Einmalanmeldung (SSO) konfigurieren

Diligent aktualisiert die Funktionsweise der Einmalanmeldung (Single Sign-On, SSO) mit der Diligent One-Plattform. Diese Aktualisierungen, die unten zusammengefasst sind, sind für den 6. Januar 2025 geplant.

Wichtig

Machen Sie sich mit den bevorstehenden SSO-Updates vertraut und treffen Sie alle erforderlichen Vorbereitungen in Ihrer Organisation.

Die alten und neuen SSO-Hilfethemen sind unten verfügbar. Siehe SSO-Hilfethemen.

Aktualisierungen der Einmalanmeldung

  • Neues Anmeldeerlebnis Die Diligent One-Plattform verwendet jetzt OIDC (OpenID Connect) für die Authentifizierung, einen weithin akzeptierten Sicherheitsstandard, der sicherstellt, dass die Plattform modernen und sicheren Best Practices entspricht. Im Rahmen dieser Aktualisierung wird die Adresse der Anmeldeseite auf oidc.highbond.com (Live-Schaltung in der Woche vom 6. Januar 2025) aktualisiert und ersetzt accounts.highbond.com.

  • Multi-SSO-Konfiguration Kunden können jetzt mehr als einen Einmalanmeldungsanbieter innerhalb einer Organisation konfigurieren.

  • Wechsel zwischen Organisationen mit und ohne SSO Wenn Sie zwischen einer Organisation mit aktivierter SSO und einer Organisation ohne aktivierte SSO wechseln, werden Sie aufgefordert, Ihre Diligent One-Anmeldeinformationen einzugeben. Wenn Sie nicht über diese Berechtigung verfügen, müssen Sie ein Passwort einrichten, indem Sie auf den Link Passwort vergessen? klicken. Wenn Sie sich mit SSO bei allen Ihren Organisationen authentifizieren möchten, informieren Sie Ihre Administratoren, damit sie SSO für die Organisationen konfigurieren, die SSO bislang nicht verwenden. Weitere Informationen finden Sie unter SSO-Hilfethemen.

  • Anmeldeerlebnis für Systemadministratoren in SSO-Organisationen Systemadministratoren können sich jetzt bei SSO-Organisationen mit ihrer E-Mail-Adresse und ihrem Passwort für die Diligent One-Plattform anmelden. Dies soll unseren Kunden ermöglichen, ihre SSO-Konfigurationen über ihre Systemadministratoren neu zu konfigurieren, falls sich Benutzer nicht bei ihrer Organisation authentifizieren können. Der Systemadministrator kann auch bestimmte Benutzer innerhalb der Organisation auswählen, um SSO zu umgehen.

  • Diligent One-Plattform unterstützt keine Just-in-Time (JIT)-Bereitstellung mehr Um den höchsten Sicherheitsstandards zu entsprechen, unterstützen wir keine Just-in-Time-Bereitstellung mehr. Stimmen Sie sich mit Ihrem Systemadministrator ab, um die Bereitstellung externer Benutzer (z. B. SCIM) zu aktivieren, wenn Sie den Bereitstellungsprozess für Benutzer in Ihrer Organisation automatisieren möchten.

  • Verwenden Sie öffentliche Zertifikate anstelle von Sicherheits-Fingerabdrücken Beim Konfigurieren eines neuen SSO-Anbieters oder beim Aktualisieren eines aktuellen Anbieters müssen Sie das öffentliche Zertifikat anstelle des Sicherheitsfingerabdrucks eingeben. Wenn Sie Ihre aktuelle SSO mit Fingerabdruck konfiguriert haben, werden Sie feststellen, dass das Fingerabdruckfeld nach der Veröffentlichung vom 6. Januar 2025 nicht mehr bearbeitet werden kann.

    Wenn Sie SSO konfigurieren oder aktualisieren, geben Sie das öffentliche Zertifikat (einschließlich der Zeilen BEGIN CERTIFICATE und END CERTIFICATE) im folgenden Format ein:

    -----BEGIN CERTIFICATE-----
    <Zertifikatsinhalt hier>
    -----END CERTIFICATE-----

SSO-Hilfethemen

Die alten und neuen SSO-Hilfethemen sind unten verfügbar. Wählen Sie den Abschnitt für das gewünschte Hilfethema aus:

  • Neue SSO (2025)

  • Alte SSO

Bei der Einmalanmeldung handelt es sich um einen Authentifizierungsprozess, der Benutzer in die Lage versetzt, mit einer einzigen Anmeldung mehrere Anwendungen zu verwenden. Diligent One unterstützt SSO Integration für jeden Identitätsanbieter, der das OASIS SAML-2.0-Protokoll verwendet.

Sie können mehr als einen SSO-Anbieter für eine Organisation einrichten.

Berechtigungen

Anforderungen

SSO-Indentitätsanbieter einrichten

URLs von Launchpad-Dienstanbietern

Anmeldung mit aktiviertem SSO

Abmeldung mit aktiviertem SSO

Vorgehensweise, wenn Sie jemanden zu einer Organisation von Diligent One mit aktivierter SSO hinzufügen

SSO deaktivieren

SSO und SAML

Offboarding von Benutzern, die das Unternehmen verlassen

Berechtigungen

Nur Systemadministratoren können die SSO-Einstellungen für ihr Unternehmen konfigurieren.

Anforderungen

  • Ihr Identitätsanbieter muss das OASIS SAML-2.0-Protokoll einhalten.
  • Alle Benutzer einer Diligent One-Instanz mit aktivierter Einmalanmeldung (SSO) müssen sich über einen Identitätsanbieter authentifizieren.

Wenn Ihre Benutzer auf mehrere Organisationen zugreifen

Benutzer, die sich über einen Identitätsanbieter authentifizieren, können dies für mehrere Diligent One-Organisationen tun, wenn diese Organisationen zum selben Unternehmen gehören:

Um dies zu überprüfen, schauen Sie unter „Kundenname“ in den Organisationseinstellungen für jede Organisation nach. Dieser muss für alle Organisationen, auf die SSO-Benutzer zugreifen müssen, gleich sein. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren. Alternativ können Sie mit dem Instanz-Switcher überprüfen, ob die betreffenden Organisationen unter dem gleichen Unternehmensnamen eingerückt sind. Weitere Informationen finden Sie unter Zwischen Diligent One-Organisationen wechseln.

Wenden Sie sich an den Support, wenn Sie ändern möchten, zu welchem Unternehmen Ihre Instanz gehört.

Die Authentifizierung ist nicht regionsspezifisch. Benutzer können in mehreren Regionen auf Diligent One-Instanzen zugreifen.

Wenn Ihre Benutzer auf Schulungsorganisationen zugreifen

Benutzer, die über einen Identitätsanbieter authentifiziert werden, können Schulungsorganisationen erstellen, die automatisch mit demselben Unternehmen verknüpft sind.

Diesen Organisationen können weitere Benutzer hinzugefügt werden, sofern diese Benutzer nicht bereits einer anderen Schulungsorganisation mit derselben E-Mail-Adresse angehören. Diese Benutzer müssen ein Passwort einrichten, um auf die Schulungsorganisationen von Diligent One zugreifen zu können, indem sie auf der Anmeldeseite den Link Passwort vergessen? auswählen.

Wenn Ihre Benutzer für mehrere Unternehmen arbeiten

Benutzer, die für mehrere Unternehmen arbeiten, können SSO verwenden. Beim Anmelden werden sie aufgefordert, sich mit der SSO zu authentifizieren, die für das jeweilige Unternehmen, auf das sie zugreifen, konfiguriert ist.

Wenn Sie SSO und 2FA zusammen verwenden möchten

Sie können Benutzer von der SSO-Authentifizierung ausnehmen und ihnen die Anmeldung über den Standardprozess mit 2FA ermöglichen. Weitere Informationen finden Sie unter Benutzer zur Zulassungsliste zum Umgehen von SSO hinzufügen.

SSO-Indentitätsanbieter einrichten

  1. Öffnen Sie Launchpad.
  2. Wählen Sie im linken Navigationsbereich Plattform-Einstellungen aus.
  3. Wählen Sie in den Plattform-Einstellungen unter Organisation die Option Sicherheitseinstellungen aus.
  4. Wählen Sie auf der Seite Sicherheitseinstellungen im Abschnitt Optionen für die Einmalanmeldung (SSO) die Option Anbieter einrichten aus.
  5. Geben Sie im Bereich Einrichtung der Einmalanmeldung die Details wie in der folgenden Tabelle beschrieben ein:

    FeldBeschreibung
    Kunden-Domäne

    Der eindeutige Name, der Ihre Instanz identifiziert und es den Benutzern in Ihrem Unternehmen ermöglicht, sich bei Diligent One anzumelden. Die benutzereigene Domäne ist die Unterdomäne Ihrer Organisation, an die eine Regionskennung angehängt wurde.

    Hinweis

    Sie können die Unterdomäne Ihrer Instanz auf der Seite Organisation aktualisieren ändern. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren.

    NameGeben Sie einen Namen für den Identitätsanbieter ein.
    Entität-IDDie URL, die den Identitätsprovider identifiziert, der eine SAML-Anfrage ausgibt. Dies ist eine für Ihren Identitätsanbieter spezifische URL.
    Metadaten URLDie URL, auf die das Launchpad zugreifen kann, um die SSO-Konfigurationsdaten vom Identitätsprovider abzurufen. Dies ist eine für Ihren Identitätsanbieter spezifische URL.
    Weiterleitungs-Anmelde-URLDie URL des Identitätsanbieters für Benutzer in Ihrem Unternehmen, um sich bei Diligent One anzumelden.
    Abmelde-URLDie URL, an die Diligent One die Benutzer im Unternehmen umleitet, nachdem sie sich bei Diligent One abgemeldet haben.
    Öffentliches ZertifikatDas Zertifikat, das zur Überprüfung des Geräts und des Benutzers ausgestellt wird.

  6. Wählen Sie Aktivieren aus.

    Im Abschnitt Optionen für die Einmalanmeldung (SSO) wird der von Ihnen hinzugefügte Identitätsanbieter angezeigt.

Benutzer zur Zulassungsliste zum Umgehen von SSO hinzufügen

Wenn Sie mehrere Authentifizierungsoptionen hinzufügen, können Sie Benutzer von der Verwendung der SSO-Authentifizierung ausnehmen. In der Regel gilt diese Ausnahme für Benutzer, die nicht Mitglied eines Identitätsanbieters sind. Diese ausgenommenen Benutzer können sich weiterhin mit ihrem Benutzernamen und Passwort anmelden.

Hinweis

  • Alle Systemadministratoren erhalten automatisch SSO-Umgehungsberechtigungen.

  • Wenn die Zwei-Faktor-Authentifizierung (2FA) für Ihre Organisation aktiviert ist, gilt sie für alle Benutzer, auch für diejenigen, die berechtigt sind, die Einmalanmeldung (SSO) zu umgehen. Daher ist es wichtig, den Benutzerzugriff zu überprüfen, um sicherzustellen, dass niemand versehentlich von der Plattform ausgeschlossen wird.

  1. Wählen Sie im Abschnitt Optionen für die Einmalanmeldung (SSO) in den Sicherheitseinstellungen den Abschnitt +Benutzer hinzufügen neben dem Abschnitt Benutzer mit Berechtigung zum Umgehen von SSO aus.
  2. Wählen Sie im angezeigten Bereich Benutzer mit Berechtigung zum Umgehen von SSO die Benutzer aus, die von der Verwendung der SSO-Authentifizierung ausgenommen werden sollen.

    3. Sie können Benutzer über das Suchfeld suchen.

  3. Wählen Sie Benutzer hinzufügen aus.

    4. Die Benutzer, die der Liste zum Umgehen von SSO hinzugefügt wurden, werden im Abschnitt Benutzer mit Berechtigung zum Umgehen von SSO angezeigt.

Benutzer aus der Zulassungsliste zum Umgehen von SSO entfernen

Um Benutzer, die zur Zulassungsliste zum Umgehen von SSO hinzugefügt wurden, daraus zu entfernen, wählen Sie im Abschnitt Benutzer mit Berechtigung zum Umgehen von SSO das Symbol „Entfernen“ aus, das neben dem Benutzer angezeigt wird, den Sie entfernen möchten.

Hinweis

Systemadministratoren können nicht aus der Zulassungsliste entfernt werden. Alle Systemadministratoren erhalten automatisch Umgehungsberechtigungen.

SSO-Identitätsanbieter deaktivieren

  1. Wählen Sie auf der Seite Sicherheitseinstellungen im Abschnitt Optionen für die Einmalanmeldung (SSO) die Option Details öffnen für den Identitätsanbieter aus, den Sie deaktivieren möchten.
  2. Wählen Sie im Bereich Einrichtung der Einmalanmeldung im Dropdown-Menü des Felds Status die Option Deaktiviert aus.
  3. Wählen Sie Änderungen speichern.
  4. Wählen Sie im angezeigten Dialogfeld Deaktivieren des SSO-Anbieters bestätigen die Option Bestätigen aus.

    Der SSO-Identitätsanbieter wird im Abschnitt Optionen für die Einmalanmeldung (SSO) als Deaktiviert gekennzeichnet.

    5. Hinweis

    Nach der Deaktivierung eines SSO-Anbieters können sich Benutzer in Ihrer Organisation nicht mehr bei diesem Anbieter anmelden. Die Informationen des Anbieters bleiben allerdings gespeichert.

Einen deaktivierten SSO-Identitätsanbieter aktivieren

  1. Wählen Sie auf der Seite Sicherheitseinstellungen im Abschnitt Optionen für die Einmalanmeldung (SSO) die Option Details öffnen für den Identitätsanbieter aus, den Sie aktivieren möchten.
  2. Wählen Sie im Bereich Einrichtung der Einmalanmeldung im Dropdown-Menü des Felds Status die Option Aktiviert aus.
  3. Wählen Sie Änderungen speichern.

    4. Der SSO-Identitätsanbieter wird im Abschnitt Optionen für die Einmalanmeldung (SSO) als Aktiviert gekennzeichnet.

SSO-Indentitätsanbieter entfernen

  1. Wählen Sie auf der Seite Sicherheitseinstellungen im Abschnitt Optionen für die Einmalanmeldung (SSO) die Option Details öffnen für den Identitätsanbieter aus, den Sie entfernen möchten.
  2. Wählen Sie im Bereich Einrichtung der Einmalanmeldung die Option Entfernen aus.
  3. Wählen Sie im angezeigten Dialogfeld Entfernen des SSO-Anbieters bestätigen die Option Bestätigen aus.
    4. Hinweis

    Nachdem Sie einen SSO-Anbieter entfernt haben, können sich Benutzer in Ihrer Organisation nicht mehr bei diesem SSO-Anbieter anmelden. Die Informationen des Anbieters werden ebenfalls gelöscht.

URLs von Launchpad-Dienstanbietern

Bei der Konfiguration Ihres SSO-Identitätsanbieters benötigen Sie u. U die folgenden URLs von Dienstbietern für Launchpad:

  • Entitäts-ID des Dienstanbieters https://accounts.highbond.com/saml/metadata/your_custom_domain
  • Assertion-Consumer-URL des Dienstanbieters https://accounts.highbond.com/saml/sso/consume/your_custom_domain

Anmeldung mit aktiviertem SSO

Benutzer können sich auf zweierlei Art bei aktiviertem SSO anmelden.

Was passiert, wenn SSO aktiviert ist?

Wenn SSO aktiviert ist, können Sie sich anmelden, indem Sie www.highbond.com aufrufen, auf Mit SSO fortfahren klicken und die benutzerdefinierte Domäne angeben, die Ihnen zugewiesen wurde.

Alternativ können Sie über den Diligent One-App-Link auf der Startseite ihres Identitätsanbieters auf Diligent One zugreifen.

Sie werden über Ihren Identitätsanbieter an Diligent One weitergeleitet, wenn Sie auf eine der Diligent One-Apps zugreifen (dazu gehört auch das Klicken auf einen Link in einer E-Mail, die von Diligent One gesendet wurde).

Hinweis

  • Wenn SSO aktiviert ist, können Sie sich nicht mehr mit ihrer E-Mail-Adresse und ihrem Passwort anmelden oder Ihr Passwort ändern. Wenn Sie jedoch ein Systemadministrator oder ein Benutzer sind, der SSO umgehen darf, können Sie sich mit Ihrer E-Mail-Adresse und Ihrem Passwort anmelden.

  • Sie können Ihre E-Mail-Adresse nicht ändern, wenn SSO in Ihrer Organisation aktiviert ist. Wenn Ihre Organisation jedoch sowohl SSO als auch SCIM aktiviert hat, können E-Mail-Adressen geändert werden.

  • Bei einer Organisation, bei der nur SSO aktiviert ist, werden aktualisierte E-Mail-Adressen als neue Konten behandelt, sodass Benutzer nicht auf Informationen zugreifen können, die mit ihren vorherigen Anmeldeinformationen verknüpft sind. Wenn bei solchen Organisationen E-Mail-Adressen geändert werden müssen, muss der Systemadministrator daher zunächst SSO in Diligent One deaktivieren, die E-Mail-Adressen aktualisieren und SSO dann wieder aktivieren.

  • Bei einer Organisation, für die SCIM aktiviert ist, werden Änderungen der E-Mail-Adresse von Ihrem Identitätsanbieter automatisch in der Diligent One-Plattform übernommen.

Muss ich bei jeder Anmeldung meine eigene Domäne eingeben?

  • Wenn Sie sich über ihren Identitätsanbieter anmelden, müssen Sie nicht jedes Mal Ihre kundenspezifische Domäne eingeben.
  • Wenn Sie sich über Diligent One anmelden, können Sie auf die folgende URL zugreifen, damit Sie nicht jedes Mal eine kundenspezifische Domäne eingeben müssen: https://accounts.highbond.com/saml/sso?custom_domain=Ihre kundenspezifische Domäne

Anmeldung bei mehreren Organisationen von Diligent One

Wenn Sie Zugriff auf mehrere Organisationen von Diligent One haben, werden Sie zu der Organisation weitergeleitet, die Sie zuletzt verwendet haben. Wenn Sie Organisationen mit und ohne aktivierte SSO angehören, müssen Sie ein Passwort zum Anmelden bei der Organisation ohne aktivierte SSO einrichten. Wählen Sie dazu den Link Passwort vergessen? aus.

If you have access to multiple organization of Diligent One, you can easily switch between them. For more information, see Zwischen Diligent One-Organisationen wechseln.

Wenn Sie zwischen Organisationen wechseln, werden Sie aufgefordert, die Anmeldeinformationen der Organisation einzugeben, zu der Sie wechseln, falls Sie sich noch nicht bei dieser Organisation angemeldet haben.

Abmeldung mit aktiviertem SSO

Diligent One unterstützt die Einmalabmeldung (SLO, Single Log-Out) unter Verwendung des vom Identitätsanbieter eingeleiteten Workflows. Die SLO-URL lautet:

https://accounts.highbond.com/saml/slo/your-custom-domain

So funktioniert der Ablauf einer Sitzung

Wenn eine Diligent One-Sitzung abläuft, oder Sie versuchen, sich von Diligent One abzumelden, müssen Sie sich zunächst von Ihrem Identitätsanbieter abmelden. Sonst werden Sie automatisch wieder bei Diligent One angemeldet.

Wenn z. B. eine Sitzung in Ihrer Organisation nach drei Stunden abläuft, und die Sitzung bei Ihrem Identitätsanbieter nach drei Tagen, werden Sie drei Tage lang automatisch bei Diligent One angemeldet.

Aus Sicherheitsgründen sollte Ihr Unternehmen sicherstellen, dass die Sitzung bei Ihrem Identitätsanbieter vor der Sitzung Ihrer Instanz abläuft.

Hinweis

Sie können die Dauer für den Ablauf von Sitzungen Ihrer Organisation auf der Seite Organisation aktualisieren ändern. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren.

Vorgehensweise, wenn Sie jemanden zu einer Organisation von Diligent One mit aktivierter SSO hinzufügen

Diligent One unterstützt die externe SCIM-Bereitstellung. Wenn Ihr Identitätsanbieter SCIM als Option anbietet, können Sie Benutzer automatisch für die Plattform bereitstellen. Wenn Ihr Identitätsanbieter jedoch nicht über SCIM verfügt, müssen Sie Ihre SSO-Benutzer manuell zur Diligent One-Organisation hinzufügen, damit sie auf die Plattform zugreifen können.

Abonnements und Zugriff auf Diligent One-Apps

Dem Benutzer werden jedoch weder Abonnements zugewiesen, noch erhält er automatisch Zugriff auf Diligent One-Apps. Systemadministratoren müssen Benutzern in Launchpad eine Rolle und ein Abonnement zuweisen, um sicherzustellen, dass diese Benutzer den entsprechenden Zugriff in der Instanz haben.

SSO deaktivieren

Wenn Ihr Unternehmen SSO aktiviert und zu einem späteren Zeitpunkt beschließt, es wieder zu deaktivieren:

  • Benutzer, die vor der Aktivierung von SSO kein Passwort eingerichtet haben, müssen auf der Anmeldeseite auf Passwort zurücksetzen klicken, um ein Passwort zu erhalten.
  • Benutzer, die vor der Aktivierung von SSO ein Passwort eingerichtet haben, können sich mit ihrem Benutzernamen und Passwort anmelden.

SSO und SAML

Diligent One unterstützt SSO Integration für jeden Identitätsanbieter, der das OASIS SAML-2.0-Protokoll verwendet.

Was ist OASIS SAML 2.0?

SSO ermöglicht Benutzern sich mit OASIS Security Assertion Markup Language 2.0 (SAML 2.0) anzumelden, einem Format zur Kommunikation und Authentifizierung von Identitäten zwischen zwei Web-Applikationen.

OASIS SAML 2.0 umfasst:

  • einen Benutzer, der einen Dienst anfordert
  • einen Dienstleister oder eine Applikation, die einen Dienst bereitstellt (Diligent One)
  • einen Identitätsanbieter oder ein Repository, in dem Benutzerdaten verwaltet werden

In Instanzen, die SSO aktiviert haben, werden Benutzer authentifiziert, wenn sie sich über den unterstützten SAML-Identitätsanbieter bei Diligent One anmelden. Wenn ein Benutzer nicht bei dem SAML-Identitätsanbieter aktiviert ist, wird diesem Benutzer der Zugriff verweigert.

Unterstützte Workflows

Nachdem die SSO-Einstellungen konfiguriert wurden, werden die folgenden Arbeitsabläufe unterstützt: 

  • Identitätsanbieter initiiert - Zugriff auf Diligent One von der Startseite des Identitätsanbieters.
  • Dienstanbieter initiiert - Zugriff auf Diligent One von der Diligent One-Startseite.

Identitätsanbieter hat den Authentifizierungsprozess initiiert

Dienstanbieter hat den Authentifizierungsprozess initiiert

Offboarding von Benutzern, die das Unternehmen verlassen

Wenn Benutzer das Unternehmen verlassen, werden sie durch Ihren Offboarding-Prozess vom Identitätsanbieter entfernt. Die Auswirkungen auf die Benutzer variieren je nach den Organisationen, denen sie angehören, und den spezifischen Konfigurationen dieser Organisationen.

  • Wenn Benutzer nur Teil der Organisationen mit aktivierter SSO waren, können sie nicht mehr auf diese Organisationen in Diligent One zugreifen.
  • Wenn Benutzer sowohl Ihren Organisationen mit aktivierter SSO als auch anderen Organisationen ohne SSO angehörten:
    • Wenn Sie den Benutzer von Ihrem Identitätsanbieter entfernen, müssen Sie sicherstellen, dass die Benutzer aus der Diligent One-Organisation entfernt werden. Der Systemadministrator muss die Benutzer von anderen Organisationen ohne SSO entfernen.
    • Wenn Sie Benutzer manuell aus den Organisationen mit aktivierter SSO entfernen, können sie immer noch auf Instanzen ohne SSO zugreifen, nachdem sie ihr Passwort zurückgesetzt haben.

Bei der Einmalanmeldung handelt es sich um einen Authentifizierungsprozess, der Benutzer in die Lage versetzt, mit einer einzigen Anmeldung mehrere Anwendungen zu verwenden. Diligent One unterstützt SSO Integration für jeden Identitätsanbieter, der das OASIS SAML-2.0-Protokoll verwendet.

Hinweis

Diligent One bietet begrenzte Unterstützung für SSO, da andere Authentifizierungsszenarien ein potenzielles Sicherheitsrisiko für Unternehmen darstellen.

Berechtigungen

Anforderungen

Aktivierung der Einmalanmeldung (SSO)

URLs von Launchpad-Dienstanbietern

Anmeldung mit aktiviertem SSO

Abmeldung mit aktiviertem SSO

Vorgehensweise, wenn Sie jemanden zu einer SSO-Instanz von Diligent One hinzufügen

SSO deaktivieren

SSO und SAML

Offboarding von Benutzern, die das Unternehmen verlassen

Berechtigungen

Nur Systemadministratoren können die SSO-Einstellungen für ihr Unternehmen konfigurieren.

Anforderungen

  • Ihr Identitätsanbieter muss das OASIS SAML-2.0-Protokoll einhalten.
  • Alle Benutzer einer Diligent One-Instanz mit aktivierter Einmalanmeldung (SSO) müssen sich über einen Identitätsanbieter authentifizieren.

Wenn Ihre Benutzer auf mehrere Instanzen zugreifen

Benutzer, die sich über einen Identitätsanbieter authentifizieren, können dies für mehrere Diligent One-Instanzen tun, wenn diese Instanzen zum selben Unternehmen gehören:

Um dies zu überprüfen, schauen Sie unter „Kundenname“ in den Organisationseinstellungen für jede Instanz nach. Dieser muss für alle Instanzen, auf die SSO-Benutzer zugreifen müssen, gleich sein. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren. Alternativ können Sie mit dem Instanz-Switcher überprüfen, ob die betreffenden Instanzen unter dem gleichen Unternehmensnamen eingerückt sind. Weitere Informationen finden Sie unter Zwischen Diligent One-Organisationen wechseln.

Wenden Sie sich an den Support, wenn Sie ändern möchten, zu welchem Unternehmen Ihre Instanz gehört.

Die Authentifizierung ist nicht regionsspezifisch. Benutzer können in mehreren Regionen auf Diligent One-Instanzen zugreifen.

Wenn Ihre Benutzer auf Schulungsinstanzen zugreifen

Benutzer, die über einen Identitätsanbieter authentifiziert werden, können Schulungsinstanzen erstellen, die automatisch mit demselben Unternehmen verknüpft sind.

Dieser Schulungsinstanz können weitere Benutzer hinzugefügt werden, sofern diese Benutzer nicht bereits einer anderen Schulungsinstanz mit derselben E-Mail angehören.

Wenn Ihre Benutzer für mehrere Unternehmen arbeiten

Benutzer, die für mehrere Unternehmen arbeiten (z. B. Unternehmensberater), können SSO nicht nutzen.

Wenn ein Diligent One-Benutzer in Ihrem Unternehmen bereits eine SSO-fähige Instanz verwendet, die zu einem anderen Unternehmen gehört, können Sie SSO nicht aktivieren. Um SSO zu aktivieren, müssen Sie entweder diesen Benutzer in Ihrem Unternehmen aus Diligent One entfernen oder ihn bitten, sich aus der Diligent One-Instanz des anderen Unternehmens entfernen zu lassen.

Sie können SSO und 2FA nicht zusammen verwenden

Sie können die Zwei-Faktor-Authentifizierung nicht mit Single Sign On verwenden. Wenn Sie sowohl SSO als auch 2FA verwenden müssen, sollten Sie die 2FA-Funktion Ihres SSO-Anbieters nutzen. Wenn SSO aktiviert ist, erlaubt Diligent One Ihnen nicht, 2FA zu aktivieren. Ebenso gilt, dass wenn ein Mitglied Ihrer Instanz 2FA verwendet, Ihnen Diligent One nicht erlaubt, SSO zu aktivieren.

Aktivierung der Einmalanmeldung (SSO)

Um SSO für Diligent One zu aktivieren, müssen Sie einige Aufgaben ausführen.

  1. Konfigurieren Sie die SSO-Einstellungen in Ihrem Identitätsanbieter.
  2. Aktivieren Sie SSO im Launchpad.
    1. Öffnen Sie Launchpad.
    2. Klicken Sie auf Plattform-Einstellungen > Organisation.
    3. Klicken Sie auf SSO-Einstellungen verwalten.
    4. Füllen Sie die unten aufgeführten SSO-Felder aus und klicken Sie auf „Einmalanmeldung (SSO) aktivieren“.
    5. Klicken Sie auf Änderungen speichern.
  3. Fügen Sie Benutzer einer Instanz mit aktiviertem SSO hinzu.

    Um Diligent One mit Ihrem Identitätsanbieter zu verlinken, müssen Sie für alle Benutzer Vorname, Nachname und E-Mail-Adresse angeben. Weitere Informationen finden Sie unter Verfahren zum Hinzufügen von Benutzern.

Hinweis

Ausführliche Informationen über die Konfiguration finden Sie über eine Suche nach SSO-Artikeln in Support.

SSO-Felder

Feld Definition
Kundenspezifische Domäne

Der eindeutige Name, der Ihre Instanz identifiziert und es den Benutzern in Ihrem Unternehmen ermöglicht, sich bei Diligent One anzumelden. Die benutzereigene Domäne ist die Unterdomäne Ihrer Organisation, an die eine Regionskennung angehängt wurde.

Hinweis

Sie können die Unterdomäne Ihrer Instanz auf der Seite Organisation aktualisieren ändern. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren.
Entität-ID Die URL, die den Identitätsprovider identifiziert, der eine SAML-Anfrage ausgibt. Dies ist eine für Ihren Identitätsanbieter spezifische URL.
Metadaten URL Die URL, auf die das Launchpad zugreifen kann, um die SSO-Konfigurationsdaten vom Identitätsprovider abzurufen. Dies ist eine für Ihren Identitätsanbieter spezifische URL.
Weiterleitungs-Anmelde-URL

Die URL des Identitätsanbieters für Benutzer in Ihrem Unternehmen, um sich bei Diligent One anzumelden.
Abmelde-URL Die URL, an die Diligent One die Benutzer im Unternehmen umleitet, nachdem sie sich bei Diligent One abgemeldet haben.
Fingerabdruck des Sicherheitszertifikats

Der SHA-1- oder SHA-256-Fingerprint des SAML-Zertifikats, der von Ihrem Identitätsprovider abgerufen werden kann.

Hinweis

Wenn Diligent One als Dienstanbieter verwendet wird, muss der Identitätsanbieter die SAML-Antwort verschlüsseln, und Sie müssen im Launchpad den Fingerprint für das Sicherheitszertifikat konfigurieren.
Einzelanmeldung (SSO) aktivieren Aktiviert SSO für diese Instanz.

URLs von Launchpad-Dienstanbietern

Bei der Konfiguration Ihres SSO-Identitätsanbieters benötigen Sie u. U die folgenden URLs von Dienstbietern für Launchpad:

  • Entitäts-ID des Dienstanbieters https://accounts.highbond.com/saml/metadata/your_custom_domain
  • Assertion-Consumer-URL des Dienstanbieters https://accounts.highbond.com/saml/sso/consume/your_custom_domain

Anmeldung mit aktiviertem SSO

Benutzer können sich auf zweierlei Art bei aktiviertem SSO anmelden.

Was passiert, wenn SSO aktiviert ist?

Wenn SSO aktiviert ist, können Sie sich anmelden, indem Sie www.highbond.com aufrufen, auf Bei einer kundenspezifischen Domäne anmelden klicken und die benutzerdefinierte Domäne angeben, die Ihnen zugewiesen wurde.

Alternativ können Sie über den Diligent One-App-Link auf der Startseite ihres Identitätsanbieters auf Diligent One zugreifen.

Sie werden über Ihren Identitätsanbieter an Diligent One weitergeleitet, wenn Sie auf eine der Diligent One-Apps zugreifen (dazu gehört auch das Klicken auf einen Link in einer E-Mail, die von Diligent One gesendet wurde).

Hinweis

Wenn SSO aktiviert ist, können Sie sich nicht mehr mit ihrer E-Mail-Adresse und ihrem Kennwort anmelden oder Ihr Kennwort ändern.

E-Mail-Adressen können nicht geändert werden, wenn die Einmalanmeldung (SSO) aktiviert ist. Sind dennoch Änderungen an E-Mail-Adressen erforderlich, muss der Systemadministrator SSO in Diligent One deaktivieren, die erforderlichen Änderungen an den E-Mail-Adressen vornehmen und SSO dann wieder aktivieren. Andernfalls werden geänderte E-Mail-Adressen als neue Konten erkannt, und die Benutzer können dann mit ihren bisherigen nicht mehr Anmeldeinformationen auf Informationen zugreifen.

Muss ich bei jeder Anmeldung meine eigene Domäne eingeben?

  • Wenn Sie sich über ihren Identitätsanbieter anmelden, müssen Sie nicht jedes Mal Ihre kundenspezifische Domäne eingeben.
  • Wenn Sie sich über Diligent One anmelden, können Sie auf die folgende URL zugreifen, damit Sie nicht jedes Mal eine kundenspezifische Domäne eingeben müssen: https://accounts.highbond.com/saml/sso?custom_domain=Ihre kundenspezifische Domäne

Anmeldung bei mehreren Instanzen von Diligent One

If you have access to multiple instances of Diligent One, you are brought to the instance you used most recently. You can switch instances normally. For more information, see Zwischen Diligent One-Organisationen wechseln.

Abmeldung mit aktiviertem SSO

Diligent One unterstützt die Einmalabmeldung (SLO, Single Log-Out) unter Verwendung des vom Identitätsanbieter eingeleiteten Workflows. Die SLO-URL lautet:

https://accounts.highbond.com/saml/slo/your-custom-domain

So funktioniert der Ablauf einer Sitzung

Wenn eine Diligent One-Sitzung abläuft, oder Sie versuchen, sich von Diligent One abzumelden, müssen Sie sich zunächst von Ihrem Identitätsanbieter abmelden. Sonst werden Sie automatisch wieder bei Diligent One angemeldet.

Wenn z.B. eine Sitzung in Ihrer Instanz nach drei Stunden abläuft, und die Sitzung bei Ihrem Identitätsanbieter nach drei Tagen, werden Sie drei Tage lang automatisch bei Diligent One angemeldet.

Aus Sicherheitsgründen sollte Ihr Unternehmen sicherstellen, dass die Sitzung bei Ihrem Identitätsanbieter vor der Sitzung Ihrer Instanz abläuft.

Hinweis

Sie können die Dauer für den Ablauf von Sitzungen Ihrer Instanz auf der Seite Organisation aktualisieren ändern. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren.

Vorgehensweise, wenn Sie jemanden zu einer SSO-Instanz von Diligent One hinzufügen

Diligent One unterstützt JIT- (Just-in-Time-) Provisioning für SAML. Wenn sich ein Benutzer erstmalig anmeldet, wird ein entsprechendes Benutzerkonto mit derselben E-Mail-Adresse in Diligent One angelegt.

E-Mail-Adressen und Domänenkonten abgleichen

Diligent ermittelt den bevorzugten Identitätsanbieter und den Benutzernamen des Benutzers. E-Mail-Adresse und Domänenkonto jedes Benutzers müssen übereinstimmen. Wenn die E-Mail-Adresse des Benutzers und das Domänenkonto nicht übereinstimmen, müssen Sie in Ihrem Verzeichnisdienst einen Alias für den Benutzer einrichten.

Abonnements und Zugriff auf Diligent One-Apps

Dem Benutzer werden jedoch weder Abonnements zugewiesen, noch erhält er automatisch Zugriff auf Diligent One-Apps. Systemadministratoren müssen Benutzern in Launchpad eine Rolle und ein Abonnement zuweisen, um sicherzustellen, dass diese Benutzer den entsprechenden Zugriff in der Instanz haben.

SSO deaktivieren

Wenn Ihr Unternehmen SSO aktiviert und zu einem späteren Zeitpunkt beschließt, es wieder zu deaktivieren:

  • Benutzer, die vor der Aktivierung von SSO kein Passwort eingerichtet haben, müssen auf der Anmeldeseite auf Passwort zurücksetzen klicken, um ein Passwort zu erhalten.
  • Benutzer, die vor der Aktivierung von SSO ein Passwort eingerichtet haben, können sich mit ihrem Benutzernamen und Passwort anmelden.

SSO und SAML

Diligent One unterstützt SSO Integration für jeden Identitätsanbieter, der das OASIS SAML-2.0-Protokoll verwendet.

Was ist OASIS SAML 2.0?

SSO ermöglicht Benutzern sich mit OASIS Security Assertion Markup Language 2.0 (SAML 2.0) anzumelden, einem Format zur Kommunikation und Authentifizierung von Identitäten zwischen zwei Web-Applikationen.

OASIS SAML 2.0 umfasst:

  • einen Benutzer, der einen Dienst anfordert
  • einen Dienstleister oder eine Applikation, die einen Dienst bereitstellt (Diligent One)
  • einen Identitätsanbieter oder ein Repository, in dem Benutzerdaten verwaltet werden

In Instanzen, die SSO aktiviert haben, werden Benutzer authentifiziert, wenn sie sich über den unterstützten SAML-Identitätsanbieter bei Diligent One anmelden. Wenn ein Benutzer nicht bei dem SAML-Identitätsanbieter aktiviert ist, wird diesem Benutzer der Zugriff verweigert.

Unterstützte Workflows

Nachdem die SSO-Einstellungen konfiguriert wurden, werden die folgenden Arbeitsabläufe unterstützt: 

  • Identitätsanbieter initiiert - Zugriff auf Diligent One von der Startseite des Identitätsanbieters.
  • Dienstanbieter initiiert - Zugriff auf Diligent One von der Diligent One-Startseite.

Identitätsanbieter hat den Authentifizierungsprozess initiiert

Dienstanbieter hat den Authentifizierungsprozess initiiert

Offboarding von Benutzern, die das Unternehmen verlassen

Wenn ein Benutzer das Unternehmen verlässt, wird er wahrscheinlich durch den Offboarding-Prozess vom Identitätsanbieter entfernt. Wie genau sich dies auf die Benutzer auswirkt, hängt davon ab, auf welche Instanzen sie Zugriff hatten und wie diese Instanzen konfiguriert wurden.

  • Wenn der Benutzer nur Teil der SSO-fähigen Instanz(en) war, kann er nicht mehr auf diese Instanzen in Diligent One zugreifen.
  • Wenn der Benutzer Teil der SSO-fähigen Instanz(en) war, sowie anderer nicht SSO-fähiger Instanzen:
    • Wenn Sie den Benutzer von Ihrem Identitätsprovider entfernen, kann er auf keine Instanzen von Diligent One zugreifen. Wenn sie versuchen, auf eine Nicht-SSO-Instanz zuzugreifen, wird die Fehlermeldung „Ihre Organisation hat Single Sign-on aktiviert, bitte melden Sie sich bei der kundenspezifischen Domäne Ihrer Organisation an“ angezeigt.
    • Wenn Sie den Benutzer von Hand aus der/den SSO-fähigen Instanz(en) entfernen, kann er immer noch auf Nicht-SSO-Instanzen zugreifen, nachdem er sein Kennwort zurückgesetzt hat.