Bitte überprüfe auf unserer Firmen-Website, ob diese Funktionalität in Deinem Preispaket verfügbar ist.
Beekeeper bietet ein SAML-basiertes Single Sign-on (SSO), das es den Nutzern ermöglicht, sich durch euren Identitätsanbieter (IdP) zu authentifizieren.
Du kannst die SSO-Einstellungen individuell im Admin-Bereich anpassen, indem Du zu Einstellungen > Allgemein navigierst und dann nach unten zum Bereich Single Sign-on scrollst. Dort kannst Du bestimmen, welche Anmeldemethoden für Deine Nutzer verfügbar sind, den auf Deinem SSO-Anmeldebutton angezeigten Text ändern, Deine IdPs-SAML-Metadaten konfigurieren und auswählen, ob Du Benutzerkonten für neue Nutzer einrichten möchtest.
Authentifizierungsoptionen
Unter „Single Sign-on aktivieren“ kannst Du aus folgenden Authentifizierungsmethoden für Deine Beekeeper-App wählen:
- Deaktiviert: Dadurch wird SSO deaktiviert und gestattet nur passwortbasierte Anmeldungen (Benutzernamen, E-Mail oder Telefonnummer und ein Beekeeper-Passwort).
- SAML-Single-Sign-on: Dieser gestattet nur SSO-basierte Anmeldungen.
- SAML-Single-Sign-on und Anmelden per Passwort: Dies ermöglicht eine Kombination aus SSO und Anmelden per Passwort. (Diese Option ist nützlich, wenn manche Nutzer keinen Zugriff auf euren IdP haben.)
Beekeeper als Service Provider – Details
Die Details über Beekeeper als SAML Service Provider sind unten angegeben.
- ACS-URL: https://dein_unternehmen.beekeeper.io/saml/sso
- Entitäts-ID: https://your_company.beekeeper.io/saml/sso/metadata.xml
- Namens-ID-Format: Persistent
Beekeeper verwendet automatisch die Namens-ID von Deinem IdP und setzt sie als Benutzer-ID in Beekeeper.
Du findest die Metadaten für eure Beekeeper-App als Link im Admin-Bereich unter Einstellungen > Allgemein > Single Sign-on (die URL entspricht der oben angegebenen Entitäts-ID).
Zuordnung von Benutzerinformationen
Du kannst zusätzliche Felder von Deinem IdP in Beekeeper abbilden, indem Du Deine SAML-Anforderung auf einen der folgenden Beekeeper-Platzhalter konfigurierst:
- Benutzername
- Vorname
- Nachname
- Position
SSO und Nutzersynchronisierung
Anzumerken ist, dass SSO keine Nutzersynchronisation ist. Wenn sich ein Nutzer erfolgreich über SSO authentifiziert, aber noch kein Beekeeper-Konto hat, dann wird ihm eines zur Verfügung gestellt und automatisch mit den Werten vom IdP vorab ausgefüllt.
Du musst dennoch eine Methode für die Nutzersynchronisierung auswählen, damit die Nutzerdaten stets aktualisiert werden. Bei SSO werden die Nutzerinformationen nur bei der Anmeldung geprüft,
d. h., wenn Du einen Nutzer in eurem IdP löschst oder sperrst, hat dieser weiterhin Zugriff auf die App, bis er sich abmeldet.
Wenn Du den Zugriff auf Beekeeper einschränken und nur einer bestimmten Gruppe von Nutzern das Anmelden gestatten möchtest, kannst Du das innerhalb Deiner IdP-Konfiguration tun.
Fehlerbehebung
Ich kann die Option SSO im Admin-Bereich nicht sehen: Bitte reiche eine Anfrage unten ein oder Deinen Customer Success Manager, um die SSO-Funktion für Deine Beekeeper-App zu aktivieren.
Ich habe bereits ein Konto bei Beekeeper, aber wenn ich mich mit SSO anmelde, wird ein neues angelegt: Wenn Du Dich mit SSO anmeldest und ein anderes Nutzerprofil angezeigt wird, stimmt wahrscheinlich die vom IdP konfigurierte Namens-ID nicht mit Deiner Nutzer-ID von Beekeeper überein. Aktualisiere also die Nutzer-IDs Deiner existierenden Nutzer, damit die vom IdP gesendeten Namens-ID-Werte übereinstimmen, bevor Du SSO aktivierst.
Beim Synchronisieren erscheint der Fehler „400: Bad Request“. Was kann ich dagegen tun? Wenn Du kürzlich ein SAML-Signierzertifikat generiert, aber seitdem Deine Zuordnungen verändert hast, ist es vielleicht nicht mehr aktuell und Du solltest es neu generieren (vor allem, wenn Du Azure AD verwendest). Denke daran, die konfigurierten Metadaten im Admin-Bereich zu aktualisieren, wenn Du ein neues Zertifikat erstellt hast.
Die Beekeeper-Benutzer-ID spiegelt die Namens-ID meines IdP nicht wider: Bitte stelle sicher, dass Du das Namens-ID-Format Deiner SAML-Konfiguration auf „Persistent“ eingestellt hast.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.