglichkeit die Signatur der Loginanfragen (SAMLRequest) überprüfen zu lassen. Dazu musst du das Zertifikat hochladen.

Zuerst musst du das Zertifikat herunterladen. Die Url dazu leitet sich von der Metadaten-URL ab.

Metadaten-URL:
https://auth.anny.co/tenant/{id}/saml/metadata

Zertifikat-URL:

Dieses Zertifikat musst du anschließend hochladen:

Gruppen für Attribute-Mapping freigeben

Damit du die Gruppen als zusätzliches Attribut in anny für das Attribute-Mapping nutzen kannst, muss dies erst im Azure Active Directory freigeben werden. Folgende Schritte sind dafür nötig.

  1. Gehe in das Azure Active Directory und wähle die angelegte Unternehmensanwendung aus.

  2. Wähle hier den Reiter "Einmaliges Anmelden" aus.

  3. Hier findest du die Kachel "Attribute & Ansprüche", drücke hier auf bearbeiten.

  4. Hier kannst du nun über den Button "Gruppenanspruch hinzufügen" das Attribut hinzufügen.

  5. Wähle dort "Alle Gruppen" aus und drücke auf speichern. Nun werden die Gruppen such als Attribute mitgegeben und können in anny genutzt werden.
    Wichtig: Sollte der User zu vielen Gruppen zugeordnet sein, können diese von Microsoft nicht an uns übergeben werden. Dies zeigt sich z.B. darin, dass der User dann nicht durch das Attribute-Mapping zugeordnet werden kann. Hierzu ist folgender Workaround nötig:

    1. Wähle bei der Zuweisung von Gruppen nicht "Alle Gruppen" aus, sondern die Option "Der Anwendung zugewiesene Gruppen".

    2. Jetzt kann in der Anwendung unter "Benutzer & Gruppen" die Gruppen hinzugefügt werden, welche der Anwendung zugeordnet werden sollen. So werden nur die benötigten Gruppen zu anny übertragen.

Hat dies deine Frage beantwortet?