Single Sign-on mit SAML

Hinweis

Die Verfügbarkeit dieser Funktion hängt von der Lizenz der Opendatasoft-Domain ab.

Registrierung Ihres SAML-Providers auf Ihrer Domain

Step 1: Allow access for SAML users

Aktivieren Sie SAML, damit die Authentifizierung für Ihre Portalbenutzer an Ihren eigenen Identitätsdienst übertragen werden kann.

  1. Öffnen Sie im Backoffice den Bereich Konfiguration > Anmeldung.

  2. Aktivieren Sie Zugang für SAML-Benutzer zulassen.

Es wird eine Liste der Konfigurationseinstellungen wird angezeigt:

SAML identity provider configuration interface

Step 2: Configure SAML settings

  1. Kopieren Sie Ihr Identity Provider Metadatendokument in das Feld "Identity Provider (IDP) Metadatendokument".

  2. Wenn Sie die Erstellung lokaler Benutzer deaktivieren und damit sicherstellen möchten, dass nur bereits vorhandene Benutzer über SAML eine Verbindung zur Plattform herstellen können, so aktivieren Sie Lokale Benutzerbereitstellung deaktivieren.

  3. Geben Sie den vom Identity Provider gesandten Attributsatz ein, der nur einen Benutzer definiert, in das entsprechende Feld ein:

    • Wenn Ihre Benutzer beispielsweise durch die von Ihrem Identitätsanbieter übermittelten Attribute Vorname und Nachname definiert sind, geben Sie Vorname in das Feld ein und klicken Sie auf +. Geben Sie dann Nachname in das erscheinende Feld ein und klicken Sie auf +.

    • Falls die Benutzer durch ihre "NameID" definiert werden und das "NameID"-Format Ihres Identity Providers nicht transient ist, kann das Feld leer gelassen werden.

  4. Geben Sie die Attributzuweisungen für den Benutzernamen, Nachnamen, Vornamen und die E-Mail-Adresse in die entsprechenden Felder ein. In diesem Schritt müssen Sie die Feldnamen so angeben, wie sie vom Identitätsanbieter gesendet werden:

    • Wenn Ihr Identity Provider beispielsweise den Vornamen des verbundenen Benutzers in einem Attribut namens "GivenName" übermittelt, ist es dieser Name, den Sie in das Feld "Vorname" eingeben müssen.

    • Falls Ihr Identity Provider Ihnen nicht alle diese Elemente sendet, lassen Sie die entsprechenden Felder bitte frei. Die Plattform generiert sie automatisch auf Grundlage anderer verfügbarer Attribute.

  5. Geben Sie eine Zusatzbedingung ein.

    • Geben Sie in das Feld Attribut für die Bedingung den Namen des Attributs ein, das geprüft werden soll.

    • Geben Sie in das Feld Wert, der vorhanden sein muss den Wert für dieses Attribut ein. Wenn Sie nur das Vorhandensein eines Attributs prüfen möchten, ohne Wertbegrenzung, können Sie das zweite Feld einfach leer lassen.

    Wenn Ihr Identity Provider zum Beispiel eine Liste mit Rollen für die Benutzer sendet und Sie wollen, dass nur Benutzer mit einer Rolle eine Verbindung zur Domain herstellen können, geben Sie Rollen in das Feld Attribut für die Bedingung ein. Wenn Sie möchten, dass nur Benutzer mit der Rolle DataAccess sich mit der Domain verbinden können, geben Sie DataAccess in das Feld Wert, der vorhanden sein muss ein.

    Hinweis

    Wenn Sie beide Felder leer lassen, wird keine Bedingung festgelegt. Jede erfolgreiche Anmeldung beim Identity Provider löst eine Anmeldung auf Ihrer Opendatasoft-Domain aus.

  6. Geben Sie in das Feld URL für SAML-Benutzerkontenkonfiguration die URL ein, unter der ein Benutzer sein Benutzerprofil beim Identity Provider bearbeiten kann.

  • Wenn diese Option aktiviert ist, wird dem Benutzer auf der Seite seines Benutzerkontos ein Link zu dieser URL angezeigt.

  • Wird sie nicht aktiviert, wird dem Benutzer auf seiner Kontoseite keine URL angezeigt.

  1. Geben Sie eine benutzerdefinierte EntityID für den Service Provider ein.

    • Wenn keine Eingabe erfolgt, wird die URL aus dem Metadaten-Dokument des Service Providers als EntityID verwendet.

    • Wenn Ihr Identity Provider keine EntityIDs im URL-Format unterstützt, können Sie hier eine beliebige andere EntityID festlegen.

  2. Passen Sie den Text für den Link zum SAML-Login an. Wenn keine Eingabe erfolgt, wird eine Standardnachricht in der verwendeten Sprache angezeigt.

Registrierung Ihrer Domain bei Ihrem Identity Provider

Die Konfiguration des Identity Providers hängt von der Implementierung ab. Sie umfasst jedoch in jedem Fall den Import des Metadatendokuments des Service Providers, um einen Identitätsverbund zu ermöglichen.

Sie können das Metadatendokument für Ihre Opendatasoft-Domain auf https://<YOUR DOMAIN>/saml2/metadata.xml herunterladen.

Single Log-out

Die Opendatasoft-Plattform unterstützt das standardmäßigen SAML Single Log-out-Verfahren unter Einsatz der HTTP-Redirect-Bindung:

  1. Wenn dies vom Identity Provider unterstützt wird, löst die Abmeldung eines über SAML verbundenen Benutzers eine Abmeldung beim Identity Provider aus.

  2. Die Abmeldeanfrage des Identity Providers führt zur Abmeldung des Benutzers auf der Plattform.