Unter SSO- und Import-Konfigurationen können Sie
- Single-Sign-On-Konfigurationen für SSO per SCIM 2.0 oder OpenID-Connect erstellen. Der Assistent SSO- und Import-Konfiguration unterstützt das Erstellen und auch spätere Anpassen der Konfiguration für SSO.
- mit Hilfe von SCIM 2.0 neben SSO auch Benutzer-Accounts erstellen, updaten und sperren oder/und löschen. Die dafür notwendigen Konfigurationseinstellungen nehmen Sie ebenfalls im Assistenten SSO- und Import-Konfiguration vor.
- zudem bei Verwendung von OpenID-Connect in Verbindung mit Avendoo®-Registrierungscodes Benutzer-Accounts erstellen, updaten und sperren.
Informationen zur Anmeldung per Single Sign-On (SSO) finden Sie auf der Seite „Anmeldung per Single Sign-On„.
Sie können nach folgenden Kriterien filtern: Titel, Präfix und Status (Alle, Aktiv oder Inaktiv).
Innerhalb der Massenbearbeitungsfunktionen steht Ihnen die Funktion Kopieren und Löschen zur Verfügung. Mehr Informationen zu der Massenbearbeitungsfunktion in den SSO- und Import-Konfigurationen finden Sie unter SSO- und Import-Konfigurationen: Massenbearbeitungsfunktionen.
Über das Kontextmenü des jeweiligen Titels der SSO- und Import-Konfiguration stehen Ihnen folgende Funktionen zur Verfügung.
Stammdaten
Titel
Geben Sie hier einen Titel für diese Konfiguration ein. Diese Eingabe ist Pflicht.
Präfix
Geben Sie hier das Präfix an, das diese Konfiguration eindeutig identifiziert. Wie in der Systemeinstellung auch, wird dieses genutzt, um mehrere Konfigurationen vom selben Typen zu ermöglichen. Es muss alphanumerisch, maximal 64 Zeichen lang und ohne Leerzeichen sein.
Diese Eingabe ist Pflicht.
Die Angabe des Präfix wird auch genutzt, um die SSO-Konfiguration beispielsweise im Mandanten-Assistenten eindeutig anzugeben. Dafür geben Sie im Mandanten-Assistenten auf dem Reiter Optionen den Wert für den Präfix einer SSO-Konfiguration im Eingabefeld Identity Provider Id ein.
Das Präfix können Sie auch nutzen, um einen SSO-Link in das Avendoo®-System anzugeben, beispielsweise im Sharepoint oder auf einer Intranetseite hinterlegen.
Beispiel für einen SSO-Link per OpenID-Connect mit dem Präfix „OpenID1Praefix“:
„https://URLAvendooKundensystem.de/l/openid/oidc?sso=OpenID1Praefix“
Konfigurationstyp
Wählen Sie hier aus, was für einen Konfigurationstyp Sie bearbeiten wollen. Zur Zeit können Sie „SCIM 2.0“ oder „OpenID Connect“ auswählen.
Aktiv
Hier legen Sie über das Häkchen fest, ob die Konfiguration aktiv oder inaktiv ist. Wenn sie nicht aktiv ist, kann sie nicht verwendet werden.
Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist dieses Häkchen gesetzt und Sie können es deaktivieren.
Metadaten
Gültig ab
Geben Sie ein, ab wann das Objekt gültig sein soll.
Gültig bis
Geben Sie ein, bis wann das Objekt gültig sein soll.
Version
Geben Sie ein, welche Version das Objekt hat.
Anmerkung
Hier können Sie Notizen für das Objekt eingeben.
Konfiguration für SCIM 2.0
Authentifizierung
Hier können Sie das Bearer-Token zur Authentifizierung abrufen. Um den Token zu erstellen, klicken Sie auf den Button Token generieren. Das erstellte Token ist nur beim Abrufen sichtbar und auch nur dann kopierbar. Ebenfalls ist es mit dem aktuellen Benutzer verbunden.
Das Token kann nur abgerufen werden, wenn der aktuelle Benutzer die folgenden Rechte besitzt: Benutzer endgültig löschen, Benutzer importieren und Benutzer erstellen und bearbeiten.
Die Generierung eines Token ist eine Pflichteingabe.
Mandant
Wählen Sie hier den Mandanten aus, auf dem die Benutzer angelegt werden sollen.
Löschoption
Wählen Sie hier aus, was mit einem Benutzer geschehen soll, der per SCIM 2.0 gelöscht wird. Standardmäßig ist ausgewählt, dass der Benutzer als gelöscht markiert werden soll. Es ist aber auch möglich, dass er endgültig gelöscht oder anonymisiert wird. Wählen Sie zwischen folgenden Optionen:
- Als gelöscht markieren,
- Endgültig löschen oder
- Anonymisieren.
Bei den unteren Auswahl- und Eingabemöglichkeiten können Sie festlegen, was mit dem Benutzer x Tage, nach dem als gelöscht markieren geschehen soll. Wählen Sie zwischen folgenden Optionen:
- Endgültig löschen und wie viele Tage nach dem Löschen,
- Anonymsieren und wie viele Tage nach dem Löschen oder
- Nichts tun.
Identity Provider ID
Hier definieren Sie den Namen des Identity Providers, zu dem die erstellten Benutzer gehören sollen. Diese Eingabe ist Pflicht.
Attribut-Zuordnung
Legen Sie hier fest, welche Felder des externen Systems auf welche Felder von Avendoo gemappt werden sollen.
Die folgenden Avendoo-Felder müssen mindestens befüllt werden: Login, E-Mail, Identity Provider Id und Identity Provider User ID.
Das SCIM-Feld idpName muss mindestens genutzt werden.
Sollten Sie Fragen zur Konfiguration haben, wenden Sie sich bitte an unser Support Team.
Konfiguration für OpenID Connect
Allgemeine Einstellungen
Client-Einstellungen
Hier legen Sie die Einstellungen fest, die mit dem Client und dessen Verbindung zum Authentifizierungs-System zu tun haben. Die Client-ID ist die ID des Clients im Authentifizierungs-System und das Client-Secret das Secret des Clients im Authentifizierungs-System.
Die Client-ID ist eine Pflichteingabe.
Konfiguration laden
Hier können Sie die Konfiguration von einer Well-Known-URL laden. Dazu geben Sie die gewünschte URL an und klicken auf den Button Konfiguration laden.
Nach dem Laden der Konfiguration müssen Sie prüfen, ob in den Feldern für die Autorisierung des Token-Endpunkts und des Verschlüsselungsalgorithmus des ID-Tokens nicht mehrere Werte stehen. Es stehen eventuell mehrere Werte dort, da der Anbieter verschiedene Methoden zulässt, von denen Sie sich für eine Methode entscheiden müssen.
Issuer
Der Issuer ist der Bezeichner für den Server, an den der Client Autorisierungs-Anfragen sendet.
Der Issuer ist eine Pflichteingabe.
Sollten Sie Fragen zur Konfiguration haben, wenden Sie sich bitte an unser Support Team.
Endpunkte
Autorisierung
Geben Sie die URL des Autorisierungs-Endpunktes ein. Dies ist eine Pflichteingabe.
User-Information
Geben Sie die URL des Userinfo-Endpunktes ein. Wenn hier nichts definiert ist, wird die Userinfo aus dem ID-Token bezogen.
Token
Hier legen Sie die URL und die Authentifizierung für den Token-Endpunkt fest. Die Authentifizierungsmethode ist nur erforderlich, wenn der Code-Flow genutzt wird.
Der Token-Endpunkt ist eine Pflichteingabe.
Logout-Redirect
Hier legen Sie die URL fest, zu welcher der Benutzer beim Abmelden weitergeleitet wird.
Error-Redirect
Hier legen Sie die URL fest, zu der der Nutzer weitergeleitet wird, wenn die Registrierung fehlschlägt. Ist keine URL definiert, wird die Fehlerseite angezeigt.
Sollten Sie Fragen zur Konfiguration haben, wenden Sie sich bitte an unser Support Team.
JSON Web Key (JWK)
JWK-Set-URI
Geben Sie in dieses Feld die URI des JWK-Sets ein. Sie wird zur Validierung des ID-Tokens verwendet.
Dieses Feld ist eine Pflichteingabe.
Key-ID
Geben Sie die Key-ID der JWK-Keys ein. Sie wird genutzt, um bei der ID-Token-Validierung eine Alternative zur Client-ID zu haben, falls erforderlich.
Verschlüsselung
Geben Sie hier den Verschlüsselungs-Algorithmus ein, der verwendet werden soll, um das ID-Token zu entschlüsseln (z.B. „RS256“). Dies ist eine Pflichteingabe.
Sollten Sie Fragen zur Konfiguration haben, wenden Sie sich bitte an unser Support Team.
Registrierungscode
Erlaubte Registrierungscodes
Wählen Sie hier über den Button Hinzufügen aus, mit welchen Registrierungscodes Benutzer sich registrieren dürfen.
Standard-Registrierungscode
Hier wählen Sie über den Button Auswählen einen Registrierungscode aus, der genutzt wird, wenn kein Registrierungscode mitgegeben wird.
Benutzer aktualisieren
Hier legen Sie fest, ob Benutzer ohne hinterlegten Registrierungscode beim Einloggen aktualisiert werden sollen oder nicht.
Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist dieses Häkchen gesetzt und Sie können es deaktivieren.
Sollten Sie Fragen zur Konfiguration haben, wenden Sie sich bitte an unser Support Team.
Whitelist
Whitelist aktiv
Hier legen Sie durch Setzen des Häkchens fest, ob die Whitelist mit Berechtigungsgruppen aktiv ist oder nicht. Wenn sie aktiv ist und keine Gruppen definiert sind, können keine Benutzer angelegt werden.
Berechtigungsgruppen
Hier wählen Sie über den Button Hinzufügen die Berechtigungsgruppen, die auf der Whitelist stehen sollen. Wenn keine Berechtigungsgruppen gewählt sind und die Whitelist aktiv ist, können keine Benutzer angelegt werden.
Sollten Sie Fragen zur Konfiguration haben, wenden Sie sich bitte an unser Support Team.
Mehr Einstellungen
Subject Identifier
Hier wählen Sie, wie sich der Subject Identifier verhält. Wählen Sie zwischen folgenden Werten:
- public oder
- pairwise.
Flow
Hier wählen Sie den zu verwendenden Flow. Wählen Sie zwischen folgenden Werten:
- id_token
- id_token token
- code.
Scope
Hier wählen Sie den zu verwendenden Scope. Soll mehr als „openid“ genutzt werden, können Sie Custom wählen und im Textfeld den gewünschten Wert eintragen.
Access-Token
Hier können Sie durch Setzen eines Häkchens aktivieren, dass das Access-Token nicht validiert werden soll. Dies kann bei SAP-OpenID notwendig sein, sollte aber im Allgemeinen nicht aktiviert werden.
Fehlerseite
Hier wählen Sie über den Button Auswählen eine Fehlerseite aus, die angezeigt werden soll, wenn z.B. der Registrierungscode erschöpft ist oder ähnliches. Wenn Registrierungsfehler passieren, wird bei hinterlegter Fehler-Content-Seite diese angezeigt. Ansonsten wird eine Fehlermeldung auf der Anmeldeseite eingeblendet.
Sollten Sie Fragen zur Konfiguration haben, wenden Sie sich bitte an unser Support Team.
Attribut-Zuordnung
User-Identifier
Hier bestimmen Sie, wie der Benutzer im System gefunden werden soll. Er kann anhand des Logins oder der Identity Provider User ID gefunden werden. Wählen Sie also zwischen folgenden Optionen:
- Benutzername oder
- Identity Provider User ID.
IDP-Provider-ID prüfen
Hier legen Sie fest, ob beim Anmelden die Identity-Provider-ID immer geprüft werden soll. Wenn das Häkchen gesetzt ist, können sich nur Benutzer mit dieser Konfiguration anmelden, bei denen die Identity-Provider-ID übereinstimmt.
Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist dieses Häkchen gesetzt und Sie können es deaktivieren.
Trennzeichen
Hier legen Sie die Trennzeichen fest, mit denen die eingegebenen Pfade ausgewertet werden sollen. Es gibt ein Zeichen, welches die einzelnen Elemente eines Pfads trennt (Pfad-Trennzeichen) und ein Zeichen, welches die verschiedenen Pfade voneinander trennt, sollten Fallback-Pfade genutzt werden (Fallback-Trennzeichen).
Attribut-Zuordnung
Legen Sie hier fest, welche Felder des externen Systems auf welche Felder von Avendoo gemappt werden sollen.
Die folgenden Avendoo-Felder müssen mindestens befüllt werden: Login, E-Mail, Vorname und Nachname.
Der Pfad im externen Feld muss nach dem Schema von JSONPath gebaut werden. Informationen zu diesem Schema finden Sie auf dieser Seite.
Sollten Sie Fragen zur Konfiguration haben, wenden Sie sich bitte an unser Support Team.