Um eine effektive und zentrale Benutzerverwaltung zu ermöglichen, bietet Evalanche die Anbindung an eigene Identity Provider (IdP) durch die Implementierung der Single Sign-On (SSO) Funktionalität. Diese Integration erleichtert die Authentifizierung und Zutrittssteuerung für Benutzer, indem es ihnen ermöglicht wird, ihre vorhandenen IdP-Anmeldedaten zu nutzen, ohne weitere spezifische Logins für unsere Plattform festlegen zu müssen. Die Funktion unterstützt eine effiziente Benutzerverwaltung und verbessert die Sicherheitsstrukturen der Unternehmen.
Technische Erklärung
Die SSO-Funktionalität von Evalanche unterstützt derzeit das OpenID Connect (OIDC) Protokoll.
- Microsoft Entra ID
- Microsoft Azure AD
- Keycloak
Die Möglichkeit einer Ausweitung für SAML ist geplant.
Für die Unterstützung der Protokolle erfolgt über eine separate URL, über die der SSO-Login initiiert wird:
https://[Interface-Domain]/auth/oidc
Die wichtigsten Aspekte zur Implementierung der SSO-Anbindung:
- Unterstützte Protokolle: Derzeit wird OIDC unterstützt.
- Dualer Login: Nutzer mit IdP-Konfiguration behalten die Möglichkeit, sich per regulären Benutzernamen und Passwort anzumelden. Dies ermöglicht eine flexiblere Benutzerverwaltung, besonders für Fälle, in denen Benutzer nicht im IdP erfasst sind, sowie für die optionale 2-Factor Authentifizierung, die über SSO nicht abgebildet werden kann.
- Rechte- und Sicherheitsmanagement: Die Verwaltung von Benutzerrechten und Sicherheitsrichtlinien verbleibt weiterhin innerhalb Evalanche, unabhängig von den IdP-Einstellungen.
- Logging: Alle sicherheitsrelevanten Aktionen werden protokolliert, um eine nachvollziehbare Dokumentation und Überwachung zu gewährleisten. Diese Informationen sind nur auf Anfrage erhältlich.
Erste Schritte
Für eine SSO-Integration sind spezifische Einstellungen und Vorbereitungen erforderlich:
- IdP-Einrichtung pro Kontext: Ein IdP kann ausschließlich auf der globalen Ebene (Gruppenebene), eingerichtet werden.
- Domain-Zuordnung: Jeder IdP muss genau einer Interface-Domain zugewiesen sein, die den SSO-Prozess initiiert. Es kann maximal ein IdP pro Interface-Domain konfiguriert werden.
- Benutzer-Zuordnung: In unseren Benutzereinstellungen muss die externe IdP-Benutzer-ID pro Benutzer hinterlegt sein, um eine eindeutige Identifizierung zu ermöglichen.
Einrichtung der SSO-Konfiguration in Evalanche
- Lassen Sie durch uns eine Interface-Domain einrichten, an die die zukünftige SSO-Implementierung geknüpft wird, sofern noch keine eigene Interface-Domain existiert. Die Zuordnung der Interface-Domain kann auf globaler Ebene oder für einen oder mehrere konkrete Mandanten erfolgen.
- Prüfen Sie, ob sie das Account-Recht (Single-Sign-On) haben.
- Setzen Sie die SSO Authentifizierung unter „Einstellungen/Partner Apps/Externe Authentifizierung“ für die entsprechende Interface-Domain auf „Aktiv“ (1).
- Konfigurationen für einzelne Mandanten erfolgen ebenfalls immer auf globaler Ebene. Die Zuweisung erfolgt über die Zuweisung der Interface-Domain.
- Wählen und speichern Sie den gewünschten IdP-Typ (2) (z.B. OICD für Keycloak oder Microsoft Entra ID/Azure/AD) sowie benötigte Parameter wie Basis-URL, Realm/Tenant/Directory-Id, Application-Id und Application-Secret. Diese Daten finden Sie in der Konfiguration ihres IdP.
- Aktivieren und ergänzen Sie die entsprechen Benutzer bzgl. der externen Authentifizierung mit der External-ID in der Benutzereinstellung.
Wichtig
Sofern Sie weitere Anwendungen per SSO in Ihrer Umgebung anbinden und diese im Evalanche App Switch und/oder App Bereich anzeigen lassen wollen, ist dies mit der Microsoft Entra ID Authentifizierung nicht im App Bereich möglich. Aktuell nur im App Switch. Microsoft verhindert eine Authentifizierung im iFrame.
Es wird für die SSO-Funktionalität und Konfiguration ein spezielles Account-Recht (Single-Sign-On) benötigt. Wenn Sie SSO nutzen möchten, wenden Sie sich bitte an Ihren Ansprechpartner.
Falls Sie Hilfe bei der Einrichtung benötigen oder bei technischen Fragen wenden Sie sich an unseren Support unter support@sc-networks.com. Unser Team steht Ihnen jederzeit gerne unterstützend zur Verfügung.