Externe Authentifizierung konfigurieren
Zuletzt geändert am 29.11.2024
Überblick
Im Arbeitsbereich Externe Authentifizierung der Lucanet CFO Solution Platform können Sie die Aktivierung oder Deaktivierung eines neuen externen Identity Providers konfigurieren. Die separate Pflege eines Kennworts für den Zugriff auf die CFO Solution Platform kann dann entfallen.
Für die Lucanet CFO Solution Platform ist die externe Authentifizierung mit OIDC (OpenID Connect) und mit SAML (Security Assertion Markup Language) möglich.
Dieser Artikel enthält folgende Abschnitte:
Externe Authentifizierung aktivieren
So aktivieren Sie die externe Authentifizierung für die Lucanet CFO Solution Platform:
- Klicken Sie auf Administration.
- Öffnen Sie in der Platform-Verwaltung den Arbeitsbereich Externe Authentifizierung:
Arbeitsbereich 'Externe Authentifizierung' öffnen - Aktivieren Sie das Kontrollkästchen Externe Authentifizierung aktivieren.
- Wählen Sie das zu verwendende Authentifizierungsverfahren und konfigurieren Sie es anschließend:
- OIDC (siehe OIDC konfigurieren)
- SAML (siehe SAML konfigurieren)
- Klicken Sie auf Anwenden, um Ihre Konfiguration zu speichern.
Externe Authentifizierung konfigurieren
Die zu konfigurierenden Optionen hängen davon ab, welches Authentifizierungsverfahren Sie gewählt haben.
OIDC konfigurieren
Wenn Sie als Authentifizierungsmethode OIDC gewählt haben, werden folgende Optionen angezeigt:
Option
Beschreibung
Client-ID
Geben Sie die ID des OIDC-Clients ein.
Der Client kann durch verschiedene Konzepte in verschiedenen Identity Providern repräsentiert werden, z. B.:
- App-Registrierung (Microsoft Entra ID)
- OIDC-App-Integration (Okta)
Geheimer Client-Schlüssel
Geben Sie den geheimen Schlüssel (Client Secret) für den OIDC-Client ein.
Aussteller-URL
URL für die OIDC-Implementierung Ihres Identity Providers. Die Aussteller-URL (Issuer-URL) ist die Basisadresse, von der aus die bekannten Metadaten-Endpunkte (einschließlich der OIDC-Konfiguration und des JSON-Webschlüsselsatzes) zugänglich sind.
Jeder Identity Provider verwendet ein anderes Format für die Issuer-URL, z. B.:
- Microsoft Entra ID: https://login.microsoftonline.com/<ihre-tenant-id>/v2.0
- Okta: https://<ihre-okta-domain>/oauth2/default
Geben Sie die Issuer ID Ihres Identity Providers an.
Autorisierte Bereiche
Die autorisierten Bereiche (Authorized Scopes) stellen die Ebene des Zugriffs auf die Profile Ihrer Benutzer dar, die von der Lucanet CFO Solution Platform angefordert wird. Dies muss im OIDC-Client korrekt konfiguriert sein.
Kopieren Sie die angezeigten Authorized scopes und fügen Sie sie in die Konfiguration Ihres OIDC-Clients ein.
Sign-in Umleitungs-URL(s)
Die Sign-in Umleitungs-URL(s) (Sign-in redirect URL) ist die Adresse, zu der die Benutzer nach der Authentifizierung bei Ihrem Identity Provider weitergeleitet werden. Die Sign-in redirect URL muss im OIDC-Client konfiguriert werden.
Kopieren Sie die angezeigte Sign-In Umleitungs-URL und fügen Sie sie in die Konfiguration Ihres OIDC-Clients ein.
Option
Beschreibung
URL des Metadatendokuments
Die Metadaten-URL ist die Adresse, über die das SAML-Konfigurationsdokument zugänglich ist.
Geben Sie die Metadaten-URL für die SAML-Implementierung Ihres Identity Providers an.
Jeder Identity Provider verwendet ein anderes Format für die Metadaten-URL, z. B.:
- Microsoft Entra ID: https://login.microsoftonline.com/<Ihre-Tenant-ID>/FederationMetadata/2007-06/FederationMetadata.xml
- Okta: https://<Ihre-Okta-Domäne>/app/<app-instance-id>/sso/saml/metadata
Attribut
- Der Name des E-Mail-Attributs, das von Ihrem Identity Provider an die Lucanet CFO Solution Platform gesendet wird.
- Der kanonische Name lautet: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Antwort-URL
- Die Reply URL, an die die SAML-Antwort von Ihrem Identity Provider gesendet wird. Die Reply URL muss in der SAML-Integration für die Lucanet CFO Solution Plattform konfiguriert werden.
- Die Reply URL wird auch als Assertion Consumer Service (ACS)-URL oder Single Sign-On-URL bezeichnet.
- Die SAML-Integration kann durch verschiedene Konzepte in verschiedenen Identity Providern repräsentiert werden, z. B.:
- Microsoft Entra ID: App-Registrierung
- Okta: SAML-App-Integration
Kopieren Sie die angezeigte Reply URL und fügen Sie sie in Ihre SAML-Integration ein.
Entity ID
Der eindeutige Bezeichner für den Service Provider für die Lucanet CFO Solution Platform. Der Service Provider muss in der SAML-Integration für die Lucanet CFO Solution Plattform konfiguriert werden.
Kopieren Sie die angezeigte Entity ID und fügen Sie sie in die SAML-Konfiguration Ihres Service Providers ein.
Damit die externe Authentifizierung von Benutzern verwendet werden kann, muss die externe Authentifizierung in einem weiteren Schritt in den Eigenschaften der gewünschten Benutzer aktiviert werden.
Navigieren dazu Sie in den Arbeitsbereich Benutzer und bearbeiten Sie dort die Eigenschaften der Benutzer, die sich mithilfe von externer Authentifizierung in der Lucanet CFO Solution Platform anmelden sollen. Weitere Informationen dazu finden Sie unter Benutzer für die Lucanet CFO Solution Platform anlegen und bearbeiten.