Um eine effektive und zentrale Benutzerverwaltung zu ermöglichen, bietet Evalanche die Anbindung an eigene Identity Provider (IdP) durch die Implementierung der Single Sign-On (SSO) Funktionalität. Diese Integration erleichtert die Authentifizierung und Zutrittssteuerung für Benutzer, indem es ihnen ermöglicht wird, ihre vorhandenen IdP-Anmeldedaten zu nutzen, ohne weitere spezifische Logins für unsere Plattform festlegen zu müssen. Die Funktion unterstützt eine effiziente Benutzerverwaltung und verbessert die Sicherheitsstrukturen der Unternehmen.
Technische Erklärung
Die SSO-Funktionalität von Evalanche unterstützt derzeit das OpenID Connect (OIDC) Protokoll.
- Microsoft Entra ID
- Microsoft Azure AD
- Keycloak
Die Möglichkeit einer Ausweitung für SAML ist geplant.
Für die Unterstützung der Protokolle erfolgt über eine separate URL, über die der SSO-Login initiiert wird:
https://[Interface-Domain]/auth/oidc
Die wichtigsten Aspekte zur Implementierung der SSO-Anbindung:
- Unterstützte Protokolle: Derzeit wird OIDC unterstützt.
- Dualer Login: Nutzer mit IdP-Konfiguration behalten die Möglichkeit, sich per regulären Benutzernamen und Passwort anzumelden. Dies ermöglicht eine flexiblere Benutzerverwaltung, besonders für Fälle, in denen Benutzer nicht im IdP erfasst sind, sowie für die optionale 2-Factor Authentifizierung, die über SSO nicht abgebildet werden kann.
- Rechte- und Sicherheitsmanagement: Die Verwaltung von Benutzerrechten und Sicherheitsrichtlinien verbleibt weiterhin innerhalb Evalanche, unabhängig von den IdP-Einstellungen.
- Logging: Alle sicherheitsrelevanten Aktionen werden protokolliert, um eine nachvollziehbare Dokumentation und Überwachung zu gewährleisten. Diese Informationen sind nur auf Anfrage erhältlich.
Erste Schritte
Für eine SSO-Integration sind spezifische Einstellungen und Vorbereitungen erforderlich:
- IdP-Einrichtung pro Kontext: Ein IdP kann ausschließlich auf der globalen Ebene (Gruppenebene), eingerichtet werden.
- Domain-Zuordnung: Jeder IdP muss genau einer Interface-Domain zugewiesen sein, die den SSO-Prozess initiiert. Es kann maximal ein IdP pro Interface-Domain konfiguriert werden. Es können unterschiedliche Interface-Domains und somit IDPs für Mandanten innerhalb einer Gruppe hinterlegt werden.
- Benutzer-Zuordnung: In unseren Benutzereinstellungen muss die externe IdP-Benutzer-ID pro Benutzer hinterlegt sein, um eine eindeutige Identifizierung zu ermöglichen.
Einrichtung der SSO-Konfiguration in Evalanche
- Lassen Sie durch uns eine Interface-Domain einrichten, an die die zukünftige SSO-Implementierung geknüpft wird, sofern noch keine eigene Interface-Domain existiert. Die Zuordnung der Interface-Domain kann auf globaler Ebene oder für einen oder mehrere konkrete Mandanten erfolgen.
- Prüfen Sie, ob sie das Account & Benutzer-Recht (Single-Sign-On) haben.
- Setzen Sie die SSO Authentifizierung unter „Einstellungen/Partner Apps/Externe Authentifizierung“ für die entsprechende Interface-Domain auf „Aktiv“ (1).
- Konfigurationen für einzelne Mandanten erfolgen ebenfalls immer auf globaler Ebene. Die Zuweisung erfolgt über die Zuweisung der Interface-Domain.
- Wählen und speichern Sie den gewünschten IdP-Typ (2) (z.B. OICD für Keycloak oder Microsoft Entra ID/Azure/AD) sowie benötigte Parameter wie Basis-URL, Realm/Tenant/Directory-Id, Application-Id und Application-Secret. Diese Daten finden Sie in der Konfiguration ihres IdP.
- Aktivieren und ergänzen Sie die entsprechen Benutzer bzgl. der externen Authentifizierung mit der External-ID (z.B. Entra-ID der Benutzer) in der Benutzereinstellung. (Auf Empfehlung von Microsoft wird hier nicht die E-Mail-Adresse des Benutzers verwendet)
Wichtig
Sofern Sie weitere Anwendungen per SSO in Ihrer Umgebung anbinden und diese im Evalanche App Switch und/oder App Bereich anzeigen lassen wollen, ist dies mit der Microsoft Entra ID Authentifizierung nicht im App Bereich möglich. Aktuell nur im App Switch. Microsoft verhindert eine Authentifizierung im iFrame.
Es wird für die SSO-Funktionalität und Konfiguration ein spezielles Account & Benutzer-Recht (Single-Sign-On) benötigt. Wenn Sie SSO nutzen möchten, wenden Sie sich bitte an Ihren Ansprechpartner.
Falls Sie Hilfe bei der Einrichtung benötigen oder bei technischen Fragen wenden Sie sich an unseren Support unter support@sc-networks.com. Unser Team steht Ihnen jederzeit gerne unterstützend zur Verfügung.
Microsoft Entra ID Beispielkonfiguration
Die folgende Beispielkonfiguration ist nicht repräsentativ für alle Entra-Versionen und kann abweichen. SC-Networks unterstützt keine Microsoft-spezifischen Systemkonfigurationen. Bitte kontaktieren Sie hierzu Ihren Administrator.
- Loggen Sie sich in Ihrem Microsoft Entra Admin Center ein.
- Klicken Sie in der linken Leiste auf App-Registrierungen und klicken Sie anschließend auf Neue Registrierung
Klick auf 'App-Registrierungen' und anschließend auf 'Neue Registrierung'
- Geben Sie unter Namen den Namen Ihrer Applikation z.B. „Evalanche“ und erfassen Sie die Umleitungs-URL. Diese sieht wie folgt aus:
https://[Interface-Domain]/auth/oidc/callback
Klicken Sie anschließend auf die Schaltfläche 'Registrieren'
- Klicken Sie anschließend auf die Schaltfläche Registrieren
- Klicken Sie in der linken Leiste Zertifikate & Geheimnisse und dann auf Neuer geheimer Clientschlüssel
Klicken Sie in der linken Leiste 'Zertifikate & Geheimnisse' auf 'Neuer geheimer Clientschlüssel'
- Geben Sie rechts unter Geheimen Clientschlüssel hinzufügen im Feld Beschreibung einen Namen für Ihren Schlüssel ein, wählen Sie darunter die Gültigkeitsdauer und klicken Sie auf Hinzufügen.
- Im Anschluss erhalten Sie den Wert des Schlüssels. Hierbei handelt es sich um Ihr Client Secret (Application Secret).
Wichtig
Kopieren Sie jetzt unbedingt das Client Secret (Application Secret) und speichern Sie es in einer Textdatei, zur späteren Konfiguration in Evalanche. Wenn Sie die Seite verlassen ohne das Client Secret zu speichern haben Sie keine Möglichkeit mehr, sich das Client Secret nochmals anzeigen zu lassen.
In der Übersicht Ihrer angelegten Applikation finden Sie alle benötigten Informationen zum Hinterlegen der Konfiguration in Evalanche. Nützliche URLs verbergen sich hinter dem Befehl Endpunkte.
In der Übersicht liegen alle benötigten Informationen zur Konfiguration in Evalanche
Weiterführende Links:
https://learn.microsoft.com/de-de/entra/identity-platform/quickstart-register-app?tabs=certificate
https://learn.microsoft.com/de-de/entra/identity-platform/v2-protocols