Was ist ein SAML-basiertes SSO?
Das auf SAML basierende Protokoll für Single Sign On-Authentifizierung ermöglicht es Unternehmen, den Zugriff ihrer Mitarbeiter auf Drittanwendungen wie Spendesk zu optimieren.
Die SAML-SSO-Funktion ist eine Option, die nicht standardmäßig in Ihrem Konto aktiviert ist. Um mehr über die Bedingungen zu erfahren, wenden Sie sich bitte an Ihren dedizierten Account Manager oder das Support-Team.
Kunden mit SAML SSO können jetzt ihre Authentifizierungsdienste von Drittanbietern (z. B. Okta, Onelogin oder Microsoft Azure AD ) mit Spendesk verbinden und die Benutzerkontenverwaltung optimieren.
Sie haben SAML SSO mit Spendesk eingerichtet, möchten es jedoch nicht mehr verwenden?
Bitten Sie einfach Ihren persönlichen Kundenberater, die Funktion für Sie zu deaktivieren!
Zugriff über SAML SSO aktivieren
Geschäftsbedingungen
Bei Interesse können sich Spendesk Kontoinhaber*innen direkt an ihren Spendesk Account Manager wenden.
Es stehen zwei Optionen zur Verfügung:
Legen Sie fest, dass diese Funktion die einzige Möglichkeit für Ihre Mitarbeiter ist, sich mit Spendesk zu verbinden.
Lassen Sie sie wählen, wie sie sich verbinden möchten (über eine andere E-Mail-Adresse und ein anderes Passwort)
Technische Bedingungen
Nachdem Sie Ihren Account Manager auf Spendesk kontaktiert haben, ist ein erster Datenaustausch erforderlich, um die Verbindung mit Ihrem SSO-Authentifizierungsdienst herzustellen.
Dieser Vorgang wird in 4 Schritten durchgeführt:
Sie müssen in der Admin-Oberfläche Ihres Authentifizierungsdienstes eine neue Anwendung für Spendesk erstellen.
Die technischen Verbindungsinformationen erhalten Sie von Spendesk im Format einer XML-Datei, die Sie in derselben Schnittstelle eingeben müssen.
Anschließend müssen Sie die Verbindungsinformationen für diese neue Anwendung in der Administrationsoberfläche Ihres Authentifizierungsdienstes – oft auch im XML-Format – abrufen und an Ihren Account Manager senden.
Ihr Spendesk Account Manager wird die Einrichtung abschließen und die Funktion für Ihr Konto aktivieren. Ihre Mitarbeiter können sich dann über Ihren Authentifizierungsdienst mit Spendesk verbinden (siehe Teil 3 dieses Artikels).
Wenn Sie die Spendesk-Anwendung in Ihrem Authentifizierungsdienst erstellen, geben Sie bitte die folgenden von Spendesk erforderlichen Benutzerdaten ein:
nameID: Wählen Sie die E-Mail-Adresse für das NameID-Format.
email: Wählen Sie auch die E-Mail-Adresse aus
first_name: wählen Sie den Vornamen
last_name: wählen Sie den Nachnamen
Erstellen Sie eine neue Anwendung in der Administrationsoberfläche Ihres Authentifizierungsdienstes für Spendesk.
Wenn Sie nicht den genauen Namen jedes dieser Daten auswählen können, versucht Spendesk, sie automatisch zu ermitteln, indem die folgenden Daten in der von Ihrem Authentifizierungsdienst zurückgegebenen Server-SAML-Antwort identifiziert werden:
E-Mail: email, Email, user.email, user.email, User.email, User.email, email, emailaddress, emailAddress, EmailAddress, http://schemas.xmlsoap.org/ws/2005/05/identity/ Claims/ emailaddress , http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email , http://schemas.xmlsoap.org/claims/EmailAddress
Vorname: firstName, first_name, FirstName, user.firstName, user.first_name, user.FirstName, User.firstName, User.first_name, User.FirstName, givenname, given_name, GivenName, user.givenname, user.given_name, user.GivenName, User.givenname, User.given_name, User.GivenName, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Name: lastName, last_name, LastName, LastName, user.lastName, user.last_name, user.LastName, User.lastName, User.last_name, User.LastName, surname, sur_name, SurName, user.surname, user.sur_name, user.SurName, User.surname, User.sur_name, User.SurName, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Weitere Informationen:
Jeder Benutzer muss zuvor zu Spendesk eingeladen werden, um sich anzumelden und eine Verbindung herzustellen. Es ist jedoch jederzeit möglich, einen eindeutigen Anmeldelink zu Ihrer Organisation zu generieren, den Sie an neue Mitarbeiter*innen senden können, die Ihrem Unternehmen beigetreten sind, um sich zu registrieren.
Jeder einzelne Mitarbeiter*in muss seine/ihre E-Mail-Adresse an Spendesk sowie an Ihren Authentifizierungsdienst weitergeben. In diesem Fall kann Spendesk sie nicht identifizieren.
Jedes Benutzerkonto muss mit einer E-Mail-Adresse, einem Vornamen und einem Nachnamen ausgestattet sein, die bei Ihrem Identity Provider hinterlegt sind, damit sich die Benutzer einloggen können.
Herstellen einer Verbindung zu Spendesk mit SAML-SSO-Authentifizierung
Sobald die Funktion von Ihrem Account Manager aktiviert und die Konfiguration von Ihrem Account Owner vorgenommen wurde, wird die Verbindung über SAML SSO neben anderen Login-Optionen (Google, Microsoft & andere) angeboten. Spendesk unterstützt die Authentifizierung über Dienste wie Okta, OneLogin, Microsoft Azure AD oder andere SAML 2.0-kompatible Dienste.
Klicken Sie auf SAML-SSO
Geben Sie die E-Mail-Adresse Ihres persönlichen SSO-Anbieters ein
Melden Sie sich an, nachdem Sie zur Schnittstelle Ihres SSO-Anbieters weitergeleitet wurden
Das war's, Sie haben sich bei Spendesk angemeldet!
Was wird in dieser Funktion unterstützt?
Unterstützt in der SAML-SSO-Anmeldefunktion
Melden Sie sich mit einem Drittanbieter-Identitätsanbieter an (wählen Sie auf der Anmeldeseite die SAML-SSO-Anmeldeoption).
Melden Sie sich mit einem Drittanbieter-Identitätsanbieter an (über den Einladungslink können Sie die SAML-SSO-Anmeldeoption auswählen).
Entweder aktivieren oder erzwingen die SAML - SSO-Anmeldung. Letzteres ermöglicht die Authentifizierung bei Spendesk nur über das SSO-System eines Drittanbieters.
Nicht unterstützte Optionen
Auto-Provisioning und Auto-Deprovisionierung von Benutzern, z. B. automatisches Erstellen von Spendesk-Konten, wenn jemand beim Identitätsanbieter eingeladen wird – oder wenn jemand aus der Organisation entfernt wird. Ebenso werden Rollen und Teams nicht mit den Identitätsanbietern synchronisiert (oft als SCIM-Funktion bezeichnet).
Dies wird dadurch erleichtert, dass man Benutzer per Link zu Spendesk einladen (keine SAML-basierte automatische Bereitstellung erforderlich) und trotzdem den Zugriff über den SAML-Anbieter einschränken kann ("soft" De-Provisioning).
Wie auch immer, Auto-Deprovisioning würde bei Spendesk nicht wirklich helfen, da zB Abo-Karten etc. einer anderen Person zugewiesen werden müssen, was nicht automatisiert werden kann.
Ab heute unterstützen wir nur ein SSO-System pro Organisation .