SSO-/SAML-Konfiguration mit Azure Active Directory (AD)

In diesem Artikel wird erklärt, wie die Diligent Boards-Anwendung in Microsoft Azure konfiguriert wird, sodass Benutzer über Single Sign-On (SSO) auf ihre Boards-Umgebung zugreifen können.

Funktionsweise

SSO ist eine bequeme und sichere Methode, um mit einem einzigen Satz von Anmeldedaten auf alle Ihre Unternehmensressourcen zuzugreifen. Um sicherzustellen, dass die richtige Person Zugriff auf die richtigen Ressourcen hat, ist Folgendes erforderlich:

  • Ein Identitätsanbieter (IdP), wie z. B. Azure Active Directory, der für die Benutzerauthentifizierung zuständig ist.

  • Ein Dienstanbieter (DA), der den Zugriff auf Ressourcen, einschließlich Diligent Boards, kontrolliert.

Diligent unterstützt von IdP und SP initiierte Identitätsverfahren. Beachten Sie, dass es für IdP einen optionalen zusätzlichen Schritt im Konfigurationsprozess gibt, um Administratoren einzurichten. Weitere Informationen finden Sie im Abschnitt „Hinzufügen von Ansprüchen für die von IdP initiierte Anmeldung“.

Die Konfiguration von Diligent Boards für Ihr Azure Active Directory (AD) erfordert möglicherweise die Zusammenarbeit zwischen einem Boards-Administrator und einem IT-Spezialisten, der den IdP in Ihrer Organisation verwaltet. Dabei kann es sich um dieselbe Person handeln. In der Regel sind es aber unterschiedliche Personen.

Berechtigungsanforderungen

Der IT-Spezialist, der den IdP in Ihrem Unternehmen verwaltet, benötigt Entwicklerzugriff auf Azure AD mit einer der folgenden Rollen:

  • Globaler Administrator

  • Cloud-Anwendungsadministrator

  • Anwendungsadministrator

Sie benötigen kein Diligent Boards-Konto.

Wenn Sie mit einem Boards-Administrator zusammenarbeiten, empfehlen wir, dass dieser Zugriff auf die Anwendung „Umgebungsmanagement“ hat, damit er die Liste der aktiven Benutzer sowie deren Berechtigungen und Rollen einsehen kann.

Konfigurieren der Diligent Boards-Anwendung für SSO

Um SSO für Diligent Boards zu konfigurieren, müssen Sie die Anwendung in Azure AD einrichten. Erstellen Sie zunächst die Diligent Boards-Anwendung. Rufen Sie anschließend das Signaturzertifikat mit Ihren IdP-Metadaten ab und senden Sie es zur Validierung an das Customer Success/Implementation-Team. Weisen Sie den Benutzern schließlich die Anwendung „Diligent Boards“ zu, damit sie per SSO auf ihr Konto zugreifen können.

Erstellen der Diligent Boards-Anwendung

In diesem Abschnitt wird erklärt, wie Sie eine neue Anwendung (Diligent Boards) in Azure AD erstellen und die SSO-Kompatibilität einrichten.

  1. Melden Sie sich beim Microsoft Azure Portal an.

  2. Wählen Sie Azure Active Directory aus.

  3. Wählen Sie im linken Menü Unternehmensanwendungen aus.

  4. Wählen Sie oben auf dem Bildschirm Neue Anwendung aus.

  5. Wählen Sie auf der angezeigten Seite oben auf dem Bildschirm Ihre eigene Anwendung erstellen aus.

  6. Geben Sie unter „Wie heißt Ihre App?“ einen Namen für die Anwendung ein, z. B. „Diligent Boards“.

  7. Wählen Sie die Optionsschaltfläche Jede andere Anwendung integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie).

Einrichten der SSO-Kompatibilität

Für die SSO-Kompatibilität benötigt Diligent Daten von Ihrem Authentifizierungsanbieter und Informationen von uns.

  1. Wählen Sie im linken Menü Einmalanmeldung aus.

  2. Die Anmeldemethode für Diligent Boards ist SAML 2.0. Wählen Sie das Bleistiftsymbol im Abschnitt „Grundlegende SAML-Konfiguration“ aus, um die SAML-Konfigurationsdaten zu bearbeiten.

  3. Sie haben die Möglichkeit, Metadaten hochzuladen oder Daten manuell einzugeben. Um Metadaten hochzuladen, wählen Sie oben auf dem Bildschirm Metadatendatei hochladen aus.

  4. Um Daten manuell einzugeben, füllen Sie die folgenden Felder aus:

    Feldname

    Eingabetext

    Kennung (Entitäts-ID)

    https://diligent-identity/"umgebung"_"umgebungsname"

    Antwort-URL (URL des Kundenservice)

    https://identity-"umgebung".diligentcloudservices.com/saml/external-callback/"umgebung"_"umgebungsname"

    Notiz

    Die Werte umgebung und umgebungsname in den obigen URLs sind für Ihr Unternehmen einzigartig. Wenden Sie sich an Ihr Diligent Customer Success/Implementation-Team, um Unterstützung bei den URLs zu erhalten.

  5. Das Attribut für die Authentifizierung sollte Mail oder E-Mail sein. Vergewissern Sie sich, dass die E-Mail-Struktur für die Diligent Boards-App mit der E-Mail-Struktur Ihres Unternehmens übereinstimmt.

    Notiz

    Wenn die E-Mail-Adressen der Benutzer nicht übereinstimmen, wird die Authentifizierung bei der Anmeldung verweigert.

Abrufen Ihres Anmeldezertifikats

In diesem Abschnitt wird erklärt, wie Sie Ihre IdP-Metadaten anzeigen und zur Validierung an Diligent Boards senden.

  1. Wählen Sie im Abschnitt „SAML-Zertifikate“ neben der Option „XML-Verbundmetadaten“ die Option Herunterladen aus.

  2. Die XML-Datei wird am unteren Rand Ihres Browserfensters angezeigt. Sie finden sie auch in dem von Ihnen angegebenen Download-Ordner.

  3. Senden Sie die XML-Datei mit Ihren Metadaten an Ihr Customer Success/Implementation-Team von Diligent.

Zuweisen von Benutzerkonten

In diesem Abschnitt wird beschrieben, wie Sie einen Benutzer der Diligent Boards-Anwendung zuweisen, damit er per SSO auf sein Konto zugreifen kann.

  1. Wählen Sie im Azure AD im linken Menü Unternehmensanwendungen aus.

  2. Wählen Sie die Anwendung Diligent Boards aus.

  3. Wählen Sie im linken Menü Benutzer und Gruppen aus.

  4. Wählen Sie oben auf der Seite Benutzer/Gruppe hinzufügen aus.

  5. Wählen Sie Keine ausgewählt aus. Die Seite „Zuweisung hinzufügen“ wird angezeigt.

  6. Geben Sie den Namen des Benutzers, den Sie der Diligent Boards-Anwendung zuweisen möchten, in das Feld Suche ein, das auf der rechten Seite des Bildschirms angezeigt wird. Sie können nach dem Namen oder der E-Mail-Adresse des Benutzers suchen.

  7. Wählen Sie die Option Auswählen neben dem Namen des Benutzers aus.

  8. Wählen Sie Zuweisen aus, um die Zuweisung des Benutzers zur Diligent Boards-Anwendung abzuschließen.

Hinzufügen von Ansprüchen für die von IdP initiierte Anmeldung

Sobald Ihre Diligent Boards-Umgebung in Azure AD konfiguriert ist, können Sie einen neuen Anspruch erstellen, um festzulegen, wie Benutzer mit der Administratorrolle auf die Anwendung zugreifen. Standardmäßig werden Benutzer an Boards Web Director weitergeleitet, wenn dieser Anspruch nicht vorliegt.

  1. Wählen Sie in Azure AD im linken Menü Unternehmensanwendungen aus.

  2. Wählen Sie die Anwendung Diligent Boards aus.

  3. Wählen Sie im linken Menü Einmalanmeldung aus.

  4. Scrollen Sie auf der Seite nach unten, um den Bereich Attribute und Ansprüche anzuzeigen.

  5. Wählen Sie das Bleistiftsymbol aus, um die Informationen zu bearbeiten.

  6. Wählen Sie Neuen Anspruch hinzufügen aus.

  7. Füllen Sie die folgenden Felder im Fenster Anspruch verwalten aus:

    Feldname

    Eingabetext

    Beschreibung

    Name

    diligent_client_id

    Anspruchsbedingungen

    Gruppen im Geltungsbereich: Wählen Sie eine Gruppe für die Administratorbenutzer aus.

    Quelle: Attribut

    Wert: bw_book_admin

    Leitet eine Benutzergruppe zu Boards Web Admin weiter

    Anspruchsbedingungen

    Gruppen im Geltungsbereich: Wählen Sie eine Gruppe für die Direktoren/Führungskräfte aus.

    Quelle: Attribut

    Wert: bw_director

    Leitet eine Benutzergruppe zu Boards Web Director weiter

    Notiz

    Sie müssen eine Gruppe für die Administratorbenutzer und eine separate Gruppe für die Nicht-Administratorbenutzer erstellen. Dies ermöglicht dynamische Ansprüche auf der Grundlage von Benutzerpersönlichkeiten.

  8. Wählen Sie Speichern aus. Der benutzerdefinierte Anspruch wird in der Diligent Boards-Anwendung konfiguriert.