Zum Hauptinhalt springen
Alle KollektionenProblemlösungen
Single Sign-On (SSO)
Single Sign-On (SSO)

Hilfestellung und Tipps bei der Verbindung von Identity und Service Provider für SSO über SAML

Vor über einem Monat aktualisiert

Allgemeine Hinweise

Bei der Einrichtung eines Custom Service Providers werden häufig zwei Werte abgefragt, die in der Regel wie folgt definiert werden können (ersetze [moco-domain] mit eurer MOCO-Subdomain):

Identifier (Entity ID):

–> https://[moco-domain].mocoapp.com/auth/saml/metadata

Reply URL (Assertion Consumer Service URL):

–> https://[moco-domain].mocoapp.com/auth/saml/acs

Das Standard-Mapping für die ​Attribute in MOCO entspricht dem folgenden Schema:

attributes["http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"] -> user firstname
attributes["http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"] -> user lastname
attributes["http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] -> user email

Mit Aktivierung von SSO bleibt zunächst der Login via E-Mail + Passwort weiterhin verfügbar. Sobald eine Person sich erstmalig über SSO anmeldet, funktioniert der Login via E-Mail + Passwort für diese Person nicht mehr. Die Loginfelder können ausgeblendet werden, um den Login via SSO zu forcieren (über In-App-Service anfragen).

Neue Personen müssen nach Aktivierung von SSO über den Identity Provider hinzugefügt werden. Das schließt auch externe Mitarbeitende ein (z.B. Freelancer). Sie werden beim ersten Login mit SSO in MOCO automatisch angelegt. Melde dich über den MOCO-In-App-Service, um dieses Verhalten bei Bedarf zu ändern.

SSO mit Google

Eine Anleitung für die Einrichtung einer "Benutzerdefinierte SAML-App" findest du hier:

https://support.google.com/a/answer/6087519

Bei der Einrichtung muss zunächst die ACS-URL und Entitäts-ID hinterlegt werden (siehe oben). Außerdem bitte "Signierte Antwort" deaktivieren (unsere SSO-Bibliothek führt die Signaturüberprüfung für jede einzelne Assertion durch).

Bei der SAML-Attributezuordnung müssen folgende Werte eingetragen werden:

Primary email –> http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

First name –> http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Last name –> http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

SSO mit Microsoft Entra

Ein Startpunkt für den Prozess ist hier beschrieben: https://learn.microsoft.com/de-de/entra/identity/enterprise-apps/add-application-portal

Soweit uns zugetragen wurde sind folgende Schritte für die Verknüpfung von Entra und MOCO notwendig:

  • Im User Interface vom MS Entra Admin Center muss als erstes eine neue Enterprise Applikation registriert werden ("Create your own application").

  • Einen Namen vergeben und "Integrate any other application you don't find in the gallery (Non-gallery)" auswählen.

  • Nach "Create Application" landest Du in der Overview Ansicht der Application und kannst "2. Set up single sign on" wählen. Hier "SAML" als Methode wählen.

  • Im nächsten Schritt landest Du dann auf der Übersichtsseite des SSO für die Application –> wir brauchen hier den Link bei "App Federation Metadata URL".

Noch ein Hinweis: eine in Entra hinterlegte Person muss nach unserem Kenntnisstand mindestens diese Lizenz zur Verfügung haben, um die SSO-Funktionalität nutzen zu können.

SSO mit anderen Identity Providern

Mit den oben aufgeführten Informationen zu Identifier, Reply URL und Mapping können auch viele weitere Identity Provider mit MOCO verknüpft werden. Testet die Einrichtung und meldet euch bei uns im Support, falls Probleme auftreten.

Hat dies deine Frage beantwortet?