onboard unterstützt die Integration mit Azure Active Directory (AD), um Single-Sign-On (SSO) zu nutzen. Dafür sind folgende Schritte notwendig:
- onboard als App in Azure Active Directory AD hinzufügen und konfigurieren
- Benutzer in Azure AD zuweisen
- Benutzer in onboard einladen und Zugriffsrechte vergeben
Weitere Informationen finden Sie in der offiziellen Dokumentation: https://docs.microsoft.com/de-de/azure/active-directory/manage-apps/configure-saml-single-sign-on
onboard als App in Azure Active Directory AD hinzufügen
Fügen Sie onboard als neue SAML-App in Azure AD hinzu. Dazu erhalten Sie von uns die Service-Provider-Daten.
- Erstellen Sie eine neue App bei Azure AD, indem Sie zuerst „Unternehmensanwendungen“ und dann „Ihre eigene Anwendung erstellen“ auswählen. Dort können Sie mit „Beliebige andere, nicht im Katalog zu findende Anwendung integrieren“ eine onboard-App erstellen (siehe https://docs.microsoft.com/de-de/azure/active-directory/manage-apps/add-application-portal).
App-Name: onboard
App-Symbol: https://cdn3.onboard.org/images/logo/square.jpg - Wählen Sie die App aus und klicken Sie in der linken Seitenleiste auf „Einmaliges Anmelden“ und dann auf „SAML“.
- Jetzt können Sie die SAML-Konfiguration von onboard bei „Grundlegende SAML-Konfiguration“ eintragen (siehe https://docs.microsoft.com/de-de/azure/active-directory/manage-apps/configure-saml-single-sign-on). Sie erhalten von uns folgende Konfigurationen:
– Bezeichner (Entitäts-ID)
– Anmelde-URL
– Antwort-URL (Assertionsverbraucherdienst-URL)
– Abmelde-URL - Bei Punkt 2 Benutzerattribute und Ansprüche“ müssen die Felder zugewiesen werden. Diese Werte werden von onboard übernommen und beim Nutzerprofil eingetragen:
– Unique User Identifier: user.mail
– givenname: user.givenname
– surname: user.surname
– preferredlanguage: user.preferredlanguage (optional)
– gender: user.gender (optional)
– companyname: user.companyname (optional)
– department: user.department (optional) - Laden Sie nach erfolgreicher Einrichtung das „Zertifikat (Base64)“ herunter und kopieren Sie die Werte der Felder „Login URL,“ „Azure AD Identifier“ und „Logout URL“. Diese Daten benötigen wir, um onboard zu konfigurieren.
Das Zertifikat für die Anmeldung ist drei Jahre gültig und muss anschließend erneuert werden. Kontaktieren Sie uns unter support@onboard.org bei Ablauf des Zertifikats.
Benutzer in Azure AD zuweisen
Sie können direkt in Azure AD bestimmen, welche Nutzer onboard nutzen dürfen. Wir empfehlen das Anlegen einer eigenen Gruppe.
Benutzer in onboard einladen und Zugriffsrechte vergeben
Ein Nutzer, der sich über Azure AD anmeldet, hat in onboard als Standardeinstellung keine Berechtigungen. Sie können einen Nutzer einladen und ihm in onboard eine Rolle zuweisen.
Über Azure AD in onboard anmelden
Die Anmeldung erfolgt über die Willkommens-Seite von onboard oder direkt über die Azure AD Anwendungsseite. Sobald ein Nutzer angemeldet ist, wird er direkt zu onboard weitergeleitet.
Häufige Fragen
Ich erhalte eine Fehlermeldung „The signed in user is not assigned to a role for the application.“
In diesem Fall hat der AD Nutzer keine Berechtigung, die Anwendung zu öffnen. Sie müssen dem Nutzer erlauben, dass er die Anwendung ausführen kann (siehe https://docs.microsoft.com/de-de/troubleshoot/azure/active-directory/error-code-aadsts50105-user-not-assigned-role).
Nach der erfolgreichen Anmeldung wird der Nutzer wieder auf die Willkommens-Seite umgeleitet.
Kontrollieren Sie, ob der Nutzer in der Nutzerverwaltung von onboard deaktiviert wurde. Falls dies der Fall ist, kann er sich nicht auf onboard anmelden (er ist sozusagen blockiert). Sie können den Nutzer wieder aktivieren.