In diesem Artikel erfährst du, wie du einen Unternehmenslogin mit Microsoft bei anny einrichtest.
Vorbereitung
Die SSO Verbindung kannst du selbständig in deinem anny Admin Bereich unter SSO & Sicherheit hinterlegen. Neben den anny Admin Rechten benötigst du den Zugang zum Azure Active Directory deiner Organisation.
Einrichtung
Zur Einrichtung von SSO müssen die folgenden Schritte von dir ausgeführt werden. Wichtig: Du musst für diese Einrichtung Administrator des Active Directories sein.
Gehe zu Azure Active Directory
Erstelle eine neue Unternehmensanwendung über Unternehmensanwendungen > Neue Anwendung > Eigene Anwendung erstellen
Gebe den Namen ein (z.B. anny SSO) und wähle "Integrate any other application you don't find in the gallery"
Gehe zu SSO einrichten bzw. Einmaliges Anmelden
Wähle SAML aus
Lade die Metadaten XML Datei bei anny herunter und lade diese bei Microsoft über Metadatendatei hochladen hoch
Aktiviere die Signierung der Attribute
Lege fest, wer sich einloggen darf
Kopiere die App-Verbundsmetadaten-URL und hinterlege diese in anny
Im Anschluss kannst du direkt die SSO Verbindung testen und ggf. deine Einstellungen anpassen.
Hier findest du eine Erläuterung zu potenziellen Fehlermeldungen SSO Troubleshooting
Zur Einrichtung des Attribute Mappings findest du hier einen Artikel: Attribute Mapping
Diese Schritte werden im folgenden nochmal mit Screenshots dargestellt
Folge den Screenshots, um das SSO mit Microsoft einzurichten.
Erstelle eine neue Unternehmensanwendung
Zuerst musst du eine neue Unternehmensanwendung erstellen.
SSO einrichten
Für die erstellte Anwendung musst du anschließend SSO einrichten.
.
Metadaten Datei hochladen
Um die meisten Einstellungen automatisch vorzunehmen, lädst du am besten die Metadaten Datei hoch.
Aktiviere die Signierung der Attribute
Wir überprüfen aus Sicherheitsgründen immer die Signatur der übermittelten Attribute. Das ist standardmäßig deaktiviert. Unter dem Punkt "SAML Zertifikat" kannst du die Signierung aktivieren.
Wähle die Einstellungen wir im Screenshot dargestellt:
Lege fest, wer sich einloggen darf
Du musst nun noch festlegen, wer sich in die Applikation einloggen darf. Im Normalfall sollen sich alle deine Mitarbeiter:innen einloggend dürfen. Navigiere dazu zu "Eigenschaften" und setze die Option "Zuweisung erforderlich" auf "Nein".
Möchtest du nur bestimmten Benutzern den Zugriff erlauben, musst du die Option auf "Ja" einstellen und unter "Benutzer und Gruppen" die Benutzer auswählen, die Zugriff erhalten sollen.
Metadaten URL kopieren und in anny hinterlegen
Abschließen kopierst du noch die Metadaten URL und hinterlegst diese in anny, sodass die Einrichtung abgeschlossen werden kann.
Optional: Signatur der Anfrage überprüfen
Du hast die Möglichkeit die Signatur der Loginanfragen (SAMLRequest) überprüfen zu lassen. Dazu musst du das Zertifikat hochladen.
Zuerst musst du das Zertifikat herunterladen. Die Url dazu leitet sich von der Metadaten-URL ab.
Metadaten-URL:
https://auth.anny.co/tenant/{id}/saml/metadata
Zertifikat-URL:
Dieses Zertifikat musst du anschließend hochladen:
Gruppen für Attribute-Mapping freigeben
Damit du die Gruppen als zusätzliches Attribut in anny für das Attribute-Mapping nutzen kannst, muss dies erst im Azure Active Directory freigeben werden. Folgende Schritte sind dafür nötig.
Gehe in das Azure Active Directory und wähle die angelegte Unternehmensanwendung aus.
Wähle hier den Reiter "Einmaliges Anmelden" aus.
Hier findest du die Kachel "Attribute & Ansprüche", drücke hier auf bearbeiten.
Hier kannst du nun über den Button "Gruppenanspruch hinzufügen" das Attribut hinzufügen.
Wähle dort "Alle Gruppen" aus und drücke auf speichern. Nun werden die Gruppen such als Attribute mitgegeben und können in anny genutzt werden.
Wichtig: Sollte der User zu vielen Gruppen zugeordnet sein, können diese von Microsoft nicht an uns übergeben werden. Dies zeigt sich z.B. darin, dass der User dann nicht durch das Attribute-Mapping zugeordnet werden kann. Hierzu ist folgender Workaround nötig:Wähle bei der Zuweisung von Gruppen nicht "Alle Gruppen" aus, sondern die Option "Der Anwendung zugewiesene Gruppen".
Jetzt kann in der Anwendung unter "Benutzer & Gruppen" die Gruppen hinzugefügt werden, welche der Anwendung zugeordnet werden sollen. So werden nur die benötigten Gruppen zu anny übertragen.