SAML Single Sign-On (SSO) mit Becard einrichten
Diese Eintellungen sind im ausgewählten Directory in Becard Enterprise unter "SSO / SAML2" zu finden.
Mit der SAML-Integration können sich Benutzer sicher über Ihren zentralen Identity Provider (IdP) bei Becard anmelden.
Unterstützte Identity Provider:
- Microsoft Entra ID
- Okta
- Google Workspace
- Keycloak
- Auth0
- OneLogin
- Ping Identity
- Weitere SAML-2.0-kompatible Anbieter
Voraussetzungen
Für die Einrichtung benötigen Sie:
- Eine aktive Becard Enterprise Umgebung
- Administratorrechte im Identity Provider
- Zugriff auf die SAML-Einstellungen in Becard
- Einen konfigurierten Identity Provider mit SAML 2.0 Unterstützung
SAML-Einstellungen in Becard öffnen
- Öffnen Sie Ihr Becard Enterprise Dashboard
- Navigieren Sie zu:
VerzeichnisSAML
- Aktivieren Sie:
SAML Single Sign-On
Benötigte Informationen aus Ihrem Identity Provider
Für die Verbindung werden folgende Daten benötigt:
| Feld | Beschreibung |
|---|---|
| Login URL | SAML Login Endpoint Ihres Identity Providers |
| Entity ID | Entity ID / Identifier Ihres Identity Providers |
| X509 Zertifikat | Öffentliches SAML Zertifikat |
| Logout URL | Optionaler Logout Endpoint |
SAML-Konfiguration in Becard eintragen
Tragen Sie die Daten Ihres Identity Providers in Becard ein.
Beispiel
| Feld | Beispiel |
|---|---|
| Login URL | https://login.microsoftonline.com/.../saml2 |
| Entity ID | https://sts.windows.net/... |
| Logout URL | https://login.microsoftonline.com/.../logout |
Zertifikat hinzufügen
- Kopieren Sie das öffentliche X509 Zertifikat Ihres Identity Providers
- Fügen Sie das Zertifikat in Becard ein
Das Zertifikat wird verwendet, um SAML-Antworten zu validieren.
Assertion Consumer Service (ACS) URL
Ihr Identity Provider benötigt die Becard ACS URL.
Beispiel:
https://enterprise.becard.me/auth/saml/callback
Becard Entity ID
Verwenden Sie folgende Entity ID in Ihrem Identity Provider:
https://enterprise.becard.me
NameID Format
Empfohlenes Format:
emailAddress
Die E-Mail-Adresse dient als eindeutige Benutzeridentifikation.
Benutzerattribute konfigurieren
Empfohlene Attribute:
| SAML Attribut | Becard Feld |
|---|---|
| E-Mail-Adresse | |
| givenName | Vorname |
| surname | Nachname |
| displayName | Anzeigename |
Anmeldung testen
- Speichern Sie die Konfiguration
- Öffnen Sie die SSO-Anmeldeseite
- Melden Sie sich mit einem Benutzer Ihres Identity Providers an
Bei erfolgreicher Anmeldung wird der Benutzer automatisch bei Becard angemeldet.
Just-in-Time (JIT) Benutzeranlage
Optional kann Becard Benutzer automatisch erstellen, wenn diese sich erstmals per SAML anmelden.
Dabei werden automatisch übernommen:
- Vorname
- Nachname
- E-Mail-Adresse
- Anzeigename
Single Logout (SLO)
Optional können Sie Single Logout aktivieren.
Dadurch werden Benutzer automatisch auch bei Becard abgemeldet, wenn sie sich beim Identity Provider abmelden.
Häufige Fehler
Invalid Signature
Prüfen Sie:
- Zertifikat korrekt eingefügt
- Zertifikat aktuell
- Keine zusätzlichen Leerzeichen
User not found
Prüfen Sie:
- E-Mail-Adresse wird übertragen
- Benutzer existiert
- NameID korrekt konfiguriert
ACS URL Fehler
Prüfen Sie:
- ACS URL exakt übernommen
- HTTPS verwendet
- Keine Tippfehler
Login funktioniert nicht
Prüfen Sie:
- Entity ID korrekt
- Login URL korrekt
- Benutzer der Anwendung zugewiesen
Sicherheitshinweise
Empfohlen:
- Signierte Assertions verwenden
- Zertifikate regelmäßig erneuern
- HTTPS verpflichtend verwenden
- Zugriff auf autorisierte Domains beschränken
Unterstützung
Falls Sie Unterstützung bei der Einrichtung benötigen, kontaktieren Sie bitte den Becard Support.