SAML-Authentifizierung
Konfiguration: DOC -> Administration -> Konten -> SAML-Authentifizierung
SAML ist ein offener Standard zur Authentifizierung, mit dem ein Single Sign On (SSO) realisiert werden kann. Das bedeutet, dass Sie sich z.B. bei Azure AD anmelden und als Benutzer authentifizieren und diese Anmeldung vom DriveLock Operations Center (DOC) verwendet wird und somit dort keine zusätzliche Anmeldung per E-Mail und Kennwort mehr nötig ist. Bei SAML spricht man von Identity Providern und Service Providern. Azure AD ist im Beispiel der Identity Provider. Der Service Provider ist immer DriveLock. Damit die Anmeldung per SAML am DOC gelingen kann, muss das E-Mail-Konto, mit dem Sie sich am Identity Provider anmelden, im DOC auch als Konto verfügbar sein.
Speziell im Fall von Azure AD wird auch eine Anmeldung über eine Gruppenzugehörigkeit zu einer Azure AD-Gruppe unterstützt. In diesem Fall muss die Azure AD-Synchronisation eingerichtet sein und im DOC eine Rollenzuweisung auf eine Azure AD-Gruppe existieren. Nach der Anmeldung per SAML wird dann automatisch ein Konto für den Azure AD-Benutzer auf DOC-Seite angelegt. Um das zu erreichen, muss zuerst im DOC die SAML-Authentifizierung konfiguriert werden. Danach konfigurieren Sie die Azure AD-Integration und verweisen dort auf die SAML Konfiguration.
Konfiguration
Damit die SAML SSO-Anmeldung im DOC funktionieren kann, müssen sowohl im DOC als auch in Ihrem Identity Provider Konfigurationsschritte durchgeführt werden.
In der Konfiguration Ihres Identity Provider müssen Sie eine Eingabemöglichkeit für die "Redirect URI" oder auch Callback-URL finden und auf den Wert setzen, den das DOC Ihnen im Abschnitt Identity Provider anzeigt.
Stellen Sie sicher, dass der Identity Provider unter den Claims die E-Mail-Adresse enthält. Hier wird von DriveLock standardmäßig nach dem Standard-Claim ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress") gesucht. Wenn Ihr Identity Provider die E-Mail-Adresse unter einem anderen Claim zurückliefert, können Sie das im DOC ebenfalls im Abschnitt Identity Provider angeben.
Damit ist die Konfiguration des Identity Provider abgeschlossen. Suchen Sie im Identity Provider jetzt nach einer Möglichkeit die Konfiguration als "Federation metadata document" herunterzuladen. Dies ist ein XML Dokument, dass mit "<EntityDescriptor…" beginnt.
Fügen Sie das XML im DOC im Abschnitt Identity-Provider-Metadaten ein.
Wenn Ihr Identity Provider auf einer bestimmten Entity-ID besteht, können Sie diese im DOC im Abschnitt Service Provider eintragen. Zum Beispiel muss bei Azure AD dieser Wert auf die Application (Client) ID gesetzt werden. Andere Provider wie z.B. Auth0 funktionieren mit dem voreingetragenen Wert.
Problemlösung
In manchen Fällen ist die Konfiguration nicht erfolgreich. Um weitere Informationen zu einer möglichen Fehlkonfiguration zu erhalten, wählen Sie im DOC im Abschnitt Allgemein die Option Aktivieren Sie den Debug-Modus [...].
Mit dieser Option werden im Fehlerfall unterhalb der DOC-Anmeldemaske mögliche Ursachen aufgelistet. Hier können Sie herausfinden, ob beispielsweise die E-Mail-Adresse weder in den Anmeldedaten (Claims) noch unter dem erwarteten Namen vorhanden ist. Das DOC zeigt die übermittelten Claims an und ermöglicht so eine Analyse.