Föderiertes SAML kommt zum Einsatz, wenn deine Organisation Teil eines größeren Identitätsnetzwerks ist (z. B. im Hochschulumfeld über DFN-AAI oder eduGAIN). Anstatt eine manuelle 1:1 Verbindung aufzubauen, kommunizieren anny und dein Identity Provider über diese gemeinsame Föderation. Die initiale Einrichtung wird dabei proaktiv von anny angestoßen.
Für wen ist diese Funktion geeignet?
Dieses Setup richtet sich an IT-Admins von:
Universitäten und Hochschulen, die über nationale Forschungsnetze authentifizieren.
Großen Konzernen mit einer zentralen Föderation für mehrere Tochtergesellschaften.
So funktioniert die Einrichtung
Der Prozess besteht aus zwei Phasen: Dem Anlegen in anny und der Freigabe in eurem System.
Phase 1: Die Verbindung in anny anstoßen
Öffne in anny die Account-Einstellungen und wechsle in den Bereich SSO & Sicherheit.
Klicke auf den Button + IdP hinzufügen.
Wähle die Option Föderation und klicke anschließend auf dein Netzwerk (z. B. DFN-AAI).
Gib nun die Entity ID deiner Organisation ein. Tipp: Wenn du DFN-AAI nutzt, findest du deine Entity ID in der DFN-AAI Tool-Übersicht. Wähle dort den Bereich "Identity Provider" aus, suche nach deiner Organisation, kopiere die "SAML Entity ID" und füge sie in anny ein.
Speichere die Eingabe in anny. Dadurch senden wir eine proaktive Anfrage an eure Föderation.
Phase 2: Freigabe im Föderations-Interface
Wechsle nun in das Verwaltungssystem eurer Identitätsföderation, um die Anfrage von anny zu bearbeiten.
Anfrage im Interface prüfen Sobald du die Verbindung in anny angestoßen hast, erhältst du auf eurer Seite (in eurem Föderations-Interface) eine Anfrage von anny. Diese Anfrage enthält die spezifische Entity ID von anny.
Domain beachten und akzeptieren Prüfe die Entity ID.
Wichtig: Achte hierbei genau auf die Domain-Endung! Je nachdem, auf welchem Server euer anny Account liegt, lautet die Domain der Entity ID entweder anny.eu oder anny.co. Akzeptiere die Anfrage für die exakt passende Domain in eurem Interface.Attribute anlegen und freischalten Der Login ist nun verknüpft. Damit anny aus dem Login ein echtes Nutzerprofil erstellen kann, müssen bei der Authentifizierung Daten übergeben werden. Lege auf eurer Seite die folgenden Attribute an und schalte diese explizit für anny (Attribute Release) frei:
E-Mail (Erforderlich)
urn:oid:1.2.840.113549.1.9.1oderurn:oid:0.9.2342.19200300.100.1.3Vor- und Nachname (Erforderlich)
givenName(urn:oid:2.5.4.42) undsurname(urn:oid:2.5.4.4)Name (Fallback) Falls Vor- und Nachname systemseitig nicht getrennt übergeben werden können, nutze als Alternative den
displayName(urn:oid:2.16.840.1.113730.3.1.241).
Eure Nutzer:innen können sich nun über die Föderation in anny einloggen. Die freigeschalteten Attribute werden beim Login übergeben und können in anny zusätzlich für das Attribute Mapping genutzt werden, um Personen automatisch in die richtigen Buchungsbereiche (Communities) zu leiten.
Häufige Fehler (Troubleshooting)
Nutzer:innen können sich einloggen, haben aber leere Profile in anny
Das bedeutet, dass der Login funktioniert, eure Föderation aber keine Attribute an anny sendet. Prüfe in eurem Interface, ob du die Attribute (wie E-Mail oder Name) tatsächlich für die anny-Anwendung freigeschaltet hast.
Die Anfrage wird nicht gefunden
Stelle sicher, dass du im Interface nach der exakten Entity ID suchst und vergewissere dich beim anny Support, ob die Anfrage für .eu oder .co gestellt wurde.