Skip to main content

Single Sign On (SSO)- und SAML-Integration

Im Enterprise Plan können Sie Paligo mit einem Single Sign On (SSO)-Service verbinden. Das bedeutet, dass Sie Ihren SSO-Anbieter verwenden können, um alle Benutzerkonten des Unternehmens (Erstellen, Bearbeiten und Löschen) und Berechtigungen (Zuweisen und Entfernen) an einem einzigen Ort zu verwalten und Benutzern die Anmeldung an mehreren Systemen mit einer einzigen ID zu ermöglichen.

Dies hat zahlreiche Vorteile, darunter:

  • Reduzierte Verwaltungszeit – Sie können alle Software-as-a-Service (SaaS)-Benutzerkonten über einen einzigen SSO-Service verwalten. Dies ist besonders nützlich in größeren Unternehmen, in denen sich die Mitarbeiter regelmäßig ändern, weil Mitarbeiter hinzukommen, die Abteilung wechseln, ausscheiden oder in den Ruhestand gehen.

  • Einfacherer Zugriff – Benutzer können sich an Anwendungen anmelden, ohne jedes Mal Benutzernamen und Passwort eingeben zu müssen.

  • Sicherheit – Bei zentralisierten Benutzerkonten können Sie Sicherheitsmaßnahmen auf alle Benutzer anwenden, z. B. Passwortstärke, Multi-Faktor-Authentifizierung und mehr.

Tipp

Informationen zur Einrichtung Ihres SSO-Diensts für die Verbindung mit Paligo finden Sie unter Einrichten Ihres SSO-Diensts. Dieses Topic bietet eine allgemeine Übersicht darüber, was Sie für SSO einrichten müssen. Es gibt auch detailliertere Anweisungen für Okta- und JumpCloud-Integrationen.

Um SSO mit Paligo zu verwenden, müssen Sie zunächst Ihren SSO-Dienst für die Verbindung mit Paligo einrichten. Das Wichtigste ist, dass der SSO-Dienst in der Lage sein muss, Benutzerkonto, Passwort und Benutzergruppe eines Paligo-Benutzers zu authentifizieren.

Wenn Ihr SSO-Service für die Verbindung mit Paligo eingerichtet ist, sieht der Anmeldeprozess für Benutzer wie folgt aus:

Single Sign On concept. User logs in to Paligo. Paligo contacts SSO service. SSO service approves or denies the user's sign in.
  1. Der Benutzer öffnet Paligo in einem Browser und wählt eine Anmeldeschaltfläche aus. Sie müssen keinen Benutzernamen und kein Passwort eingeben.

  2. Paligo führt eine Umleitung zum SSO-Dienst aus, um die Anmeldeinformationen des Benutzers zu erhalten.

  3. Der SSO-Dienst antwortet Paligo:

    Wenn der Benutzer bereits beim SSO-Dienst angemeldet ist, stellt der SSO-Dienst Paligo den Benutzernamen, das Passwort und die Benutzergruppe des Benutzers bereit. Der Benutzer wird automatisch bei Paligo angemeldet.

    Wenn der Benutzer nicht beim SSO-Dienst angemeldet ist, leitet Paligo ihn zum Anmeldefenster des SSO-Diensts weiter. Wenn sie sich dort anmelden, kann Paligo sie automatisch anmelden.

Sie können außerdem Ihre Benutzerkonten im SSO-Dienst verwalten. Wenn Sie neue Benutzer zu einer Paligo-Benutzergruppe im SSO-Dienst hinzufügen, erstellt Paligo diese neuen Benutzer automatisch (wenn diese neuen Benutzer versuchen, sich bei Paligo anzumelden).

Anmerkung

Um einen Paligo-Benutzer zu löschen, melden Sie sich bei Paligo als Administratorbenutzer an und löschen das Benutzerkonto manuell. SSO-Dienste sind nicht auf das Löschen von Benutzerkonten ausgelegt.

Bevor Sie Paligo mit Ihrem SSO-Dienst verbinden, sollten Sie Einrichten Ihres SSO-Diensts, damit Benutzerauthentifizierungsdaten für Paligo bereitgestellt werden können. Im Rahmen der Einrichtung exportieren Sie eine Metadaten-Datei, die Sie in Paligo importieren können.

Wenn der SSO-Dienst eingerichtet ist, können Sie Paligo mit diesem verbinden:

  1. Melden Sie sich bei Paligo über ein Benutzerkonto mit Administratorberechtigungen an.

  2. Melden Sie sich bei Paligo über ein Benutzerkonto mit Administratorberechtigungen an.

  3. Wählen Sie den Avatar in der oberen rechten Ecke aus. User avatar. It shows the user's image and their name. Next to the name is a downward pointing arrow, which when selected, reveals a menu.

  4. Wählen Sie im Menü Einstellungen aus. Cog icon.

  5. Wählen Sie die Registerkarte Integrationen. Jigsaw piece icon.

    Paligo settings. The Integrations tab is highlighted.
  6. Wählen Sie im Bereich für SAML 2.0 Hinzufügen aus, um die Verbindungseinstellungen zu erweitern.

    SAML-section.jpg
  7. Geben Sie den Anbieternamen ein. Dies ist der Anzeigename für den SSO-Dienst, z. B. Okta oder JumpCloud.

    Connect_To_SSO_small.jpg
  8. Wählen Sie Metadaten-Datei hochladen und dann die Metadaten-Datei aus, die Sie während der Einrichtung aus dem SSO-Dienst exportiert haben.

  9. In den meisten Fällen sollten Sie den Abschnitt Erweiterte Einstellungen ignorieren können. Diese Einstellungen werden automatisch ausgefüllt, da die Werte aus der SAML-XML-Datei stammen, die Sie im vorherigen Schritt hochgeladen haben. Wenn die Einstellungen hinzugefügt oder geändert werden müssen, können Sie die Änderungen manuell ausführen.

    Advanced settings for single sign on include entity id, ssl certificate, single sign on service url and single sign out service url.
    • Entitäts-ID – Die ID für Ihren SAML-Endpunkt. Dies wird manchmal als ID-Anbieter-Ausgeber bezeichnet.

    • SSL-Zertifikat – Das Secure Socket Layer (SSL)-Zertifikat für den SSO-Dienst.

    • Single-Sign-On-Dienst-URL – Die Adresse des Single Sign-On-Diensts.

    • Single-Sign-Out-Dienst-URL – Die Adresse des Single-Sign-Out-Diensts, wenn verwendet. Wenn sie verwendet wird, wird der Benutzer durch das Abmelden von Paligo auch vom SSO-Dienst abgemeldet, nicht nur von Paligo. Dies ist leer, wenn die Funktion nicht verwendet wird.

  10. Aktivieren Sie das Kontrollkästchen Anmeldungsalternative aktivieren, damit sich Benutzer bei Paligo auch manuell über SSO anmelden können. Dies ist wichtig, wenn Sie SSO zum ersten Mal einrichten, da Sie bei einem Fehler in der Lage sein müssen, sich ohne SSO bei Paligo anzumelden, um ihn zu beheben.

    Enable sign-in alternative checkbox is selected. This means users can still log in without SSO if needed.
  11. Aktivieren Sie das Kontrollkästchen Authentifizierung erzwingen, um den Parameter forceAuthn in der Anfrage an den Identitätsanbieter auf „wahr“ festzulegen. Dies erfordert, dass sich Benutzer selbst authentifizieren, auch wenn eine IdP-Sitzung aktiv ist.

    Force_Authentication_SSO_small.jpg
  12. Aktivieren Sie das Kontrollkästchen SSO aktivieren, um die Single-Sign-On-Funktion zu aktivieren.

    SAML 2.0 integration settings, Enable SSO checkbox is checked.

    Anmerkung

    Wenn Sie die Einstellungen speichern möchten, ohne SSO zu aktivieren, deaktivieren Sie dieses Kontrollkästchen. Sie können zu dieser Seite zurückkehren und SSO später aktivieren, wenn notwendig.

  13. Drücken Sie Speichern.

  14. Melden Sie sich von Paligo ab.

    Achtung

    Melden Sie sich nicht von Paligo ab, wenn die Einstellung Anmeldungsalternative aktivieren nicht aktiviert ist und Sie SSO noch nicht getestet haben. Die Abmeldung kann dazu führen, dass Sie sich nicht mehr bei Paligo anmelden können.

  15. Melden Sie sich erneut an. Sie sollten nun die Option SSO-Anmeldung sehen, die Sie bei Paligo anmeldet, wenn sie ausgewählt ist.

    Anmerkung

    Wenn Sie die Option SSO-Anmeldung nicht sehen oder der SSO-Anmeldeversuch nicht erfolgreich ist, melden Sie sich mit Ihrem Benutzernamen und Passwort an und überprüfen, ob Sie die Schritte in diesem Topic korrekt ausgeführt haben.

    In der Regel sind fehlgeschlagene SSO-Anmeldungen auf eine falsche Konfiguration im SSO-Dienst zurückzuführen. Bitte stellen Sie sicher, dass Sie die korrekten URLs eingegeben haben und die korrekten Attribute für Vorname, Nachname und E-Mail-Adresse festgelegt haben.

    Der häufigste Fehler ist eine falsche Einrichtung der Benutzergruppe im SSO-Dienst. Der SSO-Dienst muss in der Lage sein, Paligo Benutzernamen, E-Mail-Adresse und Metadaten der Benutzergruppe bereitzustellen. Weitere Informationen zu den Einstellungen für den SSO-Dienst finden Sie unter Einrichten Ihres SSO-Diensts.

  16. Wenn SSO wie erwartet funktioniert, geben Sie die SAML 2.0-Einstellungen ein.

  17. Deaktivieren Sie das Kontrollkästchen Anmeldungsalternative aktivieren.

    Wenn diese Option deaktiviert ist, können sich die Benutzer nicht mehr mit Benutzername und Passwort anmelden. Sie müssen sich über SSO anmelden.

  18. Drücken Sie Speichern.

Um einen SSO-Dienst mit Paligo verwenden zu können, muss der SSO-Dienst für die Kommunikation mit Paligo über SAML konfiguriert sein. In der Regel werden diese Konfigurationsarbeiten von IT-Spezialisten durchgeführt, die über ein tiefgreifendes Wissen über den SSO-Dienst verfügen.

Es sind viele verschiedene SSO-Dienste verfügbar. Die verwendeten Begriffe und Einstellungen können von Anbieter zu Anbieter unterschiedlich sein. Das bedeutet, dass wir keine detaillierten allgemeinen Anweisungen bereitstellen können, die für alle SSO-Dienste funktionieren. Die wesentlichen Grundsätze sind jedoch dieselben und die meisten SSO-Dienste erfordern ähnliche Arten von Informationen (siehe unten).

Anmerkung

Wir stellen jedoch detailliertere Anweisungen für Okta und JumpCloud bereit.

Dies sind allgemeine Anweisungen für die Verbindung eines SSO-Diensts mit Paligo.

Für Ihren SSO-Anbieter:

  1. Erstellen Sie für jedes Paligo Benutzerkonto ein einzelnes Benutzerkonto.

  2. Erstellen Sie eine benutzerdefinierte SAML 2.0-Anwendung.

  3. Konfigurieren Sie die SAML 2.0-Anwendung. Die für die Einstellungen verwendete Terminologie kann unterschiedlich sein. Sie müssen jedoch folgende Aktionen ausführen:

    1. Legen Sie die Assertion Consumer Service (ACS)-URL für Paligo fest. Dies ist der Endpunkt, über den der SSO-Dienstanbieter eine Verbindung zu Paligo herstellt.

      Verwenden Sie die folgende URL: https://your.paligoapp.com/saml/acs. Ersetzen Sie your durch den Domänennamen Ihrer Paligo-Instanz, z. B.: https://acme.paligoapp.com/saml/acs

    2. Legen Sie die Dienstanbieter-URL für Paligo fest.

      Verwenden Sie die folgende URL: https://your.paligoapp.com/saml/metadata. Ersetzen Sie your.paligoapp.com durch den Domänennamen Ihrer Paligo-Instanz.

    3. Legen Sie den Benutzernamen oder die ID der Anwendung wie folgt fest: email.

    4. Erstellen Sie die Attribut-Mapping für Paligo-Anmeldeinformationen:

      • user.firstname

      • user.lastname

      • user.email

      Anmerkung

      Abhängig vom SSO-Dienst können zusätzliche Einstellungen erforderlich sein.

    5. Ordnen Sie diese den entsprechenden Attributen im SSO-Dienst zu. Informationen hierzu finden Sie in der Dokumentation für Ihren SSO-Dienst.

  4. Erstellen Sie ein Gruppenattribut für Paligo. Abhängig vom verwendeten SSO-Dienst sollte dieses den Namen / Wert paligo.usergroup oder paligo_usergroup haben.

  5. Exportieren Sie die Metadaten-Datei des SSO-Diensts, damit Sie diese in Paligo importieren können.

  6. Erstellen Sie für jede Paligo-Benutzergruppe eine Benutzergruppe . Dieser Schritt ist für einige SSO-Dienste erforderlich, während Sie bei anderen SSO-Diensten den Namen der Benutzergruppe zu den Benutzereinstellungen hinzufügen können.

    In Paligo gehört jedes Benutzerkonto zu einer Benutzergruppe, z. B. Administratoren, Autoren, Mitwirkende, Prüfer, Herausgeber, IT-Administratoren oder Übersetzungsmanager. Wenn sich Benutzer über SSO bei Paligo anmelden, muss der SSO-Dienst die Benutzergruppeninformationen (sowie Vorname, Nachname und E-Mail-Adresse) bereitstellen. Benutzergruppen sind nicht in den Standard-Metadaten enthalten. Daher müssen Sie diese im SSO-Dienst hinzufügen.

  7. Ordnen Sie jedes Benutzerkonto der entsprechenden Benutzergruppe zu.

  8. Ordnen Sie jede Benutzergruppe der SAML 2.0-Anwendung zu, die Sie erstellt haben, um Paligo zu repräsentieren.

  9. Verwenden Sie in Paligo die SSO-Integrationseinstellungen für Verbinden von Paligo mit Ihrem SSO-Dienst.

Sie können Paligo mit Okta verbinden, um Single Sign On (SSO) zu nutzen. Dies ist nur im Enterprise Plan verfügbar.

Um Okta mit Paligo zu verwenden, müssen Sie Okta für die Bereitstellung von Metadaten für Paligo einrichten. Die Metadaten enthalten den Namen, die E-Mail-Adresse und die Benutzergruppe des Benutzers.

Anmerkung

Die Metadaten zur Beschreibung der Benutzergruppe sind nicht Teil der Standard-Metadaten. Sie müssen diese Metadaten zur SAML-Antwort hinzufügen.

Um Verbinden von Paligo mit Ihrem SSO-Dienst, müssen Sie Okta für die Integration mit Paligo einrichten.

Anmerkung

Dieser Abschnitt geht davon aus, dass Sie Ihre Benutzerkonten in Okta breits erstellt haben.

Der erste Schritt bei der Einrichtung von Okta für die Kommunikation mit Paligo besteht in der Erstellung eines neuen Anwendungs-Konnektors.

In Okta:

  1. Suchen Sie Ihre Anwendungen. Wählen Sie Anwendung hinzufügen und dann Neue Anwendung erstellen aus.

  2. Wenden Sie die folgenden Einstellungen auf Ihre neue Anwendung an:

    • Plattform – auf Web festlegen

    • Anmeldemethode – auf SAML 2.0 festlegen

    Okta create a new application integration screen. Select Web and SAML 2.0
  3. Wählen Sie Erstellen aus.

  4. Geben Sie in Allgemeine Einstellungen Paligo als App-Name ein und wählen Sie dann Weiter aus.

  5. Definieren Sie die SAML-Einstellungen.

    Geben Sie im Abschnitt Allgemein Folgendes ein (ersetzen Sie my.paligoapp.com durch den Namen Ihrer Paligo-Instanz, z. B. acme.paligoapp.com).

    Einstellung

    Wert

    Single-Sign-On-URL

    https://my.paligoapp.com/saml/acs

    Zielgruppen-URL

    https://my.paligoapp.com/saml/metadata

    Standard RelayState

    https://my.paligoapp.com

    Anwendung username

    Wählen Sie email aus.

  6. Fügen Sie im Abschnitt Attributaussagen die folgenden Attribute hinzu:

    Name

    Namensformat

    Wert

    user.firstname

    Basis

    user.firstName

    user.lastname

    Basis

    user.lastName

    user.email

    Basis

    user.email

    paligo.usergroup

    Basis

    appuser.paligo_usergroup

    Ihre Einstellungen sollten wie folgt aussehen:

    SAML Settings in Okta. The settings show the values that are needed for connecting to Paligo.
  7. Überprüfen Sie, ob Ihre Attributaussagen den Beschreibungen im vorherigen Schritt exakt entsprechen. Achten Sie auf Tippfehler, da Fehler die Funktionsfähigkeit des Konnektors beeinträchtigen können.

  8. Wählen Sie Weiter aus.

Der nächste Schritt in Okta besteht im Hinzufügen der Benutzergruppe zur Okta-SAML-Antwort.

Wenn sich Benutzer über Okta bei Paligo anmelden, sendet Okta Metadaten an Paligo. Die Metadaten enthalten den Vornamen, den Nachnamen, die E-Mail-Adresse des Benutzers sowie Informationen zu dessen Benutzergruppe.

Die Benutzergruppen-Metadaten sind kein Standardbestandteil der Okta-Standard-Metadaten. Sie müssen daher die Benutzergruppe zur Metadaten-SAML-Assertion hinzufügen:

  1. Wählen Sie Verzeichnis > Profil-Editor aus.

  2. Wählen Sie die Schaltfläche Profil für die Paligo-App aus.

  3. Wählen Sie Attribut hinzufügen aus und geben Sie die Details für die Paligo-Benutzergruppe ein.

    Okta Add attribute interface showing the settings for the paligo user group

    Einstellung

    Wert

    Anzeigename

    Paligo-Benutzergruppe

    Variablenname

    paligo_usergroup

    Beschreibung

    Optional. Sie können dieses Feld leer lassen oder eine Beschreibung hinzufügen, um den Zweck des Benutzergruppenattributs zu erklären.

    Datentyp

    string

    Attributlänge

    Zwischen. Sie müssen keinen Mindest- und Maximalwert definieren. Lassen Sie diese Felder daher leer.

    Attribut erforderlich

    Wählen Sie Ja aus.

    Umfang

    Aktivieren Sie das Kontrollkästchen Benutzer persönlich, wenn Sie das Benutzergruppenattribut (für Paligo) einzeln zu Benutzerkonten zuweisen möchten.

    Wenn Sie das Kontrollkästchen Benutzer persönlich deaktivieren, wird das Benutzergruppenattribut (für Paligo) auf alle Benutzerkonten in der Okta-Benutzergruppe angewendet. Weitere Informationen finden Sie in der Okta-Dokumentation.

  4. Überprüfen Sie, ob Sie korrekte Daten für die Paligo-Benutzergruppe eingegeben haben. Achten Sie auf Tippfehler, da die Anmeldung bei Tippfehlern möglicherweise nicht wie erwartet funktioniert.

  5. Speichern Sie das Attribut.

Als Nächstes: Zuweisen von Benutzern zu Paligo und einer Paligo-Benutzergruppe .

Jeder Benutzer, der Okta für den Zugriff auf Paligo verwenden wird, muss der Paligo-Anwendung und einer Paligo-Benutzergruppe zugewiesen werden.

In Okta:

  1. Wählen Sie Verzeichnis > Mitarbeiter und dann ein Benutzerkonto aus.

  2. Wählen Sie auf der Registerkarte Anwendungen die Option Anwendungen zuweisen aus.

  3. Wählen Sie Zuweisen für die Paligo-Anwendung aus.

  4. Geben Sie im Feld Paligo-Benutzergruppe die Syntax für die Rolle des Benutzers in Paligo ein. Die folgende Tabelle zeigt die möglichen Werte, die Sie verwenden können:

  5. Speichern Sie den Benutzer.

  6. Wiederholen Sie diesen Vorgang für jedes Benutzerkonto, das über Okta auf Paligo zugreifen soll.

  7. Überprüfen Sie Ihre Benutzer, um sicherzustellen, dass Sie die korrekte Syntax eingegeben haben. Achten Sie auf Tippfehler, da Fehler verhindern könnten, dass die Anmeldungen funktionieren.

Anmerkung

Als Nächstes: Abruf der Metadaten aus Okta.

Die letzten Schritte in Okta bestehen im Abruf der für die Verbindung benötigten Metadaten-Datei.

In Okta:

  1. Wählen Sie Anwendungen > Anwendungen aus.

  2. Wählen Sie Anmelden aus.

  3. Klicken Sie mit der rechten Maustaste auf den Link Identitätsanbieter-Metadaten und speichern Sie den Link als Datei. Geben Sie der Datei einen Namen und eine .xml-Erweiterung, z. B. metadata.xml. Sie benötigen diese XML-Datei für die Einrichtung der Paligo-Integration.

Sie haben nun die erforderliche Konfiguration in Okta abgeschlossen. Der nächste Schritt besteht darin, Verbinden von Paligo mit Ihrem SSO-Dienst.

Sie können Paligo mit JumpCloud verbinden (https://www.jumpcloud.com), um Single-Sign-On (SSO) zu nutzen. Dies ist nur im Enterprise Plan verfügbar.

Um JumpCloud mit Paligo zu verwenden, müssen Sie JumpCloud für die Bereitstellung von Metadaten für Paligo einrichten. Die Metadaten enthalten den Namen, die E-Mail-Adresse und die Benutzergruppe des Benutzers. Die Metadaten zur Beschreibung der Benutzergruppe sind nicht Teil der Standard-Metadaten. Sie müssen diese Metadaten zur SAML-Antwort hinzufügen.

Anmerkung

Dieser Abschnitt geht davon aus, dass Sie Ihre Benutzerkonten in JumpCloud breits erstellt haben.

Um Verbinden von Paligo mit Ihrem SSO-Dienst, müssen Sie JumpCloud für die Integration mit Paligo einrichten.

Der erste Schritt bei der Einrichtung von JumpCloud für die Kommunikation mit Paligo besteht in der Erstellung eines neuen Anwendungs-Konnektors.

In JumpCloud:

  1. Wechseln Sie zur JumpCloud-Konsole, wählen Sie SSO aus und fügen Sie dann eine Anwendung hinzu.

  2. Wählen Sie Benutzerdefinierte SAML-App aus.

  3. Übernehmen Sie im Bereich Einstellungen diese Werte. (Ersetzen Sie „your“ in your.paligoapp.com durch die Adresse Ihrer Paligo-Instanz, z. B. acme.paligoapp.com).

    Name

    Wert

    Anzeigebezeichnung

    Paligo (Beispiel)

    IDP-Entitäts-ID

    paligo/jumpcloud/sso

    SP-Entitäts-ID

    https://your.paligoapp.com/saml/metadata

    ACS-URL

    https://your.paligoapp.com/saml/acs

    Samlsubject NameID

    email

    Samlsubject NameID Format

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    Signaturalgorithmus

    RSA-SHA256

    Attribute

    Erstellen Sie Attribute für:

    user.firstname

    firstname

    user.lastname

    lastname

    user.email

    email

    Gruppenattribute

    Gruppenattribut einschließen

    Aktiviert. Diese Option muss aktiviert sein.

    Gruppenattributname

    paligo.usergroup

  4. Drücken Sie Speichern.

Als Nächstes müssen Sie Erstellen von Benutzergruppen in JumpCloud.

Sie sollten für jede Paligo-Benutzergruppe (Administratoren, Autoren, Mitwirkende, Prüfer, Herausgeber, IT-Administratoren oder Übersetzungsmanager) eine Benutzergruppe in JumpCloud erstellen.

  1. Wählen Sie Gruppen aus.

  2. Erstellen Sie für jede Paligo-Benutzergruppe eine Benutzergruppe .

  3. Wählen Sie die Registerkarte Anwendungen aus.

  4. Wählen Sie Paligo aus, um die Paligo-Anwendung mit der Benutzergruppe zu verknüpfen.

  5. Wählen Sie Gruppe speichern aus.

  6. Wiederholen Sie diesen Vorgang für alle Paligo-Benutzergruppen.

Sie müssen in JumpCloud die Benutzerkonten mit den Benutzergruppen verknüpfen, die Sie für Paligo eingerichtet haben.

  1. Wählen Sie Benutzer aus.

  2. Wählen Sie den Benutzer aus, den Sie zu einer Paligo-Benutzergruppe hinzufügen möchten.

  3. Wählen Sie die Registerkarte Benutzergruppen aus.

  4. Aktivieren Sie das Kontrollkästchen für die Paligo-Benutzergruppe, zu der der Benutzer gehören soll.

  5. Wählen Sie Benutzer speichern aus.

  6. Wiederholen Sie diesen Vorgang für jedes Benutzerkonto, das Zugriff auf Paligo benötigt.

Sie können jetzt Verbinden von Paligo mit Ihrem SSO-Dienst.

Bevor Paligo und Azure verbunden werden können, müssen Sie eine Enterprise-App-Registrierung für Paligo erstellen, siehe Schnellstart: Hinzufügen einer Enterprise-Anwendung – Microsoft-Eintrag.

Nach der Registrierung der App und der Identifizierung der SSO-Einstellungen in Enterprise-Anwendungen:

  1. Wählen Sie die von Ihnen registrierte App aus → Single Sign-on. Es gibt einige Antragseinstellungen. Einige werden in Einrichten Ihres SSO-Diensts beschrieben.

    Working_SSO_Settings_Example_small.png

    Beispiel für eine Einrichtung in der Praxis

  2. In den Antragseinstellungen sollte paligo.usergroup den Wert user.assignedroles haben und als regulärer Antrag (kein Sammelantrag) hinzugefügt werden. Sie können die folgenden Einstellungen spiegeln:

    AdditionalClaims_PaligoUserGroup_UserAssignedRoles_small.png
  3. Sie müssen außerdem in der Paligo-App-Registrierung App-Rollen erstellen. Sie finden diese unter Azure Active Directory → App-Registrierungen → Paligo (oder der Name, den Sie der App bei der Registrierung gegeben haben) → App-Rollen.

    Wichtig

    Stellen Sie sicher, dass es für jede Paligo-Benutzergruppe App-Rollen gibt. Unten sehen Sie die korrekte Konfiguration am Beispiel der Rolle paligo.admin. Stellen Sie sicher, dass Sie auch das Kontrollkästchen „Diese App-Rolle aktivieren“ unten im Fenster App-Rolle bearbeiten aktivieren.

    Edit_App_Role_PaligoAdmin_small.png
  4. Kehren Sie zu Paligo Enterprise-Anwendung zurück und wählen Sie Benutzer und Gruppen aus, um die von Ihnen erstellten Azure-Benutzer zum hauptsächlichen Azure Active Directory hinzuzufügen.

  5. Wählen Sie ✚ Benutzer/Gruppe hinzufügen und den Benutzer aus.

  6. Weisen Sie dem Benutzer eine der Rollen zu (die Sie oben unter „App-Rollen“ erstellt haben).

  7. Kehren Sie zu den Single-Sign-On-Einstellungen in der Enterprise-App zurück, um ein Zertifikat zu erstellen.

  8. Laden Sie die Verbund-Metadaten-XML-Datei herunter.

  9. Wenn Sie diese Datei zu Ihrer Paligo-SSO-Integration hochladen, müssen Sie die Validierung überspringen, wenn sie fehlschlägt.

  10. Erweitern Sie nach dem Hochladen der Metadaten Erweiterte Einstellungen in der Paligo-SSO-Integration und löschen Sie die Single-Sign-Out-Dienst-URL.

    AdvancedSettings_PaligoSSO_small.png