• Youtube
  • Mail
  • Facebook
  • Deutsch Deutsch Deutsch de
  • English English Englisch en
Avendoo® Online Hilfe
Avendoo® Online Hilfe
  • Start
  • Autorenbereich
    • Dashboard
    • Lerninhalte
    • Avendoo® Move
    • Kursmanagement
    • Umfragen
    • Deeplinks
    • Veranstaltungs-management
    • Berichtswesen
    • Community
    • Konto-Verwaltung
    • Ressourcen
    • Nutzerverwaltung
    • Editor
    • Übersetzungs-management
    • Administration
    • Support
    • Schnittstellen in Avendoo® (API)
    • Migration von Altdaten
    • Juna-Wartungsfenster
  • Benutzerbereich
    • Avendoo® Progressive Web App (PWA)
    • Selbstregistrierung
    • Start
    • Lernplatz
    • Katalog-Suchleiste
    • Cockpit →
      • Mitarbeiter
      • Berichte
      • Favoriten
      • Bedarfsmeldungen
      • Reservierung
    • Referentencockpit
    • Community
    • Erfolge
    • Mein Kalender
  • FAQ
  • Changelogs
    • Aktuelle Changelogs
    • Changelog-Archiv
    • Newsletter
  • Glossar
  • Suche
  • Menü Menü
Du bist hier: Startseite1 / Autorenbereich2 / Nutzerverwaltung3 / Anmeldung per Single Sign-On (SSO)

Avendoo® Online Hilfe

Anmeldung per Single Sign-On (SSO)

Einsatzmöglichkeiten

Benutzer können Avendoo® per Single Sign-On (SSO) ohne eine zusätzliche Angabe von Benutzernamen und Passwort aufrufen. Die Authentifizierung besteht hierbei aus zwei Prüfungen: welcher Nutzer fragt an und ist dieser auf die angefragte Ressource berechtigt. Die Authentifizierung erfolgt einmalig an zentraler Stelle (z. B. durch die Anmeldung am Arbeitsplatz) und nicht nochmals zusätzlich beim Aufruf von Avendoo® über die Anmelde-Seite.
Dieses „einmalige Anmelden“ und dann anschließende Nutzen weiterer Programme (z.B. Avendoo®) wird als Single Sign-On (SSO) bezeichnet.

Für SSO ruft der Lernende dann eine URL zum Avendoo®-System auf, an die daraufhin noch Angaben für die SSO-Konfiguration angehangen werden. Als Ergebnis wird dem Lernenden dann nicht die Anmelde-Seite von Avendoo® gezeigt, sondern er/sie ist direkt auf der Startseite des Benutzerbereichs. Ein Service kann hierbei beispielsweise das Avendoo®-System sein.
„Global angemeldet“ bedeutet, dass der Benutzer in einer Umgebung authentifiziert und angemeldet ist. Beispiel für eine solche Umgebung ist die Windows-Domain. SSO ermöglicht somit den Zugriff auf einen Service, indem die Authentifizierung des zugreifenden Benutzers bei einem Identity Provider (IDP) überprüft werden kann. Beispiel für einen IDP ist Active Directory Federation Services (ADFS).

Avendoo® unterstützt folgende SSO-Technologien:

  • Security Assertion Markup Language 2.0 (SAML2),
  • SCIM 2.0 und
  • OpenID Connect.

Auf dieser Seite sind die SSO-Technologien SAML2 und OpenID Connect beschrieben. Ein Kapitel mit SCIM 2.0 folgt demnächst.

Voraussetzungen

Hinsichtlich der SSO-Konfigurationen und IDPs kann es in Avendoo® systemweit nur eine SSO-Konfiguration geben, an der verschiedene IDPs hinterlegt werden. Es ist zu empfehlen, nur ein Standard-IDP pro Mandanten festzulegen. Dafür gibt der Autor einen Wert im Eingabefeld Identity Provider Id ein, d.h. den Präfix der SSO-Konfiguration im Mandanten-Assistenten auf dem Reiter Optionen ein.

Hinweis

Beachten Sie, dass bei SAML2 der „Präfix“ derjenige Teil des Präfix (Zeichenfolge) ist, der jeweils vor dem Punkt der einzelnen Konfigurationszeilen steht.
Beispielzeile:
„adfs2.ssoDestinationRedirect=https://URLIPD.de/adfs/ls/“
Somit ist „adfs2“ der Präfix der SAML2-SSO-Konfiguration.

Inhalte

  • 1 Schnell-Überblick für SSO per SAML2
    • 1.1 SSO-Link aufrufen
    • 1.2 Zum IDP umleiten
    • 1.3 SAML-Antwort bestätigen
    • 1.4 Anmeldung ausführen
  • 2 Schnell-Überblick für SSO per OpenID Connect
    • 2.1 SSO-Link aufrufen
    • 2.2 Zum IDP umleiten
    • 2.3 IDP bestätigt globale Anmeldung und Zurückleitung zu Avendoo®
    • 2.4 Anmeldung ausführen

Schnell-Überblick für SSO per SAML2

Die Realisierung einer SSO-Schnittstelle erfolgt mit der sogenannten Security Assertion Markup Language 2.0 (SAML2). Das ist ein Protokoll für das Austauschen von Authentifizierungs- und Autorisierungsinformationen zwischen zwei abgesicherten Systemen. Das SAML-Protokoll basiert auf XML.

Hinweis

Besprechen Sie bitte den genauen Aufbau des SSO XML und die Grundlagen zur Nutzung mit dem Projektmanager.

Der Benutzer, der sich über SSO in der Lernwelt anmeldet, authentifiziert sich über ein bestimmtes Attribut aus den Nutzerdaten. Entweder er authentifiziert sich gegen das Feld „Login“ oder gegen das Feld „IDPUserID“.

Hinweis

Bitte beachten Sie hierbei das Bundlefeld, da die Kombination hier eindeutig sein muss. Idpid ist das Konfigurationspräfix des IDPs in der Systemeinstelllung „saml.configuration“.

SSO-Link aufrufen

Der SSO-Link wird vom Benutzer über den Browser aufgerufen, d.h. der Link zum Avendoo®-System plus Angabe des SSO-Parameters.

Zum IDP umleiten

Durch die Auswertung des SSO-Attributes wird der Benutzer zu seinem/ihrem IDP umgeleitet.

SAML-Antwort bestätigen

Falls dieser Nutzer Benutzer ist, bestätigt der IDP durch eine signierte SAML-Antwort (SAMLResponse), dass der Benutzer global angemeldet ist und eine Session mit dem IDP besteht.

Falls der Benutzer aktuell nicht (am IDP) angemeldet ist, können einige IDPs auch Anmeldedaten abfragen. Das kann bei einem Aufruf des Avendoo®-Systems per SSO von unterwegs oder aus dem Home-Office relevant sein.

Anmeldung ausführen

Über den Browser des Benutzers wird die SAML-Response an das Avendoo®-System weitergeleitet und ausgewertet. Für den Benutzer wird dann eine Anmeldung ausgeführt und anschließend der Benutzerbereich angezeigt.

Schnell-Überblick für SSO per OpenID Connect

Die OpenID Connect Konfiguration wird mit Hilfe der SSO- und Import-Konfiguration erstellt. Es ermöglicht z. B. einen Browser die Identität des Endbenutzers, basierend auf der von einem Autorisierungsserver (analog IDP) durchgeführten Authentifizierung, zu überprüfen (= SSO) und darüber hinaus auch grundlegende Profilinformationen über den Endbenutzer zu erhalten. Damit kann mit OpenID Connect neben dem SSO auch eine Benutzerdatensatz angelegt werden, falls beim Zugriff in Avendoo® noch kein Benutzerdatensatz existiert.

Ab Version 17.49 können Sie beim Anmelden mit OpenID Connect mehrere Benutzerdatenquellen verwenden. Sie können zwischen folgenden drei Optionen im Assistenten SSO- und Import-Konfigurationen wählen:

  • Mithilfe der Option 1 können Sie Benutzer ohne Registrierungscode aktualisieren
    Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist diese Option eingeschaltet und Sie können sie auswählen.
    Wenn neue OpenID Connect Konfigurationen zum Einsatz kommen, ist diese Option ausgeschaltet und Sie können sie nicht auswählen.
  • Mithilfe der Option 2 können Sie IDP-Provider-ID prüfen
    Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist diese Option eingeschaltet und Sie können sie nicht auswählen.
    Wenn neue OpenID Connect Konfigurationen zum Einsatz kommen, ist diese Option ausgeschaltet und Sie können sie nicht auswählen.
  • Mithilfe der Option 3 können Sie die Konfiguration auf aktiv oder inaktiv schalten
    Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist diese Option eingeschaltet und Sie können sie nicht auswählen.
    Wenn neue OpenID Connect Konfigurationen zum Einsatz kommen, ist diese Option ausgeschaltet und Sie können sie nicht auswählen.
    Sie finden Option 3 im Assistenten SSO- und Import-Konfigurationen auf dem Reiter Stammdaten. Sie können in der Übersicht der SSO- und Import-Konfigurationen nach dem Status in der Tabelle schauen, sowie nach dem Status filtern.

Allgemeine Informationen zu OpenID Connect

SSO-Link aufrufen

Der SSO-Link wird vom Benutzer über den Browser aufgerufen, d.h. der Link zum Avendoo®-System plus Angabe des SSO-Parameters.

Zum IDP umleiten

Durch die Auswertung des SSO-Attributes wird der User zu seinem/ihrem IDP umgeleitet.

Hierbei können sich durch die Option IDP Provider ID prüfen (Unterreiter Attribut-Zuordnung des Reiters Konfiguration im Assistenten SSO- und Import-Konfigurationen) nur Benutzer mit dieser Konfiguration anmelden, bei denen die Identity-Provider-ID übereinstimmt. Falls Sie diese Überprüfung nicht wünschen, deaktivieren Sie bitte das Häkchen im Assistenten SSO- und Import-Konfigurationen.

IDP bestätigt globale Anmeldung und Zurückleitung zu Avendoo®

Falls der Benutzer bereits am IDP authentifiziert ist, bestätigt der IDP, dass der Benutzer global angemeldet ist und eine Session mit dem IDP besteht.

Anschließend wird der Benutzer zu Avendoo® zurückgeleitet. Avendoo® und der IDP kommunizieren, sodass Benutzerdaten ausgetauscht und eine Avendoo®-Anmeldung durchgeführt werden kann.

Anmeldung ausführen

Falls der Benutzer aktuell nicht (am IDP) angemeldet ist, können einige IDPs auch Anmeldedaten abfragen. Das kann bei einem Aufruf des Avendoo®-Systems per SSO von unterwegs oder aus dem Home-Office relevant sein.

Avendoo® und der IDP kommunizieren, sodass Benutzerdaten ausgetauscht und eine Avendoo®-Anmeldung im Benutzerbereich durchgeführt werden kann.

Sprachen

  • Deutsch
    • English

Kopfleiste

Private Nachrichten

de15 Sprachumstellung

Einstellungen

Logout

Suche

Echtzeitsuche

Filtermöglichkeiten

Filter
Kategoriebaum

Taskleiste

Online Hilfe

Community

Dashboard

Berichte




Magh und Boppert GmbH

Datenschutz · Impressum
Hauptsitz Paderborn

Schulze-Delitzsch-Straße 8
33100 Paderborn

T +49 5251 698899-0
F +49 5251 698899-9
E vertrieb@avendoo.de

Niederlassung Hamburg

Alter Wandrahm 12
20457 Hamburg

T +49 40 30085664-0
F +49 40 30085664-9
E vertrieb@avendoo.de

Support-/ Projektteam

Montag - Freitag

8.00 - 12.00 Uhr und
13.00 - 17.00 Uhr
T +49 5251-698899 - 6
E kundenservice@avendoo.de

© Copyright 2023 - Magh und Boppert GmbH. Alle Rechte vorbehalten.
Nach oben scrollen
Cookie-Zustimmung verwalten
Diese Internetseite verwendet Cookies. Diese helfen uns, die Benutzerfreundlichkeit unserer Website zu verbessern.
Funktional Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt. Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Optionen verwalten Dienste verwalten Anbieter verwalten Lese mehr über diese Zwecke
Einstellungen
{title} {title} {title}