Dotcom-Monitor unterstützt die SSO-Anmeldung (Single Sign On) mit SAML 2.0. SAML ermöglicht die Übertragung von Authentifizierungsdaten zwischen dem Identitätsanbieter des Clients und dem Dotcom-Monitor-Dienst. Alle Benutzeranmeldeinformationen werden auf der Seite des Identitätsanbieters und nicht von Dotcom-Monitor gespeichert, was ein hohes Maß an Sicherheit und eine bessere Benutzererfahrung garantiert.

Sobald Sie die Berechtigungsgruppen in Ihrem System eingerichtet haben, ordnet Dotcom-Monitor diese Gruppen unseren Benutzerrollen zu und gewährt entsprechend Zugriff auf das Dotcom-Monitor-System.

Im weiteren Verlauf dieses Artikels werden die Schritte beschrieben, die erforderlich sind, um SSO mit Active Directory FS (ADFS) und AZURE Active Directory (Azure AD) als Identitätsanbieter zu aktivieren. Außerdem werden Schritt-für-Schritt-Anleitungen für die OKTA SAML-Integration bereitgestellt.

Generell ist es nicht ratsam, einen Dotcom-Monitor-Benutzer in mehreren Gruppen mit unterschiedlichen Berechtigungsstufen innerhalb Ihres Active Directory einzurichten. Wenn ein Benutzer jedoch zwei oder mehr Berechtigungsstufen in Dotcom-Monitor angehört, hat die niedrigste Berechtigungsstufe Vorrang vor den Ebenen mit höheren Berechtigungen. Wenn einem Benutzer beispielsweise gleichzeitig die Rollen Viewer (schreibgeschützt) und Power User innerhalb der Dotcom-Monitor-Plattform zugewiesen wurden, werden bei der SSO-Anmeldung die Berechtigungen für die Viewer-Rolle angewendet.

  • SSO mit Active Directory FS

  • SSO mit AZURE Active Directory

  • SSO mit OKTA

Konfigurieren von SSO für Abteilungen

Wenn Sie eine Abteilung für das Dotcom-Monitor-Konto erstellt haben, können Sie SSO-Benutzer so konfigurieren, dass sie sich anmelden.

Um SSO für Abteilungen zu aktivieren, fügen Sie den Abteilungsnamen als Suffix zum Namen der Gruppe oder Rolle hinzu, die für Dotcom-Monitor-Zwecke in AD reserviert ist. Verwenden Sie einen doppelten Bindestrich als Trennzeichen:

<AD Group Name>--<Department Name>

Um SSO mit Dotcom-Monitor einzurichten, verwenden Sie bitte die folgenden Namen, um SSO-Rollen in Ihrem Verzeichnisdienst zu konfigurieren:

AD-Gruppenname (SSO-Rolle) Benutzerrolle in Dotcom-Monitor
Dotcom-Monitor_Administrators Admin
Dotcom-Monitor_Users Benutzer
Dotcom-Monitor_Accounting_Users Accounting
Dotcom-Monitor_ReadOnly_Users Betrachter
Dotcom-Monitor_Power_Users Power User
Dotcom-Monitor_Operators Operator

Um beispielsweise einem Benutzer die Anmeldung bei der Abteilung “AlphaDep” mit Berechtigungen der Hauptbenutzerrolle zu ermöglichen, fügen Sie der Dotcom-Monitor_Power_Users AD-Gruppe das folgende Suffix hinzu:

«Dotcom-Monitor_Power_Users--AlphaDep»

Um einen ADFS-Gruppennamen zu ändern, klicken Sie mit der rechten Maustaste auf die Gruppe, und wählen Sie Umbenennenaus. Ändern Sie nach der Umbenennung auch den Namen vor Windows 2000 im Popupfeld oder unter > Eigenschaften Allgemeiner > Gruppenname (vor Windows 2000).

Sie können auch die Namen mehrerer Abteilungen nacheinander im gleichen Format hinzufügen. Zum Beispiel:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Damit sich Benutzer beim Stammkonto anmelden können, geben Sie wie oben beschrieben eine relevante AD-Gruppe ohne Abteilungssuffix an:

«Dotcom-Monitor_ReadOnly_Users»

Wenn ein Benutzer in mehrere AD-Gruppen mit konfiguriertem SSO für Abteilungen in mehrere “Dotcom-Monitor_”-AD-Gruppen eingeschlossen ist, wird die Anmeldung bei allen entsprechenden Abteilungen aktiviert (falls die Abteilungen im Dotcom-Monitor-Konto vorhanden sind).

Siehe auch: Anmelden mit SSO