Single Sign-On (SSO) ermöglicht es Benutzer·innen, sich im Bewerbungsmanager mit einer bestehenden Identität anzumelden, ohne dass sie sich zusätzliche Anmeldedaten merken müssen. Die Identität kann aus verschiedenen Quellen gezogen werden (z. B. Google Workspace, ein eigenes Adressbuch). Wir verwenden SAML 2.0 (Security Assertion Markup Language), um einen sicheren und standardisierten Single Sign-On-Mechanismus bereitzustellen. Lesen Sie in diesem Artikel, welche Schritte für die Einrichtung von SSO mit SAML 2.0 erforderlich sind.
SAML-Konfiguration
Melden Sie sich im Bewerbungsmanager an und gehen zu „Einstellungen“ (1) > „Integration“ (2) > „Single Sign-On“ (3). Sie finden den Link zu einem XML-Schema mit allen notwendigen Informationen zur Konfiguration Ihres SAML 2.0 Identitätsproviders unter „Service Provider XML“ (4).
Richten Sie nun Ihren SAML 2.0-Identitätsprovider (IdP) ein. Dieser Schritt kann leicht variieren, je nachdem, welchen IdP Sie verwenden.
Unabhängig davon, welchen Provider Sie verwenden, sollten Sie in diesem Schritt eine entsprechende SAML 2.0 IdP-Metadaten-XML-Datei herunterladen, die ein gültiges Zertifikat enthält, um diesen anschließend bei onlyfy hochladen zu können.
Benötigen Sie hierbei Hilfe? Wenden Sie sich bitte direkt an Ihren IT-Administrator.
Den Link zu den entsprechenden Anleitungen finden Sie in dieser Übersicht:
Identitätsprovider | Link zur Anleitung |
---|---|
Google Workspace (ehemals Apps for Work oder G Suite) | Benutzerdefinierte SAML-App einrichten |
Microsoft Active Directory with AD FS (Active Directory Federation Service) |
Einen SAML 2.0-Anbieter für Portale mithilfe von AD FS konfigurieren |
Microsoft Azure AD |
Einen SAML 2.0-Anbieter für Portale mithilfe von Azure AD konfigurieren |
OneLogin | Verwendung von OneLogin als SAML-Identitätsprovider |
Die XML-Metadaten-Datei des Identitätsproviders sollte das folgende Format haben. Dies ist ein Beispiel von Google Workspace:
<?xml version="1.0" encoding="UTF-8" standalone="no"?> <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://accounts.google.com/o/saml2" validUntil="2022-02-28T14:34:20.000Z"> <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <md:KeyDescriptor use="signing"> <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate>CERTIFICATE</ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://accounts.google.com/o/saml2/idp"/> <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://accounts.google.com/o/saml2/idp"/> </md:IDPSSODescriptor> </md:EntityDescriptor>
-
Metadata XML File
- WantAuthnRequestsSigned sollte false sein!
- Bei der Konfiguration von Windows Azure sollte die „Reply URL“ die ACS-URL (AssertionConsumerService) sein, die in der, unter Schritt 2 beschriebenen, XML-Datei zu finden ist.
-
SAML Antwort
- Die Hauptaussage muss die Authentifizierungsaussage enthalten: AuthnStatement.
- Das Attribut InResponseTo muss enthalten sein und sollte die ID aus der SAML-Anfrage enthalten.
Die folgenden Schritte setzen voraus, dass Sie eine gültige SAML 2.0 IdP-Metadaten-Datei (Zertifikat) erstellt haben.
Schritt 3: Gehen Sie im Bewerbungsmanager zu „Einstellungen“ (1) > „Integration“ (2) > „Single Sign-On“ (3) und klicken Sie auf „Identity Provider hinzufügen“ (4).
Füllen Sie die erforderlichen Informationen aus und beachten Sie dabei die folgenden Felder:
- USER ATTRIBUTE: Dieses Feld legt fest, welches Attribut der Benutzer·innen vom Bewerbungsmanager für die Authentifizierung verwendet wird: E-Mail oder Active Directory Name.
- SAML-RESPONSE ATTRIBUTE: In diesem Feld können Sie auswählen, welches XML-Antwortattribut (das die Identifizierungsinformationen enthält) wir für die Authentifizierung verwenden sollen. Die folgenden Optionen sind verfügbar:
- Subject Name-ID
Zum Beispiel:<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">user@example.com</saml:NameID>
- Custom Attribute Statement
Im Falle einer benutzerdefinierten Attributangabe muss der Name mit der Konfiguration Ihres Identitätsproviders übereinstimmen. Zum Beispiel: Wenn Sie ein Benutzerfeld mit dem Namen „EmailAddress“ verwenden (dies ist in vielen Fällen der Standard), muss es in der SAML-Konfiguration vom Bewerbungsmanager denselben Namen haben. Einige Lösungen von Identitätsprovidern verwenden das vollständige URL-Schema als Namenskonvention, zum Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
- METADATA DATEI: Laden Sie in dieses Feld Ihre Metadaten-Datei hoch.
Nachdem Sie alles ausgefüllt haben, klicken Sie auf „Speichern“ und melden Sie sich vom Bewerbungsmanager ab. Nun sollten Sie sich mit Ihrem konfigurierten Identitätsprovider anmelden können.
Nach der Konfiguration
- Wenn Sie Google Workspace (ehemals Apps for Work oder G Suite) als Identitätsprovider verwenden, kann es bis zu 24 Stunden dauern, bis neue Konfigurationen oder Änderungen vom Anbieter aktiviert werden.
- Standardmäßig führt das Hinzufügen eines SAML 2.0 Identitätsproviders zur Deaktivierung der Möglichkeit, sich manuell mit den Bewerbungsmanager Anmeldedaten einzuloggen. Wenn Sie beide Anmeldemöglichkeiten gleichzeitig anbieten möchten, kontaktieren Sie bitte unser Customer Service Team.
Troubleshooting
-
404 Fehler: Haben Sie sich erfolgreich angemeldet, wurden anschließend zum Bewerbungsmanager weitergeleitet und erhalten nun die Fehlermeldung „404“? So überprüfen Sie bitte, ob der Benutzername (in den meisten Fällen die E-Mail-Adresse) des Benutzers oder der Benutzerin mit dem in Ihrem Verzeichnis (Active Directory) übereinstimmt. Prüfen Sie auch, ob der Benutzername in Ihrer SAML-Antwort im richtigen SAML-Attribut (NameID oder benutzerdefiniertes Attribut) gemäß Ihrer Bewerbungsmanager Konfiguration übergeben wird.
-
Sonstige Fehler: Wenn Sie alles gemäß unseren Richtlinien konfiguriert haben und dennoch Fehler auftreten, wenden Sie sich bitte an unser Customer Service Team. Um Ihr Problem schneller lösen zu können, versuchen Sie uns bitte, die folgenden Informationen zu übermitteln:
- Datum und Uhrzeit, zu der der SSO/SAML-Anmeldeprozess gestartet wurde. Wann haben Sie auf die SSO-Schaltfläche in unserer Anmeldemaske geklickt?
- Datum und Uhrzeit, zu der Sie zu unserer ACS-URL weitergeleitet wurden.
- Wenn möglich: Bitte fügen Sie die unverschlüsselte SAML-Antwort bei.