Einmalanmeldung (SSO) konfigurieren
Bei der Einmalanmeldung handelt es sich um einen Authentifizierungsprozess, der Benutzer in die Lage versetzt, mit einer einzigen Anmeldung mehrere Anwendungen zu verwenden. Diligent One unterstützt SSO Integration für jeden Identitätsanbieter, der das OASIS SAML-2.0-Protokoll verwendet.
Diligent One bietet begrenzte Unterstützung für SSO, da andere Authentifizierungsszenarien ein potenzielles Sicherheitsrisiko für Unternehmen darstellen.
Berechtigungen
Nur Systemadministratoren können die SSO-Einstellungen für ihr Unternehmen konfigurieren.
Anforderungen
- Ihr Identitätsanbieter muss das OASIS SAML-2.0-Protokoll einhalten.
- Alle Benutzer einer Diligent One-Instanz mit aktivierter Einmalanmeldung (SSO) müssen sich über einen Identitätsanbieter authentifizieren.
Wenn Ihre Benutzer auf mehrere Instanzen zugreifen
Benutzer, die sich über einen Identitätsanbieter authentifizieren, können dies für mehrere Diligent One-Instanzen tun, wenn diese Instanzen zum selben Unternehmen gehören:
Um dies zu überprüfen, schauen Sie unter "Kundenname" in den Organisationseinstellungen für jede Instanz nach. Dieser muss für alle Instanzen, auf die SSO-Benutzer zugreifen müssen, gleich sein. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren. Alternativ können Sie mit dem Instanz-Switcher überprüfen, ob die betreffenden Instanzen unter dem gleichen Unternehmensnamen eingerückt sind. Weitere Informationen finden Sie unter Zwischen Diligent One-Instanzen wechseln.
Wenden Sie sich an den Support, wenn Sie ändern möchten, zu welchem Unternehmen Ihre Instanz gehört.
Die Authentifizierung ist nicht regionsspezifisch. Benutzer können in mehreren Regionen auf Diligent One-Instanzen zugreifen.
Wenn Ihre Benutzer auf Schulungsinstanzen zugreifen
Benutzer, die über einen Identitätsanbieter authentifiziert werden, können Schulungsinstanzen erstellen, die automatisch mit demselben Unternehmen verknüpft sind.
Dieser Schulungsinstanz können weitere Benutzer hinzugefügt werden, sofern diese Benutzer nicht bereits einer anderen Schulungsinstanz mit derselben E-Mail angehören.
Wenn Ihre Benutzer für mehrere Unternehmen arbeiten
Benutzer, die für mehrere Unternehmen arbeiten (z. B. Unternehmensberater), können SSO nicht nutzen.
Wenn ein Diligent One-Benutzer in Ihrem Unternehmen bereits eine SSO-fähige Instanz verwendet, die zu einem anderen Unternehmen gehört, können Sie SSO nicht aktivieren. Um SSO zu aktivieren, müssen Sie entweder diesen Benutzer in Ihrem Unternehmen aus Diligent One entfernen oder ihn bitten, sich aus der Diligent One-Instanz des anderen Unternehmens entfernen zu lassen.
Sie können SSO und 2FA nicht zusammen verwenden
Sie können die Zwei-Faktor-Authentifizierung nicht mit Single Sign On verwenden. Wenn Sie sowohl SSO als auch 2FA verwenden müssen, sollten Sie die 2FA-Funktion Ihres SSO-Anbieters nutzen. Wenn SSO aktiviert ist, erlaubt Diligent One Ihnen nicht, 2FA zu aktivieren. Ebenso gilt, dass wenn ein Mitglied Ihrer Instanz 2FA verwendet, Ihnen Diligent One nicht erlaubt, SSO zu aktivieren.
Aktivierung der Einmalanmeldung (SSO)
Um SSO für Diligent One zu aktivieren, müssen Sie einige Aufgaben ausführen.
- Konfigurieren Sie die SSO-Einstellungen in Ihrem Identitätsanbieter.
- Aktivieren Sie SSO im Launchpad.
- Öffnen Sie Launchpad.
- Klicken Sie auf Plattform-Einstellungen > Organisation.
- Klicken Sie auf SSO-Einstellungen verwalten.
- Füllen Sie die unten aufgeführten SSO-Felder aus und klicken Sie auf „Einmalanmeldung (SSO) aktivieren“.
- Klicken Sie auf Änderungen speichern.
- Fügen Sie Benutzer einer Instanz mit aktiviertem SSO hinzu.
Um Diligent One mit Ihrem Identitätsanbieter zu verlinken, müssen Sie für alle Benutzer Vorname, Nachname und E-Mail-Adresse angeben. Weitere Informationen finden Sie unter Verfahren zum Hinzufügen von Benutzern.
Ausführliche Informationen über die Konfiguration finden Sie über eine Suche nach SSO-Artikeln in Support.
SSO-Felder
| Feld | Definition |
|---|---|
| Kundenspezifische Domäne |
Der eindeutige Name, der Ihre Instanz identifiziert und es den Benutzern in Ihrem Unternehmen ermöglicht, sich bei Diligent One anzumelden. Die benutzereigene Domäne ist die Unterdomäne Ihrer Organisation, an die eine Regionskennung angehängt wurde. Hinweis
Sie können die Unterdomäne Ihrer Instanz auf der Seite Organisation aktualisieren ändern. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren. |
| Entität-ID | Die URL, die den Identitätsprovider identifiziert, der eine SAML-Anfrage ausgibt. Dies ist eine für Ihren Identitätsanbieter spezifische URL. |
| Metadaten URL | Die URL, auf die das Launchpad zugreifen kann, um die SSO-Konfigurationsdaten vom Identitätsprovider abzurufen. Dies ist eine für Ihren Identitätsanbieter spezifische URL. |
| Weiterleitungs-Anmelde-URL |
Die URL des Identitätsanbieters für Benutzer in Ihrem Unternehmen, um sich bei Diligent One anzumelden. |
| Abmelde-URL | Die URL, an die Diligent One die Benutzer im Unternehmen umleitet, nachdem sie sich bei Diligent One abgemeldet haben. |
| Fingerabdruck des Sicherheitszertifikats |
Der SHA-1- oder SHA-256-Fingerprint des SAML-Zertifikats, der von Ihrem Identitätsprovider abgerufen werden kann. Hinweis Wenn Diligent One als Dienstanbieter verwendet wird, muss der Identitätsanbieter die SAML-Antwort verschlüsseln, und Sie müssen im Launchpad den Fingerprint für das Sicherheitszertifikat konfigurieren. |
| Einzelanmeldung (SSO) aktivieren | Aktiviert SSO für diese Instanz. |
URLs von Launchpad-Dienstanbietern
Bei der Konfiguration Ihres SSO-Identitätsanbieters benötigen Sie u. U die folgenden URLs von Dienstbietern für Launchpad:
- Entitäts-ID des Dienstanbieters https://accounts.highbond.com/saml/metadata/your_custom_domain
- Assertion-Consumer-URL des Dienstanbieters https://accounts.highbond.com/saml/sso/consume/your_custom_domain
Anmeldung mit aktiviertem SSO
Benutzer können sich auf zweierlei Art bei aktiviertem SSO anmelden.
Was passiert, wenn SSO aktiviert ist?
Wenn SSO aktiviert ist, können Sie sich anmelden, indem Sie www.highbond.com aufrufen, auf Bei einer kundenspezifischen Domäne anmelden klicken und die benutzerdefinierte Domäne angeben, die Ihnen zugewiesen wurde.
Alternativ können Sie über den Diligent One-App-Link auf der Startseite ihres Identitätsanbieters auf Diligent One zugreifen.
Sie werden über Ihren Identitätsanbieter an Diligent One weitergeleitet, wenn Sie auf eine der Diligent One-Apps zugreifen (dazu gehört auch das Klicken auf einen Link in einer E-Mail, die von Diligent One gesendet wurde).
Wenn SSO aktiviert ist, können Sie sich nicht mehr mit ihrer E-Mail-Adresse und ihrem Kennwort anmelden oder Ihr Kennwort ändern.
E-Mail-Adressen können nicht geändert werden, wenn die Einmalanmeldung (SSO) aktiviert ist. Sind dennoch Änderungen an E-Mail-Adressen erforderlich, muss der Systemadministrator SSO in Diligent One deaktivieren, die erforderlichen Änderungen an den E-Mail-Adressen vornehmen und SSO dann wieder aktivieren. Andernfalls werden geänderte E-Mail-Adressen als neue Konten erkannt, und die Benutzer können dann mit ihren bisherigen nicht mehr Anmeldeinformationen auf Informationen zugreifen.
Muss ich bei jeder Anmeldung meine eigene Domäne eingeben?
- Wenn Sie sich über ihren Identitätsanbieter anmelden, müssen Sie nicht jedes Mal Ihre kundenspezifische Domäne eingeben.
- Wenn Sie sich über Diligent One anmelden, können Sie auf die folgende URL zugreifen, damit Sie nicht jedes Mal eine kundenspezifische Domäne eingeben müssen: https://accounts.highbond.com/saml/sso?custom_domain=Ihre kundenspezifische Domäne
Anmeldung bei mehreren Instanzen von Diligent One
Wenn Sie Zugriff auf mehrere Instanzen von Diligent One haben, werden Sie zu der Instanz weitergeleitet, die Sie zuletzt verwendet haben. Sie können ganz normal zwischen den Instanzen wechseln. Weitere Informationen finden Sie unter Zwischen Diligent One-Instanzen wechseln.
Abmeldung mit aktiviertem SSO
Diligent One unterstützt die Einmalabmeldung (SLO, Single Log-Out) unter Verwendung des vom Identitätsanbieter eingeleiteten Workflows. Die SLO-URL lautet:
https://accounts.highbond.com/saml/slo/Ihre kundenspezifische Domän
So funktioniert der Ablauf einer Sitzung
Wenn eine Diligent One-Sitzung abläuft, oder Sie versuchen, sich von Diligent One abzumelden, müssen Sie sich zunächst von Ihrem Identitätsanbieter abmelden. Sonst werden Sie automatisch wieder bei Diligent One angemeldet.
Wenn z.B. eine Sitzung in Ihrer Instanz nach drei Stunden abläuft, und die Sitzung bei Ihrem Identitätsanbieter nach drei Tagen, werden Sie drei Tage lang automatisch bei Diligent One angemeldet.
Aus Sicherheitsgründen sollte Ihr Unternehmen sicherstellen, dass die Sitzung bei Ihrem Identitätsanbieter vor der Sitzung Ihrer Instanz abläuft.
Sie können die Dauer für den Ablauf von Sitzungen Ihrer Instanz auf der Seite Organisation aktualisieren ändern. Weitere Informationen finden Sie unter Organisationseinstellungen aktualisieren.
Vorgehensweise, wenn Sie jemanden zu einer SSO-Instanz von Diligent One hinzufügen
Diligent One unterstützt JIT- (Just-in-Time-) Provisioning für SAML. Wenn sich ein Benutzer erstmalig anmeldet, wird ein entsprechendes Benutzerkonto mit derselben E-Mail-Adresse in Diligent One angelegt.
E-Mail-Adressen und Domänenkonten abgleichen
Diligent ermittelt den bevorzugten Identitätsanbieter und den Benutzernamen des Benutzers. E-Mail-Adresse und Domänenkonto jedes Benutzers müssen übereinstimmen. Wenn die E-Mail-Adresse des Benutzers und das Domänenkonto nicht übereinstimmen, müssen Sie in Ihrem Verzeichnisdienst einen Alias für den Benutzer einrichten.
Abonnements und Zugriff auf Diligent One-Apps
Dem Benutzer werden jedoch weder Abonnements zugewiesen, noch erhält er automatisch Zugriff auf Diligent One-Apps. Systemadministratoren müssen Benutzern in Launchpad eine Rolle und ein Abonnement zuweisen, um sicherzustellen, dass diese Benutzer den entsprechenden Zugriff in der Instanz haben.
SSO deaktivieren
Wenn Ihr Unternehmen SSO aktiviert und zu einem späteren Zeitpunkt beschließt, es wieder zu deaktivieren:
- Benutzer, die vor der Aktivierung von SSO kein Kennwort eingerichtet haben, müssen auf der Anmeldeseite auf Kennwort zurücksetzen klicken, um ein Kennwort zu erhalten.
- Benutzer, die vor der Aktivierung von SSO ein Kennwort eingerichtet haben, können sich mit ihrem Benutzernamen und Kennwort anmelden.
SSO und SAML
Diligent One unterstützt SSO Integration für jeden Identitätsanbieter, der das OASIS SAML-2.0-Protokoll verwendet.
Was ist OASIS SAML 2.0?
SSO ermöglicht Benutzern sich mit OASIS Security Assertion Markup Language 2.0 (SAML 2.0) anzumelden, einem Format zur Kommunikation und Authentifizierung von Identitäten zwischen zwei Web-Applikationen.
OASIS SAML 2.0 umfasst:
- einen Benutzer, der einen Dienst anfordert
- einen Dienstleister oder eine Applikation, die einen Dienst bereitstellt (Diligent One)
- einen Identitätsanbieter oder ein Repository, in dem Benutzerdaten verwaltet werden
In Instanzen, die SSO aktiviert haben, werden Benutzer authentifiziert, wenn sie sich über den unterstützten SAML-Identitätsanbieter bei Diligent One anmelden. Wenn ein Benutzer nicht bei dem SAML-Identitätsanbieter aktiviert ist, wird diesem Benutzer der Zugriff verweigert.
Unterstützte Workflows
Nachdem die SSO-Einstellungen konfiguriert wurden, werden die folgenden Arbeitsabläufe unterstützt:
- Identitätsanbieter initiiert - Zugriff auf Diligent One von der Startseite des Identitätsanbieters.
- Dienstanbieter initiiert - Zugriff auf Diligent One von der Diligent One-Startseite.
Identitätsanbieter hat den Authentifizierungsprozess initiiert
Dienstanbieter hat den Authentifizierungsprozess initiiert
Offboarding von Benutzern, die das Unternehmen verlassen
Wenn ein Benutzer das Unternehmen verlässt, wird er wahrscheinlich durch den Offboarding-Prozess vom Identitätsanbieter entfernt. Wie genau sich dies auf die Benutzer auswirkt, hängt davon ab, auf welche Instanzen sie Zugriff hatten und wie diese Instanzen konfiguriert wurden.
- Wenn der Benutzer nur Teil der SSO-fähigen Instanz(en) war, kann er nicht mehr auf diese Instanzen in Diligent One zugreifen.
- Wenn der Benutzer Teil der SSO-fähigen Instanz(en) war, sowie anderer nicht SSO-fähiger Instanzen:
- Wenn Sie den Benutzer von Ihrem Identitätsprovider entfernen, kann er auf keine Instanzen von Diligent One zugreifen. Wenn sie versuchen, auf eine Nicht-SSO-Instanz zuzugreifen, wird die Fehlermeldung „Ihre Organisation hat Single Sign-on aktiviert, bitte melden Sie sich bei der kundenspezifischen Domäne Ihrer Organisation an“ angezeigt.
- Wenn Sie den Benutzer von Hand aus der/den SSO-fähigen Instanz(en) entfernen, kann er immer noch auf Nicht-SSO-Instanzen zugreifen, nachdem er sein Kennwort zurückgesetzt hat.
