Anreise
Single Sign-On (SSO) ist für die Advanced-Pläne und höher verfügbar Um ein Upgrade durchzuführen oder ein Abonnement abzuschließen, kontaktieren Sie uns bitte hier
Administratoren können über Organisationseinstellungen > Sicherheitauf die SSO-Einstellungen zugreifen und diese bearbeiten. Abrechnungsadministratoren können diese Seite anzeigen, aber nicht bearbeiten.
Was ist Single Sign-On?
SAML-SSO ermöglicht die sichere Anmeldung bei einer oder mehreren Organisationen mit einem einzigen Satz Anmeldeinformationen. Es erhöht die Sicherheit, optimiert den Zugriff und ermöglicht einen nahtlosen Wechsel zwischen SSO-fähigen Organisationen mit demselben Identitätsanbieter (IDP).
Informieren Sie sich in der folgenden Tabelle über das Anmelde-, Abmelde- und Registrierungsverhalten der Plattform, wenn SSO aktiviert/deaktiviert ist:
Funktionalität | Admin/Benutzer-Administratoren | Andere Benutzer |
|---|---|---|
Organisation anmelden | Der Organisationsadministrator lädt einen Benutzer per E-Mail zur Organisation ein. | Der Benutzer nimmt die Einladung an, indem er auf den in der E-Mail bereitgestellten Link klickt. Benutzer können sich mit ihrer E-Mail-Adresse bei der Organisation anmelden, ohne zusätzliche Informationen anzugeben. Wenn SSO für eine Organisation deaktiviert ist, wird der Benutzer automatisch abgemeldet und muss seine E-Mail-Adresse und sein Kennwort verwenden, um sich erneut bei der Organisation anzumelden. Das Passwort muss wahrscheinlich aktualisiert werden. |
Organisation anmelden | SSO-fähige Organisation: Der Benutzer kann sich mit seiner SSO-authentifizierten E-Mail anmelden. | |
Nicht-SSO-Organisation: Der Benutzer kann sich mit der E-Mail-Adresse und dem Kennwort seiner Organisation oder mit Google anmelden. | ||
Dauer der SSO-Sitzung | Alle Benutzer bleiben 24 Stunden lang bei einer SSO-fähigen Organisation angemeldet. Danach werden sie automatisch abgemeldet und müssen sich erneut anmelden. | |
Anmelden bei mehreren Organisationen | Der Plattformadministrator ermöglicht dem Benutzer den Zugriff auf mehrere Organisationen. | Wenn sich ein Benutzer per SSO anmeldet und Teil mehrerer Organisationen mit einem gemeinsamen IDP ist, wird der Benutzer gefragt, bei welcher Organisation er sich anmelden möchte. |
Anmelden bei einer einzelnen Organisation | Der Plattformadministrator ermöglicht dem Benutzer den Zugriff auf eine Organisation. | Da der Benutzer nur einer Organisation angehört, wird er direkt dorthin weitergeleitet. |
SSO-zu-SSO-Organisationswechsel: Wenn ein Benutzer zwischen SSO-fähigen Organisationen wechselt, die denselben Identitätsanbieter (IDP) verwenden, wird der Zugriff des Benutzers weiterhin überprüft, um zu prüfen, ob er über die erforderliche Berechtigung verfügt. | ||
Wechsel von SSO- zu Nicht-SSO-Organisationen (und umgekehrt): Beim Wechsel zwischen Organisationen wird der Benutzer automatisch abgemeldet und muss sich mit den richtigen Anmeldeinformationen bei der Nicht-SSO-Organisation anmelden. | ||
Zugriffsverweigerung | Administratorbenutzer oder Administratoren können den Zugriff auf die Anmeldeinformationen eines Benutzers verweigern, indem sie den Benutzer aus dem IDP löschen oder deaktivieren und/oder ihn von der Plattform entfernen. | Der Benutzer kann sich nicht mehr bei der Organisation anmelden. |
Wenn ein Benutzer aus dem IDP oder der Organisation entfernt wird, muss er sein Kennwort zurücksetzen, um wieder Zugriff auf die anderen Organisationen zu erhalten, für die er aktiviert ist. |
Konfigurieren der SSO-Einstellungen
SSO kann in neuen und bestehenden Organisationen aktiviert werden. Allerdings muss es vor der Aktivierung zunächst konfiguriert werden.
Externe Konfigurationen für SSO
Um SAML SSO zu verwenden, müssen Sie die geschäftliche E-Mail-Adresse des Benutzers zum IDP hinzufügen. Diese Konfiguration erfolgt extern, d. h. außerhalb der respond.io-Plattform.
Interne Konfigurationen für SSO
Klicken Sie auf der Seite Sicherheit auf die Schaltfläche Konfigurieren , um SSO zu konfigurieren.
Konfigurieren Sie im daraufhin geöffneten Dialogfeld „SAML SSO konfigurieren“ die folgenden Optionen:
Konfigurationsoptionen | Beschreibung |
|---|---|
Entitäts- oder Aussteller-ID | Der global eindeutige Name für einen Identitätsanbieter oder einen Dienstanbieter. Verwenden Sie das Kopiersymbol, um diese URL zu kopieren und in Ihren IDP einzufügen. |
Zielgruppen-URL | Bestimmt den beabsichtigten Empfänger oder die Zielgruppe für die SAML-Assertion. Verwenden Sie das Kopiersymbol, um die URL in Ihre Zwischenablage zu kopieren, und geben Sie die URL in das entsprechende Feld des Identitätsanbieters (IDP) ein. |
URL des Assertion Customer Service (ACS) | Die Kombination aus der Secure Token Server-Subsystemadresse, seiner Portnummer für die Verarbeitung von SAML-Nachrichten, der SAML-Bindung und allen erforderlichen Informationen, die spezifisch für CIC oder ICWS sind. Verwenden Sie das Kopiersymbol, um die URL in Ihre Zwischenablage zu kopieren, und geben Sie die URL in das entsprechende Feld des IDP ein. |
SAML-Assertion-Verschlüsselung verwenden | Standardmäßig deaktiviert. Aktivieren (nicht empfohlen) – Aktivieren Sie diese Funktion nur, um verschlüsselte SAML-Assertionen von Ihrem Identitätsanbieter (IDP) zu akzeptieren. Dies wird nicht empfohlen, da nicht alle IDPs diese Verschlüsselung unterstützen. |
Zertifikat herunterladen | Klicken Sie auf „Herunterladen“, um das Zertifikat herunterzuladen und es später bei Ihrem Identitätsanbieter (IDP) hochzuladen. |
Öffentlichen Schlüssel herunterladen | Klicken Sie auf „Herunterladen“, um den Schlüssel herunterzuladen und ihn später bei Ihrem Identitätsanbieter (IDP) hochzuladen. |
Identitätsanbieter oder Aussteller-Entitäts-ID | Fügen Sie die ID des Identitätsanbieters (IDP) oder der Aussteller-Entität ein. Kopieren Sie diese Informationen vom IDP und fügen Sie sie hier ein. |
Identitätsanbieter oder Aussteller-Entitäts-ID | Fügen Sie die ID des Identitätsanbieters (IDP) oder der Aussteller-Entität ein. Kopieren Sie diese Informationen vom IDP und fügen Sie sie hier ein. |
URL des Single Sign-On-Dienstes des Identitätsanbieters | Fügen Sie die URL des Single Sign-On-Dienstes des Identitätsanbieters ein. Kopieren Sie diese Informationen vom IDP und fügen Sie sie hier ein. |
URL des Single-Logout-Dienstes des Identitätsanbieters | Fügen Sie die URL des Single-Logout-Dienstes des Identitätsanbieters ein. Kopieren Sie diese Informationen vom IDP und fügen Sie sie hier ein. |
E-Mail-Kennungszuordnungsvariable | Fügen Sie den Identifikator ein, der der E-Mail-Adresse eines Benutzers entspricht. Bei diesem Wert muss die Groß- und Kleinschreibung beachtet werden. Kopieren Sie diese Informationen vom IDP und fügen Sie sie hier ein. |
Identitätsanbieter-Zertifikat | Geben Sie eine Liste der Domänen an, denen Sie Zugriff gewähren möchten, während Sie den Zugriff auf alle anderen Domänen einschränken möchten. Die Domänen müssen dem richtigen Format entsprechen, z. B. www.domainname.top-level-domain. Wenn Sie dieses Feld leer lassen, werden keine Domänen eingeschränkt. |
Konfigurieren | Überprüft die Konfigurationseinstellungen und speichert dann die Aktualisierungen. |
Sobald SSO erzwungen wurde, erhalten alle Benutzer innerhalb der Organisation die Benachrichtigung per E-Mail und über das Benachrichtigungscenter.
Konfiguration bearbeiten
Nachdem Sie die internen SSO-Konfigurationen angegeben haben, klicken Sie auf die Schaltfläche Konfiguration bearbeiten , um die Einstellungen zu bearbeiten. Wenn SSO jedoch aktiviert ist, können Sie die Konfiguration nicht bearbeiten und müssen SSO vorübergehend deaktivieren, indem Sie im Dialogfeld SSO-Konfiguration für diese Organisation bearbeiten auf die Schaltfläche Deaktivieren klicken. Sie werden automatisch abgemeldet und müssen sich erneut mit der E-Mail-Adresse und dem Kennwort für die Organisation (SSO deaktiviert) anmelden.
Konfiguration löschen
Wenn Sie die Konfiguration entfernen möchten, klicken Sie auf die Schaltfläche Konfiguration löschen und bestätigen Sie den Löschvorgang, indem Sie im angezeigten Popup auf LÖSCHEN klicken. Dadurch werden die Benutzer deaktiviert und abgemeldet.
Aktivieren/Deaktivieren von SSO für Ihre Organisation
Aktivieren Sie auf der Seite Sicherheit den Schalter Anmeldung mit SSO aktivieren und klicken Sie im daraufhin geöffneten Dialogfeld auf Erzwingen. Alle Benutzer werden automatisch aus der Organisation abgemeldet und können sich mit der freigegebenen E-Mail-Adresse anmelden. Sie erhalten eine Benachrichtigung und E-Mail, in der Sie darüber informiert werden, dass Sie abgemeldet wurden, weil SSO in Ihrer Organisation aktiviert wurde.
Durch Deaktivieren des Schalters wird SSO für Ihre Organisation deaktiviert. Benutzer werden automatisch abgemeldet und können sich nur mit ihrer E-Mail-Adresse und ihrem Kennwort anmelden. Benutzer, die noch kein Passwort haben, müssen ihr Passwort auf der Anmeldeseite zurücksetzen. Sie erhalten eine Benachrichtigung und E-Mail, in der Sie darüber informiert werden, dass Sie abgemeldet wurden, weil SSO in Ihrer Organisation deaktiviert wurde.
Was ist Zwei-Faktor-Authentifizierung (2FA)
Die Zwei-Faktor-Authentifizierung (2FA) behebt das Problem der Passwortanfälligkeit und bietet eine zusätzliche Sicherheitsebene (für den Fall, dass Ihr Passwort kompromittiert wird). Sie verstärkt die Sicherheitsmaßnahmen zum Schutz vertraulicher Daten (indem sie die Möglichkeit eines unbefugten Zugriffs auf Ihr Konto ausschließt). Diese zusätzliche Schicht erfordert von den Nutzern Ihrer Organisation, einen Authentifizierungscode anzugeben, der von einer auf ihren Mobilgeräten installierten Authenticator-App generiert wird. Sobald die Benutzer die richtigen Passwörter eingegeben haben, müssen sie zur Anmeldung einen Authentifizierungscode eingeben.
Erzwingen der Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer
Die Durchsetzung der Zwei-Faktor-Authentifizierung (2FA) betrifft alle Benutzer der Organisation und kann sich auf ihre Fähigkeit zur Nutzung der Plattform auswirken. Das heißt, ihnen wird der Zugriff auf die Daten der Organisation'untersagt (sofern sie die Zwei-Faktor-Authentifizierung (2FA) nicht bereits in ihrem Profil festgelegt haben).
Es wird empfohlen, ihnen im Voraus eine Warnung zu geben oder dies zu einem Zeitpunkt durchzusetzen, an dem die meisten Benutzer die Plattform nicht verwenden, um ihren Fortschritt nicht zu unterbrechen.
Um die Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer innerhalb einer Organisation durchzusetzen, führen Sie die folgenden Schritte aus:
Aktiviere den Schalter zur DurchsetzungZwei-Faktor-Authentifizierung (2FA) für alle Benutzer.
Klicken Sie im Bestätigungsdialogfeld auf Erzwingen, um zu bestätigen.
Nach der Aktivierung erhalten alle Benutzer in der Organisation eine E-Mail und eine Benachrichtigung, dass sie die Zwei-Faktor-Authentifizierung (2FA) sofort aktivieren müssen.
Jeder Nutzer ist verantwortlich für das Aktivieren der Zwei-Faktor-Authentifizierung (2FA) in seinem eigenen Profil.
Deaktivieren der Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer
Du kannst die Durchsetzung der Zwei-Faktor-Authentifizierung (2FA) für die Nutzer deiner Organisation deaktivieren, indem du den AktivierenZwei-Faktor-Authentifizierung (2FA) für alle Nutzer-Schalter ausschaltest.
Wenn deaktiviert, wird die Durchsetzung der Zwei-Faktor-Authentifizierung (2FA) der Organisation entfernt, und die Nutzer müssen die Zwei-Faktor-Authentifizierung (2FA) nicht mehr aktivieren. Alle Benutzer in der Organisation (einschließlich derjenigen, die die Zwei-Faktor-Authentifizierung (2FA) nicht erzwungen haben) können jetzt alle Module anzeigen.
Einzelne Benutzer können weiterhin die Zwei-Faktor-Authentifizierung (2FA) für ihr Profil aktivieren.
Erteilen der Plattform-Support-Berechtigung
Aktivieren Sie diesen Schalter, um dem respond.io-Support die Berechtigung zum Zugriff auf Ihr Konto zu erteilen und Probleme schnell selbst zu lösen. Wenn Sie diese Option aktivieren, wird eine Benachrichtigung angezeigt. Sie können diese Option deaktivieren, indem Sie sie ausschalten.
Unser Team hat nur Lesezugriff auf Ihr Konto, um technische Unterstützung zu leisten. Sie können Ihre Daten weder ändern noch bearbeiten oder verändern, und Sie können diesen Zugriff jederzeit widerrufen.
Einladen eines Benutzers zu einer SSO-fähigen Organisation
Der Organisationsadministrator kann einen Benutzer von der Seite „ Arbeitsbereichseinstellungen > Benutzer “ zu einer Organisation einladen. Weitere Einzelheiten finden Sie hier.
Anmeldung bei einer SSO-fähigen Organisation
Benutzer können sich über eine Einladung anmelden, die an ihre E-Mail-Adresse gesendet wird. Klicken Sie auf den Link in der E-Mail, bestätigen Sie die E-Mail auf der sich öffnenden Seite und klicken Sie auf Anmelden.
Anmelden bei SSO-fähigen Organisationen
Benutzer können sich über die Anmeldeseite bei der SSO-fähigen Organisation anmelden, indem sie ihre E-Mail-Adresse angeben. Der IDP validiert die E-Mail-Adresse, bevor er sie bei der Organisation auf respond.io anmeldet.
Wenn der Benutzer mehreren Organisationen angehört, kann er im Dialogfeld „ Wählen Sie eine Organisation “ eine Organisation aus der Dropdown-Liste „Organisation“ auswählen.
Einrichten von SSO auf respond.io für Google Workspace
Folgen Sie dieser Schritt-für-Schritt-Anleitung, um respond.io als benutzerdefinierte SAML-App in Ihrer Google Admin-Konsole hinzuzufügen.
Schritt 1: Navigieren Sie in Ihrem Arbeitsbereich zu Einstellungen > Sicherheit
Schritt 2: Klicken Sie auf Konfigurieren
Schritt 3: Gehe zu https://admin.google.com/ac/apps/unified und klicke auf App hinzufügen > Benutzerdefinierte SAML-App hinzufügen
Schritt 4: Geben Sie den App-Namen und die Beschreibung ein und klicken Sie auf WEITER
Schritt 5: Kopiere die SSO-URL,Entitäts-ID und lade das Zertifikat herunter.
Schritt 6: In Ihrem Arbeitsbereich:
Fügen Sie die SSO-URL in das Feld Identity Provider (IDP) Single Sign-On Service URL ein.
Füge die Entity ID in das Identity Provider (IDP) oder Anbieter-Entity-ID-Feld ein
Laden Sie das Zertifikat in das Identity Provider (IDP)-Zertifikat hoch.
Schritt 7: Kopieren Sie in Ihrem Arbeitsbereich die Assertion Customer Services (ACS)-URL und die Entitäts- oder Aussteller-ID
Schritt 8: In Google Admin:
Fügen Sie die Assertion Customer Services (ACS) URL in das Feld ACS URL ein
Fügen Sie die Entity- oder Issuer-ID in das Feld Entity-ID ein
Klicken Sie dann auf WEITER
Schritt 9: Klicken Sie auf FERTIG
Schritt 10: Klicken Sie in Google Admin auf Benutzerzugriff
Schritt 11: Wählen Sie den Servicestatus EIN für alle und klicken Sie auf SPEICHERN
Schritt 12: Geben Sie in Ihrem Arbeitsbereich die Zulässigen Domänen ein und geben Sie "E-Mail" in das Feld E-Mail-Kennungszuordnungsvariable ein
Schritt 13: Klicken Sie zum Abschließen auf „Bestätigen“
