Einmaliges Anmelden (SSO) Einrichten

Dotcom-Monitor unterstützt die SSO-Anmeldung (Single Sign On) mit SAML 2.0. SAML ermöglicht die Übertragung von Authentifizierungsdaten zwischen dem Identitätsanbieter des Clients und dem Dotcom-Monitor-Dienst. Alle Benutzeranmeldeinformationen werden auf der Seite des Identitätsanbieters und nicht von Dotcom-Monitor gespeichert, was ein hohes Maß an Sicherheit und eine bessere Benutzererfahrung garantiert.

Sobald Sie die Berechtigungsgruppen in Ihrem System eingerichtet haben, ordnet Dotcom-Monitor diese Gruppen unseren Benutzerrollen zu und gewährt entsprechend Zugriff auf das Dotcom-Monitor-System.

Im weiteren Verlauf dieses Artikels werden die Schritte beschrieben, die erforderlich sind, um SSO mit Active Directory FS (ADFS) und AZURE Active Directory (Azure AD) als Identitätsanbieter zu aktivieren. Außerdem werden Schritt-für-Schritt-Anleitungen für die OKTA SAML-Integration bereitgestellt.

Generell ist es nicht ratsam, einen Dotcom-Monitor-Benutzer in mehreren Gruppen mit unterschiedlichen Berechtigungsstufen innerhalb Ihres Active Directory einzurichten. Wenn ein Benutzer jedoch zwei oder mehr Berechtigungsstufen in Dotcom-Monitor angehört, hat die niedrigste Berechtigungsstufe Vorrang vor den Ebenen mit höheren Berechtigungen. Wenn einem Benutzer beispielsweise gleichzeitig die Rollen Viewer (schreibgeschützt) und Power User innerhalb der Dotcom-Monitor-Plattform zugewiesen wurden, werden bei der SSO-Anmeldung die Berechtigungen für die Viewer-Rolle angewendet.

SSO mit Active Directory FS
1. Installieren Sie ADFS 2.0 (Hilfe finden Sie unter http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Metadaten herunterladen.xml.

3. Fügen Sie in der ADFS 2.0-Verwaltungskonsole ein SSL-Zertifikat hinzu, um Dotcom-Monitor-Antworten/-Anforderungen zu signieren:
- Starten Sie die ADFS 2.0-Verwaltungskonsole, und öffnen Sie den Serverkonfigurations-Assistenten.
- Klicken Sie auf Neue FS erstellen, und wählen Sie Standalone FSaus.
- Wählen Sie SSL-Zertifikat aus (wenn keine Zertifikate vorhanden sind, können Sie ein selbstsigniertes Zertifikat erstellen, indem Sie INETMGR-Serverzertifikate > > erstellen: Selbstsigniertes Zertifikat erstellen).
4. Fügen Sie in der ADFS 2.0-Verwaltungskonsole IDR zu den ADFS-Vertrauensstellungen der vertrauenden Seite hinzu:
- Klicken Sie auf Vertrauen der Vertrauen in die Vertrauen der Partei, und wählen Sie Vertrauensstellung der vertrauenden Partei hinzufügenaus.
- Klicken Sie im Fenster des Assistenten auf Start, und wählen Sie Daten über die vertrauende Seite aus einer Datei importieren aus.
- Wählen Sie metadaten.xml.
- Wählen Sie einen beliebigen aussagekräftigen Namen (dotcom-monitor.com).
- Klicken Sie auf Weiter, und folgen Sie den Anweisungen.
- Wählen Sie im Schritt Ausgabeautorisierungsregeln die Option Alle Benutzer den Zugriff auf diese vertrauende Partei zulassen aus.
- Deaktivieren Sie im letzten Schritt das Kontrollkästchen Anspruchsregeln bearbeiten für diese Vertrauensstellung der vertrauenden Seite öffnen, wenn der Assistent geschlossen wird.
- Schließen Sie den Assistenten.
5. Legen Sie SHA-1 als sicheren Hash-Algorithmus fest:
- Nachdem Sie vertrauende Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen der Vertrauen in der Liste erstellt haben, klicken Sie auf sie, und wählen SieP-Ropertiesaus.
- Wechseln Sie zur Registerkarte Erweitert, und ändern Sie den Hashalgorithmus in SHA-1.
6. Fügen Sie eine Anspruchsregel hinzu, um LDAP-Attribute als Ansprüche zu senden:
- Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
- Klicken Sie auf Regel hinzufügen, und stellen Sie sicher, dass in der Anspruchsregelvorlage LDAP-Attribute als Ansprüche gesendet werden.
- Geben Sie den Namen der Anspruchsregelan.
- Wählen Sie den Attributspeicher als Active Directoryaus.
- Fügen Sie zwei Attributzuordnungen hinzu: für User-Principal-Name set UPN, for Token-Groups – Unqualified Names set Role.
7. Benutzerdefinierte Regel hinzufügen:
- Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
- Klicken Sie auf Regel hinzufügen, und legen Sie die Anspruchsregelvorlage auf “Ansprüche senden” mithilfe der benutzerdefinierten Regel fest.
- Geben Sie den Namen der Anspruchsregelan.
- Fügen Sie das folgende Skript ein:
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- Ersetzen Sie “http://www.example.com/adfs/services/trust” durch die richtige Identity Provider (IdP) entityID (“http://idpsite.com/adfs/services/trust“).
8. Öffnen Sie die URL im Browser auf dem IdP-Rechner: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Speichern Sie den XML-Inhalt als Datei und senden Sie ihn über das Ticketsysteman den Dotcom-Monitor-Support.

Wenn SSO aktiviert ist, können Sie Dotcom-Monitor-Websitebenutzer hinzufügen, indem Sie neue Benutzer in AD erstellen oder vorhandene Benutzer zu einer der folgenden Gruppen hinzufügen: “Dotcom-Monitor_Administrators”, “Dotcom-Monitor_Users”, “Dotcom-Monitor_Power_Users”, “Dotcom-Monitor_Accounting_Users”, “Dotcom-Monitor_ReadOnly_Users”, “Dotcom-Monitor_Operators“. Jede dieser Gruppen muss den Bereich “global” oder “universal” und den Typ “security” haben.
SSO mit AZURE Active Directory
1. Melden Sie sich beim Azure-Portal als globaler Administrator oder Co-Administratoran.

2. Wählen Sie im Portal im linken Navigationsbereich Azure Active Directoryaus.

3. Um Benutzer für die zukünftige SSO-Anmeldung mithilfe von Azure AD zu verwalten (erstellen), wählen Sie im Abschnitt Verwalten im Azure Active Directory-Navigationsfeld Benutzer> Alle Benutzer aus:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Erstellen einer neuen Unternehmensanwendung:
- Wählen Sie im Azure Active Directory-Navigationsfeld Enterprise-Anwendungen aus.
- Klicken Sie auf Neue Anwendung, dann auf Nicht-Galerie-Anwendung.
- Legen Sie auf der Seite Eigene Anwendung hinzufügen den Namen für die neue Anwendung (“userauth.dotcom-monitor.com“) fest und klicken Sie auf Hinzufügen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Bearbeiten Sie Anwendungsmetadaten, um Dotcom-Monitor-Gruppen hinzuzufügen:
- Wählen Sie im Azure Active Directory-Navigationsfenster App-Registrierungenaus.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“, undwählen Sie dann unter dem Abschnitt Verwalten manifestaus.
- Fügen Sie im webbasierten Manifest-Editor die folgenden Rollen unter appRoles-Knoten und Speichernhinzu:
```
   {  "allowedMemberTypes": [  
        "User"      
      ],
      "displayName": "Dotcom-Monitor_Administrators",
      "id": "b9632174-c057-4f7e-951b-be3adc52aaaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Administrators", 
      "value": "Dotcom-Monitor_Administrators"
   }, 
   {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operators",
      "value": "Dotcom-Monitor_Operators"
    },
```
5. SSO-Einstellungen bearbeiten:
- Wählen Sie im Azure Active Directory-Navigationsbereich die Option Unternehmensanwendungen aus, und klicken Sie auf Alle Anwendungen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“.
- Wählen Sie im Abschnitt Verwalten die Option Einmaliges Anmeldenaus.
- Wählen Sie SAML aus, um das einmalige Anmelden zu konfigurieren. Konfigurieren Sie auf der Seite Einmaliges Anmelden mit SAML – Vorschau einrichten die grundlegenden SAML-Optionen:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Wählen Sie das Symbol Bearbeiten (ein Bleistift) in der oberen rechten Ecke des Abschnitts Benutzerattribute und Ansprüche aus, und fügen Sie die neuen Attribute hinzu:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Wählen Sie das Symbol Bearbeiten (ein Bleistift) in der oberen rechten Ecke des Abschnitts SAML-Signaturzertifikat aus.
- Klicken Sie im Abschnitt SAML Signing Certificate auf Metadaten XML herunterladen, und speichern Sie es auf dem Datenträger. Diese Datei muss an dotcom-monitor.com-Support gesendet werden.
- Aktivieren Sie Neue Zertifikate aktiv machen (erst nach dem Herunterladen von Metadaten ), und bestätigen Sie die Aktion.
- Aktivieren Sie Erweiterte Zertifikatsignatureinstellungen anzeigen und SHA-1 als Signaturalgorithmus festlegen.
- Klicken Sie auf Speichern.
6. Rollen zuweisen:
- Wählen Sie im Azure Active Directory-Navigationsbereich die Option Unternehmensanwendungen aus, und klicken Sie auf Alle Anwendungen.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Klicken Sie auf die Anwendung “userauth.dotcom-monitor.com“, und wählen Sie dann Benutzer und Gruppenaus.
- Klicken Sie auf Benutzer hinzufügen, wählen Sie Benutzer aus, wählen Sie die Rolle (eine der dotcom-monitor-Rollen) aus, und klicken Sie auf Zuweisen. Tun Sie es für alle Benutzer benötigt.
7. Senden Sie Metadaten.xml an den dotcom-monitor-Support. Klicken Sie hier, loggen Sie sich in Ihr Konto ein und reichen Sie ein Ticket ein.
SSO mit OKTA

Überprüfen Sie die folgenden Materialien, um die OKTA-Integration mit Dotcom-Monitor zu konfigurieren und SSO zu aktivieren:

OKTA – Dotcom-Monitor Integration PDF Anleitung

OKTA SAML Integration mit Dotcom-Monitor Walkthrough Video

SAML Login Video

Siehe auch die folgenden alternativen Anleitungen:

Okta zu Dotcom-Monitor Alternative Anleitung

Okta zu Dotcom-Monitor SAML Konfigurationsvideo

Konfigurieren von SSO für Abteilungen

Wenn Sie eine Abteilung für das Dotcom-Monitor-Konto erstellt haben, können Sie SSO-Benutzer so konfigurieren, dass sie sich anmelden.

Um SSO für Abteilungen zu aktivieren, fügen Sie den Abteilungsnamen als Suffix zum Namen der Gruppe oder Rolle hinzu, die für Dotcom-Monitor-Zwecke in AD reserviert ist. Verwenden Sie einen doppelten Bindestrich als Trennzeichen:

<AD Group Name>--<Department Name>

Um SSO mit Dotcom-Monitor einzurichten, verwenden Sie bitte die folgenden Namen, um SSO-Rollen in Ihrem Verzeichnisdienst zu konfigurieren:

AD-Gruppenname (SSO-Rolle)	Benutzerrolle in Dotcom-Monitor
Dotcom-Monitor_Administrators	Admin
Dotcom-Monitor_Users	Benutzer
Dotcom-Monitor_Accounting_Users	Accounting
Dotcom-Monitor_ReadOnly_Users	Betrachter
Dotcom-Monitor_Power_Users	Power User
Dotcom-Monitor_Operators	Operator

Um beispielsweise einem Benutzer die Anmeldung bei der Abteilung “AlphaDep” mit Berechtigungen der Hauptbenutzerrolle zu ermöglichen, fügen Sie der Dotcom-Monitor_Power_Users AD-Gruppe das folgende Suffix hinzu:

«Dotcom-Monitor_Power_Users--AlphaDep»

Um einen ADFS-Gruppennamen zu ändern, klicken Sie mit der rechten Maustaste auf die Gruppe, und wählen Sie Umbenennenaus. Ändern Sie nach der Umbenennung auch den Namen vor Windows 2000 im Popupfeld oder unter > Eigenschaften Allgemeiner > Gruppenname (vor Windows 2000).

Sie können auch die Namen mehrerer Abteilungen nacheinander im gleichen Format hinzufügen. Zum Beispiel:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Damit sich Benutzer beim Stammkonto anmelden können, geben Sie wie oben beschrieben eine relevante AD-Gruppe ohne Abteilungssuffix an:

«Dotcom-Monitor_ReadOnly_Users»

Wenn ein Benutzer in mehrere AD-Gruppen mit konfiguriertem SSO für Abteilungen in mehrere “Dotcom-Monitor_”-AD-Gruppen eingeschlossen ist, wird die Anmeldung bei allen entsprechenden Abteilungen aktiviert (falls die Abteilungen im Dotcom-Monitor-Konto vorhanden sind).

Siehe auch: Anmelden mit SSO

SSO mit Active Directory FS

SSO mit AZURE Active Directory

SSO mit OKTA

Konfigurieren von SSO für Abteilungen