Externe Authentifizierung konfigurieren

Überblick

Im Arbeitsbereich Externe Authentifizierung der Lucanet CFO Solution Platform können Sie die Aktivierung oder Deaktivierung eines neuen externen Identity Providers konfigurieren. Die separate Pflege eines Kennworts für den Zugriff auf die CFO Solution Platform kann dann entfallen.

Für die Lucanet CFO Solution Platform ist die externe Authentifizierung mit OIDC (OpenID Connect) und mit SAML (Security Assertion Markup Language) möglich.

Externe Authentifizierung aktivieren

So aktivieren Sie die externe Authentifizierung für die Lucanet CFO Solution Platform:

  1. Klicken Sie auf Administration.
  2. Öffnen Sie in der Platform-Verwaltung den Arbeitsbereich Externe Authentifizierung:
    Arbeitsbereich 'Externe Authentifizierung' öffnen
  3. Aktivieren Sie das Kontrollkästchen Externe Authentifizierung aktivieren.
  4. Wählen Sie das zu verwendende Authentifizierungsverfahren und konfigurieren Sie es anschließend:
  5. Klicken Sie auf Anwenden, um Ihre Konfiguration zu speichern.
Externe Authentifizierung konfigurieren

Die zu konfigurierenden Optionen hängen davon ab, welches Authentifizierungs­ver­fahren Sie gewählt haben.

OIDC konfigurieren

Wenn Sie als Authentifizierungsmethode OIDC gewählt haben, werden folgende Optionen angezeigt:

So konfigurieren Sie die externe Authentifi­zierung mit OIDC:

Externe Authentifizierung mit den Optionen zur Konfiguration von 'OIDC'. Optionen für die Konfiguration von 'OIDC'

Option

Beschreibung


Client-ID

Geben Sie die ID des OIDC-Clients ein.

Der Client kann durch verschiedene Konzepte in verschiedenen Identity Providern repräsentiert werden, z. B.:

  • App-Registrierung (Microsoft Entra ID)
  • OIDC-App-Integration (Okta)

Geheimer Client-Schlüssel

Geben Sie den geheimen Schlüssel (Client Secret) für den OIDC-Client ein.


Aussteller-URL

URL für die OIDC-Implementierung Ihres Identity Providers. Die Aussteller-URL (Issuer-URL) ist die Basisadresse, von der aus die bekannten Metadaten-Endpunkte (einschließlich der OIDC-Konfiguration und des JSON-Webschlüsselsatzes) zugänglich sind.

Jeder Identity Provider verwendet ein anderes Format für die Issuer-URL, z. B.:

  • Microsoft Entra ID: https://login.micro​softonline.com/​<ihre-tenant-id>/​v2.0
  • Okta: https://<ihre-okta-domain>/​oauth2/default

Geben Sie die Issuer ID Ihres Identity Providers an.


Autorisierte Bereiche

Die autorisierten Bereiche (Authorized Scopes) stellen die Ebene des Zugriffs auf die Profile Ihrer Benutzer dar, die von der Lucanet CFO Solution Platform angefordert wird. Dies muss im OIDC-Client korrekt konfiguriert sein.

Kopieren Sie die angezeigten Authorized scopes und fügen Sie sie in die Konfiguration Ihres OIDC-Clients ein.


Sign-in Umleitungs-URL(s)

Die Sign-in Umleitungs-URL(s) (Sign-in redirect URL) ist die Adresse, zu der die Benutzer nach der Authentifizierung bei Ihrem Identity Provider weitergeleitet werden. Die Sign-in redirect URL muss im OIDC-Client konfiguriert werden.

Kopieren Sie die angezeigte Sign-In Umleitungs-URL und fügen Sie sie in die Konfiguration Ihres OIDC-Clients ein.


SAML konfigurieren

Wenn Sie als Authentifizierungsmethode SAML gewählt haben, werden folgende Optionen angezeigt:

Externe Authentifizierung mit den Optionen zur Konfiguration von 'SAML'. Optionen für die Konfiguration von 'SAML'

So konfigurieren Sie die externe Authentifi­zierung mit SAML:


Option

Beschreibung


URL des Metadaten­dokuments

Die Metadaten-URL ist die Adresse, über die das SAML-Konfigurations­dokument zugänglich ist.

Geben Sie die Metadaten-URL für die SAML-Implementierung Ihres Identity Providers an.

Jeder Identity Provider verwendet ein anderes Format für die Metadaten-URL, z. B.:

  • Microsoft Entra ID: https://login.micro​softonline.com/​<Ihre-Tenant-ID>/​Federation​Metadata/​2007-06/​Federation​​Metadata.xml
  • Okta: https://<Ihre-Okta-Domäne>/​app/​<app-instance-id>/​sso/saml/​metadata

Attribut

  • Der Name des E-Mail-Attributs, das von Ihrem Identity Provider an die Lucanet CFO Solution Platform gesendet wird.
  • Der kanonische Name lautet: http://schemas.​xmlsoap.org/​ws/​2005/​05/​identity/​claims/​emailaddress

Antwort-URL

  • Die Reply URL, an die die SAML-Antwort von Ihrem Identity Provider gesendet wird. Die Reply URL muss in der SAML-Integration für die Lucanet CFO Solution Plattform konfiguriert werden.
  • Die Reply URL wird auch als Assertion Consumer Service (ACS)-URL oder Single Sign-On-URL bezeichnet.
  • Die SAML-Integration kann durch verschiedene Konzepte in verschiedenen Identity Providern repräsentiert werden, z. B.:
    • Microsoft Entra ID: App-Registrierung
    • Okta: SAML-App-Integration

Kopieren Sie die angezeigte Reply URL und fügen Sie sie in Ihre SAML-Integration ein.

 


Entity ID

Der eindeutige Bezeichner für den Service Provider für die Lucanet CFO Solution Platform. Der Service Provider muss in der SAML-Integration für die Lucanet CFO Solution Plattform konfiguriert werden.

Kopieren Sie die angezeigte Entity ID und fügen Sie sie in die SAML-Konfiguration Ihres Service Providers ein.


Damit die externe Authentifizierung von Benutzern verwendet werden kann, muss die externe Authentifizierung in einem weiteren Schritt in den Eigenschaften der gewünschten Benutzer aktiviert werden. 

Navigieren dazu Sie in den Arbeitsbereich Benutzer und bearbeiten Sie dort die Eigenschaften der Benutzer, die sich mithilfe von externer Authentifizierung in der Lucanet CFO Solution Platform anmelden sollen. Weitere Informationen dazu finden Sie unter Benutzer für die Lucanet CFO Solution Platform anlegen und bearbeiten.