INHALTSVERZEICHNIS
- Begriffserklärung
- Konfiguration
- Verhalten im System
- So nutzen dies unsere Kunden
- Weitere Artikel zu diesem Thema
Begriffserklärung
Single Sign-on ("Einmal-Anmeldung") ist ein Anmeldeverfahren, bei dem Benutzer Zugangsdaten nur für ein System benötigen. Benutzer werden dann automatisch bei allen anderen verknüpften Systemen ebenfalls angemeldet und brauchen bei der Anmeldung nicht Benutzernamen und Passwort eingeben.
Vorteile
- Benutzer können sich nicht von fremden Computern in d.vinci anmelden, was die Sicherheit erhöht.
Per VPN ist auch mobiles Arbeiten möglich. - Benutzer können die Zugangsdaten zu d.vinci nicht verlieren oder an Dritte weitergeben.
- Benutzer können sich nicht durch falsche Passworteingabe aus d.vinci ausschließen und müssen daher keine Administratoren bitten, das Passwort zurückzusetzen.
SAML
Wir verwenden SAML 2.0, um die Nutzung von Single Sign-on zu ermöglichen. SAML (Security Assertion Markup Language) ist ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen und wurde als offener Standard entwickelt.
Identity-Provider und Service-Provider
Im Zentrum eines Single-Sign-on-Netzwerks liegt eine Applikation zur Verwaltung von Identitäten, der sogenannte Identity-Provider (IdP). Der Identity Provider wird dafür verwendet, Applikationen miteinander zu verknüpfen, die von der Einmal-Anmeldung profitieren sollen. Solche Applikationen werden Service-Provider genannt.
Konfiguration
Voraussetzungen
Unsere Software ist in diesem Zusammenhang ein Service-Provider und bietet eine Anschlussmöglichkeit für den Identity-Provider.
- Als Identity-Provider wird eine Drittsoftware benötigt.
- Der Identity-Provider muss SAML 2.0 unterstützen.
- Von d.vinci-Kunden erfolgreich genutzt werden z.B. onelogin, die Microsoft Active Directory Federation Services (AD FS) oder auch die Open-Source-Lösung Shibboleth.
Konfigurationsbeispiele
Wie ihr das Single Sign-on einrichten könnt, unterscheidet sich nach dem von euch im Unternehmen verwendeten Identity-Provider. Die Einrichtung muss meist eure IT-Abteilung vornehmen.
- Single Sign-on einrichten (am Beispiel "Azure Active Directory")
- Single Sign-on einrichten (am Beispiel "ADFS")
Verhalten im System
- Anmeldung der Benutzer
Die Anmeldung in d.vinci mit Single Sign-on ist simpel: Benutzer rufen d.vinci im Browser auf und drücken auf den Button Single Sign-on. Da sie bereits am Arbeits-Computer angemeldet sind, wird d.vinci direkt geöffnet. - Abmeldung von d.vinci
Sollen sich Benutzer abmelden wollen, können sie dies wie gewohnt über den Button Abmelden in ihrem Benutzermenü.
So nutzen dies unsere Kunden
Um Passwort-Verlust, Fehlanmeldungen und Co. zu vermeiden, nutzen fast alle Kunden, die im Unternehmen generell die Möglichkeit zum Single Sign-on haben, dies auch für d.vinci.