Zum Hauptinhalt gehen

Einführung in Single Sign-On (SSO)

Durch Single Sign-on (SSO) wird der Zugriff auf mehrere miteinander verwandte, jedoch unabhängige Softwaresysteme kontrolliert. Es ermöglicht dem Benutzer, sich einmalig im Unternehmensnetzwerk anzumelden und auf alle Systeme zuzugreifen, ohne dass er sich erneut bei jedem einzelnen System anmelden muss. Weitere allgemeine Informationen zu SSO finden Sie im Wikipedia-Artikel zu Single Sign-On.

Das System von Chrome River unterstützt SSO mittels SAML. SAML ist eine standardisierte Methode, die den Austausch von in XML-Dokumenten vorliegenden Authentifizierungsnachrichten zwischen dem Identity Provider (IdP) oder dem Service Provider (SP) und dem Benutzer vereinfacht. Die Authentifizierung verleiht dem Benutzer Zugriff auf mehrere Software-Portale außerhalb des Intranet-Zugangspunktes eines Unternehmens, ohne dass eine erneute Anmeldung erforderlich ist.

Derzeit bietet Chrome River IdP- und SP-initiierte SAML-Dienste, einschließlich der SAML-Versionen 1.1 und 2.0. Mithilfe eines X.509-Zertifikats unterstützen wir für SAML 2.0 zudem die Verschlüsselung der IdP-Assertion in der SAML-Authentifizierungs-Antwort. Durch die Möglichkeit der Verschlüsselung der IdP-Assertion können Sicherheitsschwachstellen behoben werden. Nicht autorisierte Nutzer, die sich als autorisierte Nutzer ausgeben, werden durch das Abfangen der IdP-Assertion-Nachricht aufgedeckt. Weitere allgemeine Informationen zu SAML 2.0 können Sie dem Wikipedia-Artikel SAML 2.0 entnehmen.

SSO mit Chrome River konfigurieren

Schritt 1: Eröffnen Sie einen Support-Fall

Um einen SAML-Authentifizierungsdienst für Chrome River zu nutzen, senden Sie eine Helpdesk-Anfrage an den Support von Chrome River. Bitte stellen Sie sicher, dass Sie die folgenden Angaben als Teil Ihrer Anfrage angeben:

  • Name des Identity-Providers (z. B. Okta, Microsoft ADFS, OneLogin, Azure Active Directory)

  • SSO-Metadaten vom Identity-Provider

  • Die Metadaten werden in der Regel als XML-Datei in den Einstellungen Ihres Identity-Providers bereitgestellt.

  • Die Metadaten müssen mindestens das X.509-Zertifikat und die IdP SAML Redirect URL enthalten.

Schritt 2: Überprüfen Sie die Firewall-Einstellungen

In Ihrem Chrome River Helpdesk-Fall können Sie die Produktions- und ggf. QS/UAT-Hostnamen anfordern, von denen aus Chrome River Nachrichten versendet. Bitte sorgen Sie dafür, dass die Firewall Ihres Unternehmens diesen Adressen den Zugang erlaubt.

Schritt 3: Vervollständigen Sie die Konfiguration innerhalb der Identity-Provider-Einstellungen

1. Stellen Sie im Identity-Provider-Server eine Verbindung zum Chrome River-System her. Ihr Ansprechpartner vom Chrome River Helpdesk stellt Ihnen die folgenden Informationen zur Verfügung:

  • Listen-ID

  • Assertion Consumer Service (Antwort-URL)

2. Fügen Sie ein Authentifizierungsattribut hinzu: E-Mail-Adresse, Unique ID oder Benutzername.

3. Stellen Sie sicher, dass die neu erstellte SSO-App den entsprechenden Benutzern zugewiesen ist.

Zusätzliche Konfigurationsdetails für verbreitete Identity-Provider

Microsoft Azure Active Directory (AD)

  • Erstellen Sie eine neue benutzerdefinierte SSO-App mithilfe der Azure AD-Einrichtungsanleitung.

  • Kennung (Listen-ID) und Antwort-URL (Werte werden von Chrome River bereitgestellt).

  • Für Benutzerattribute und Ansprüche: Der ausgewählte Attributwert muss mit der E-Mail-Adresse, der eindeutigen Mitarbeiter-ID oder dem Benutzernamen in den Chrome-River-Profilen Ihrer Benutzer übereinstimmen.

  • Wenn Sie z. B. „user.userprincipalname“ wählen, muss dieser Wert entweder mit der E-Mail-Adresse, der eindeutigen Mitarbeiter-ID oder dem Benutzernamen in Chrome River übereinstimmen.

Microsoft Active Directory Federation Services (ADFS)

  • Erstellen Sie eine neue benutzerdefinierte SAML-SSO-App.

  • Füllen Sie die Relying Party Identifier aus (Werte werden von Chrome River bereitgestellt).

  • Fügen Sie SAML Assertion Consumer Endpoints hinzu (Werte werden von Chrome River bereitgestellt).

  • Fügen Sie Anspruchsregeln hinzu: Senden Sie Benutzerattribut als NameID (ausgehender Typ).

  • Stellen Sie sicher, dass der ausgewählte Attributwert in Ihren Anspruchsregeln mit der E-Mail-Adresse, der eindeutigen Mitarbeiter-ID oder dem Benutzernamen in den Chrome-River-Profilen Ihrer Benutzer übereinstimmt.

  • Zum Beispiel: E-Mail in ADFS = E-Mail in Chrome River.

Okta

  • Richten Sie eine neue benutzerdefinierte SAML-App ein.

  • Geben Sie die ACS-URL und die Listen-ID ein (Werte werden von Chrome River bereitgestellt).

  • Geben Sie das NameID-Format an (entweder EmailAddress oder unspecified).

  • Stellen Sie sicher, dass der ausgewählte Attributwert mit der E-Mail-Adresse, der eindeutigen Mitarbeiter-ID oder dem Benutzernamen in den Chrome-River-Profilen Ihrer Benutzer übereinstimmt.

  • Zum Beispiel: E-Mail in Okta = E-Mail in Chrome River.

OneLogin

  • Richten Sie eine neue benutzerdefinierte SAML-App ein.

  • Fügen Sie die CustomerID, den Ort und die Umgebung hinzu (Werte werden von Chrome River bereitgestellt).

  • Geben Sie Attributparameter an, z. B. NameID (unspecified).

  • Stellen Sie sicher, dass der ausgewählte Attributwert mit der E-Mail-Adresse, der eindeutigen Mitarbeiter-ID oder dem Benutzernamen in den Chrome-River-Profilen Ihrer Benutzer übereinstimmt.

  • Zum Beispiel: E-Mail in OneLogin = E-Mail in Chrome River.

Workspace ONE

  • Erstellen Sie eine neue SAML-SSO-App.

  • Geben Sie die Single Sign-On-URL, die Empfänger-URL und die Anwendungs-ID an (Werte werden von Chrome River bereitgestellt).

  • Erweiterte Eigenschaften: Assertion-Signatur einbeziehen = Ja.

  • Assertion signieren = Nein

  • Antwort signieren = Ja

  • Stellen Sie sicher, dass der ausgewählte Attributwert mit der E-Mail-Adresse, der eindeutigen Mitarbeiter-ID oder dem Benutzernamen in den Chrome-River-Profilen Ihrer Benutzer übereinstimmt.

Shibboleth

  • Erstellen Sie eine neue SAML-SSO-App.

  • Fügen Sie Listen-ID und ACS-URL hinzu (Werte werden von Chrome River bereitgestellt).

  • Geben Sie an, dass der NameID-Wert mit dem CR-Profil übereinstimmen soll.

  • Stellen Sie sicher, dass der ausgewählte NameID-Attributwert mit der E-Mail-Adresse, der eindeutigen Mitarbeiter-ID oder dem Benutzernamen in den Chrome-River-Profilen Ihrer Benutzer übereinstimmt.

  • Zum Beispiel: EmployeeID in Shibboleth = UniqueID in Chrome River.

  • Bitte geben Sie den Authentifizierungsfaktor für NameID an.

  • Zum Beispiel: urn:oid:0.9.2342.19200300.100.1.3 (dies ist nicht erforderlich, wenn das NameID-Format unspecified ist).

Schritte für Test und Validierung

1. Bestätigen Sie die Einrichtung des Benutzerkontos

  1. Überprüfen Sie, ob die Benutzer, die SSO testen sollen, über Konten sowohl in Chrome River als auch bei Ihrem Identity-Provider verfügen.

  2. Stellen Sie sicher, dass in den Einstellungen Ihres Identity-Providers die neu konfigurierte Chrome-River-SSO-App den Benutzern zugewiesen ist, die sie testen werden.

2. Fordern Sie die Aktivierung der SSO-Verbindung für Validierungstests an.

Nachdem Sie die Konfigurationsschritte abgeschlossen haben, kontaktieren Sie Chrome River über Ihre ursprüngliche SSO-Anfrage im Helpdesk, um die Aktivierung der SSO-Verbindung zum Testen zu beantragen.

Wenn die SSO-Verbindung zu Testzwecken aktiviert wird, bleibt der manuelle Chrome-River-Anmeldebildschirm funktionsfähig, um sicherzustellen, dass der Zugriff aktueller Benutzer nicht beeinträchtigt wird.

Hinweis: Die SSO-Testverbindung wird nach ein paar Tagen automatisch deaktiviert.

Wenn der Testzeitraum abläuft, bevor Sie die Einrichtung validieren können, wenden Sie sich über Ihre SSO-Helpdesk-Anfrage an Chrome River, um die Testverbindung erneut zu aktivieren.

3. Validieren Sie die Konfiguration durch Testen mit dem SSO-Login-Link.

Lassen Sie Ihre Testbenutzer einer SSO-Login-URL für die Chrome-River-Anwendung in ihren Desktop-Browsern folgen. Die SSO-Login-URL unterscheidet sich von der generischen URL, welche die Benutzer zur manuellen Chrome-River-Anmeldeseite leitet.

SSO kann mit einem von zwei Anmeldelinks getestet werden:

  • Für IdP-initiiertes SSO können Sie die von Ihrem Identity-Provider bereitgestellte Login-URL verwenden. Abhängig von Ihrem Identity-Provider wird diese Option möglicherweise auf einem Intranet-Dashboard mit Ihren anderen SaaS-Anwendungen angezeigt.

  • Für SP-initiiertes SSO stellt Chrome River Ihnen eine spezielle SSO-Login-URL zur Verfügung.

Hinweis: Für die Validierung der SSO-Konfiguration sollte ein Desktop-Browser verwendet werden.

Die SSO-Verbindung wird als gültig angesehen, wenn Ihre Testbenutzer nach dem Klicken auf den SSO-Anmeldelink erfolgreich in die Chrome-River-Anwendung gelangen.

Die SSO-Validierung auf dem Desktop sollte sicherstellen, dass SSO auch auf iOS und Android funktioniert, da das zugrunde liegende Authentifizierungsprotokoll und die beteiligten Server identisch sind.

4. Fordern Sie die vollständige Aktivierung von SSO und die abschließende Nachbearbeitung an

Nachdem Sie bestätigt haben, dass sich Ihre Testbenutzer erfolgreich über SSO bei Chrome River authentifizieren können, benachrichtigen Sie Chrome River bitte über Ihre Helpdesk-Anfrage, um die SSO-Aktivierung für Ihre Organisation zu koordinieren.

Bitte beachten Sie folgendes, sobald SSO vollständig aktiviert wurde:

  • Der manuelle Chrome-River-Anmeldebildschirm wird deaktiviert und alle Login-Anfragen werden ausschließlich über die SSO-Authentifizierung abgewickelt.
  • Dieselbe SSO-Login-URL, die während der Validierung und des Tests verwendet wurde, kann von Ihren Benutzern für die Anmeldung bei Chrome River per SSO verwendet werden.
  • Ihre Benutzer müssen die Chrome River App auf ihren Endgeräten (iOS und Android) deinstallieren und neu installieren.
  • Administratoren können das SSO-Zertifikat Ihres Unternehmens auf dem Admin-Bildschirm Single Sign-On aktualisieren.

Chrome River kann SSO je nach Bedarf ein- und ausschalten. Unter der Voraussetzung, dass die Konfiguration zuvor getestet und validiert wurde, sollte das Aktivieren und Deaktivieren von SSO keine Änderungen an dem zugrunde liegenden Setup erfordern.

Bitte wenden Sie sich über den Chrome River Helpdesk an uns, wenn Sie SSO aktivieren oder deaktivieren möchten.

Fehlermeldung „Falsche Benutzer-ID, Firmen-ID oder falsches Passwort“

Nachdem Benutzer auf die SSO-Login-URL geklickt haben, erscheint ein Chrome-River-Anmeldebildschirm mit der Fehlermeldung „Falsche Benutzer-ID, Firmen-ID oder falsches Passwort“.

Ursache 1: Übereinstimmender Benutzer konnte in Chrome River nicht gefunden werden.

1. Stellen Sie sicher, dass die Person ein Benutzerkonto in Chrome River hat und dieses auf „Aktiv“ oder „Ausstehend“ eingestellt ist.

2. Vergewissern Sie sich, dass Ihr Identity-Provider so konfiguriert ist, dass ein Attribut übertragen wird, das mit der E-Mail-Adresse, der eindeutigen Mitarbeiter-ID oder dem Benutzernamen in Chrome River übereinstimmt.

  • Wenn die E-Mail-Adresse fremdsprachige Zeichen oder Buchstaben mit Akzenten enthält, versuchen Sie, stattdessen die Mitarbeiter-ID zu verwenden, wenn möglich.

  • Möglicherweise ist eine Konfigurationsänderung bei Chrome River erforderlich, um die Authentifizierung über den Benutzernamen zu unterstützen. Bitte teilen Sie uns mit, wenn Sie diesen Wert übertragen, damit Chrome River seine Konfiguration entsprechend aktualisieren kann.

3. Stellen Sie sicher, dass nur ein einziges Attribut vom Identity Provider übertragen wird.

  • Dieses muss mit dem des Chrome River-Benutzerprofils übereinstimmen.

  • Das Feld NameID kann für jede der drei Optionen verwendet werden.

Ursache 2: Nicht übereinstimmendes Zertifikat – „Zugriff eingeschränkt. Benutzer existiert nicht. Bitte wenden Sie sich an Ihren Administrator, um ein Chrome River-Benutzerkonto einzurichten.“

Aktualisieren Sie das X.509-Zertifikat über den Chrome River Single Sign-On-Verwaltungsmenü:

  1. Navigieren Sie in Chrome River zu den Admin-Einstellungen und wählen Sie SICHERHEIT > SINGLE SIGN-ON.

  2. Blättern Sie nach unten zu Ihrem Sicherheitszertifikat und klicken Sie auf AKTUALISIERUNG.

  3. Geben Sie Ihren X.509-Zertifikatsschlüssel ein.

  4. Wenn es keine passende Übereinstimmung gibt, stellen Sie bitte sicher, dass keine Zeilenumbrüche oder zusätzlichen Leerzeichen vorhanden sind.

  5. Klicken Sie auf SPEICHERN.

Wenn Sie keinen Zugriff auf diesen Bildschirm haben, kann einer der Admin-Benutzer Ihrer Organisation die Aktualisierung für Sie vornehmen. Wenden Sie sich alternativ an den Chrome River Helpdesk und stellen Sie eine aktuelle Version Ihrer SSO-Metadaten-XML-Datei bereit, die in der Regel das X.509-Zertifikat enthält.

Identity-Provider-Fehler

Diese Art von Fehler tritt auf einer Webseite auf, die nicht von Chrome River gehostet wird, d. h. auf einer Seite, die von Ihrem Identity-Provider gehostet wird. Wenn dies geschieht, enthält die URL in der Adressleiste nicht „chromeriver.com“.

Ursache 1: Falsche Konfiguration innerhalb der Identity-Provider-Einstellungen

  • Vergewissern Sie sich, dass die ACS-URL (Umleitungs-URL) und die Listen-ID wie angewiesen eingerichtet sind.

  • Entfernen Sie alle Leerzeichen oder Schrägstriche am Anfang oder Ende der obigen URLs.

  • Versuchen Sie, die Listen-ID oder Antwort-URL in den SSO-Einstellungen Ihres Identity-Providers unter Verwendung der in der Fehlermeldung angezeigten URL zu ändern.

  • Im obigen Beispiel würden Sie http://www.chromeriver.com als Listen-ID oder Antwort-URL verwenden.

  • Konfigurieren Sie die SSO-App innerhalb Ihres Identity-Providers manuell als benutzerdefinierte SAML-SSO-App um, anstatt eine vorgefertigte SSO-Vorlagen-App zu verwenden.

Ursache 2: Netzwerkeinstellungen

  • Lassen Sie alle speziellen Netzwerkanforderungen von Ihrem IT-Team/Systemadministrator prüfen.

  • Ihr Netzwerk könnte z. B. ein VPN oder Firewall-Berechtigungen erfordern, damit SSO richtig funktioniert.

Ursache 3: Benutzerrollen und Zugriff

  • Stellen Sie sicher, dass Ihre Benutzer in den Einstellungen Ihres Identity-Providers Zugriff auf die SSO-Anwendung von Chrome River erhalten haben.

Meldung „Systemfehler 500“

Ursache: Ungültige IdP-URL

  • Eröffnen Sie eine Chrome River Helpdesk-Anfrage, um zu überprüfen, ob die im Chrome-River-System konfigurierte IdP-URL gültig ist und mit „http://“ beginnt.

Browser-Fehler „Diese Seite ist nicht erreichbar“

Ursache: Ungültige SP-initiierte Login-URL

  • Eröffnen Sie eine Chrome River Helpdesk-Anfrage, um zu überprüfen, ob die vom SP initiierte Login-URL gültig ist.

Zertifikatsauthentifizierung für die mobile Chrome River-App

Die Chrome River App unterstützt die zertifikatsbasierte Authentifizierung, mit der sich Benutzer bei Ihrem SSO und in der Chrome River App mit einem von Ihrem Mobile Device Management (MDM) bereitgestellten Identity-Provider-(IdP)- oder Service-Provider-(SP)-Zertifikat authentifizieren können, anstatt ihre SSO-Anmeldeinformationen einzugeben.

Ihr Unternehmen muss mit Ihrem MDM und IdP oder SP zusammenarbeiten, um

  1. ein IdP- oder SP-Zertifikat auf den Geräten der Benutzer zu installieren.

  2. Ihren IdP oder SP so zu konfigurieren, dass er das Zertifikat über einen Webbrowser akzeptiert.

Sobald diese beiden Kriterien erfüllt sind, können sich die Benutzer per Zertifikat bei der Chrome River App anmelden.

SSO für die mobile Chrome River-App

Sobald Sie SSO für Chrome River gemäß den obigen Schritten eingerichtet haben, können Sie es für die Chrome River-App konfigurieren.

SP vs. IdP

SP-initiiert ist die empfohlene Methode zur Implementierung von SSO für die Chrome River Mobilgeräte-App. Nur Kunden, die den SP-initiierten Zugriff konfigurieren (oder die Nicht-SSO-Anmeldung verwenden), können die Vorteile der verbesserten Benutzerfreundlichkeit und Sicherheit der Chrome River Mobilgeräte-App nutzen.

Bei Kunden mit IdP-initiierter mobiler Konfiguration ist die Länge der Websitzung der Benutzer identisch mit derjenigen, die Ihr Unternehmen für den Chrome River-Zugriff über den Webbrowser konfiguriert hat. Das bedeutet, dass sich die Benutzer häufiger anmelden müssen.

Um die Konfiguration Ihres Unternehmens von IdP auf SP umzustellen, eröffnen Sie einen Fall im Chrome River Helpdesk.

Für weitere Informationen zur Anmeldung bei der Chrome River Mobilgeräte-App klicken Sie hier.

Anmeldung und Sitzungsdauer

Die Dauer der Sitzung eines Benutzers in der mobilen Chrome River-App hängt davon ab, wie Ihr Unternehmen den Zugriff konfiguriert hat.

Standard-Anmeldung oder SP-initiiertes SSO

Wenn Ihr Unternehmen die Standardanmeldung für Chrome River oder die SP-initiierte SSO-Anmeldung (Single Sign-On) für die mobile Chrome River-App verwendet, bleiben Benutzer mindestens 30 Tage lang angemeldet. Die Sitzung wird bei jeder Nutzung der App um 30 Tage verlängert, bis zu einem Maximum von 90 Tagen.

Wenn die App 15 Minuten lang nicht genutzt wird, müssen die Benutzer sie über biometrische Daten oder die PIN ihres Geräts entsperren, aber sie müssen sich nicht erneut anmelden.

  • Hinweis: Benutzer, die keine Sicherheitsmethode auf ihren Geräten eingerichtet haben, können nicht über die 30-Tage-Sitzung angemeldet bleiben, da das Gerät nicht als sicher angesehen wird. Benutzer werden nach 15 Minuten Inaktivität vollständig abgemeldet.

IdP-initiiertes SSO 

Wenn Ihr Unternehmen die IdP-initiierte SSO-Anmeldung verwendet, ist die Sitzungsdauer in der mobilen Chrome River-App identisch mit der Sitzungsdauer, die Ihr Unternehmen für den Chrome River-Zugriff über den Webbrowser festgelegt hat. Standardmäßig beträgt diese Zeitspanne 1 Stunde, wobei eine maximale Sitzungsdauer von 12 Stunden konfigurierbar ist.

SSO für die mobile Emburse Chrome River-App

Sobald Sie SSO für Chrome River gemäß den obigen Schritten eingerichtet haben, können Sie es für die mobile Emburse Chrome River-App konfigurieren.

SP vs. IdP

SP-initiiert ist die empfohlene Methode zur Implementierung von SSO für die Emburse Chrome River-App, aber Ihr Unternehmen kann möglicherweise eine IdP-initiierte mobile Konfiguration verwenden. Sie müssen testen, ob Ihre IdP-initiierte Einrichtung während Ihrer Implementierung von SSO mit der Emburse Chrome River-App funktioniert. Wenn es nicht funktioniert, kann Ihr Unternehmen eine zusätzliche SP-initiierte Integration für die Emburse Chrome River-App einrichten oder SP-initiiert sowohl im Web als auch auf Mobilgeräten verwenden.

Für weitere Informationen zur Anmeldung bei der Emburse Chrome River-App klicken Sie hier.

Anmeldung und Sitzungsdauer

Benutzer bleiben mindestens 30 Tage lang angemeldet. Die Sitzung wird bei jeder Nutzung der App um 30 Tage verlängert, bis zu einem Maximum von 90 Tagen.

Wenn die App 15 Minuten lang nicht genutzt wird, müssen die Benutzer sie über biometrische Daten oder die PIN ihres Geräts entsperren, aber sie müssen sich nicht erneut anmelden.

  • Hinweis: Benutzer, die keine Sicherheitsmethode auf ihren Geräten eingerichtet haben, können nicht über die 30-Tage-Sitzung angemeldet bleiben, da das Gerät nicht als sicher angesehen wird. Benutzer werden nach 15 Minuten Inaktivität vollständig abgemeldet.

Deautorisierung der Chrome River-App- oder Emburse Chrome River App-Sitzung eines ausgeschiedenen Benutzers

Wenn ein Benutzer eine aktive mobile Sitzung hat, aber Ihr Unternehmen verlassen hat, wird seine mobile Sitzung beendet und er wird abgemeldet, sobald sein Chrome River Personendatensatz über das Verwaltungsmenü „Personen“, den Personendaten-Feed oder die Personen-API auf den Status „Gelöscht“ oder „Ausgeschieden“ aktualisiert wird. Weitere Details dazu finden Sie nachstehend unter Verwaltungsmenü „Personen“.

War dieser Beitrag hilfreich?