Spotnana Single Sign-on (SSO) für Ihren Identity Provider einrichten

INHALTSVERZEICHNIS

• Spotnana Single Sign-on (SSO) für Ihren Identity Provider einrichten
  • Einleitung
  • Voraussetzungen
    • SAML
    • OpenID Connect
    • Google Standard
  • Konfigurationsschritte im Spotnana Online-Buchungstool
    • SAML
    • OpenID Connect
    • Google Standard
  • Testen 
    • Fehlerbehebung
  • Hinweise
    • SAML
    • OpenID Connect

Einleitung

In dieser Anleitung erfahren Sie, wie Sie Spotnana mit Ihrem Identity Provider (IdP) verbinden, um Single Sign-on (SSO) zu nutzen. Nach erfolgreicher Einrichtung müssen Ihre Nutzer keine Spotnana-spezifischen Zugangsdaten mehr eingeben, sondern melden sich direkt per SSO an. Für die SSO-Anbindung sind einige einmalige Schritte notwendig, die in drei Abschnitte unterteilt sind:

• Vorbereitende Aufgaben - Detaillierte Hinweise, welche Informationen Sie vorab von Ihrem IdP benötigen. Es gibt separate Abschnitte für SAML, OpenID Connect und Standard (nur Google).

• Konfigurationsschritte im Spotnana Online-Buchungstool (OBT) - Schritt-für-Schritt-Anleitungen zur Anbindung von Spotnana an Ihren IdP. Es gibt eigene Abschnitte für SAML, OpenID Connect und Standard (nur Google).

• Testen - Hinweise, wie Sie die Verbindung zwischen Spotnana und Ihrem IdP testen und sicherstellen, dass alles korrekt eingerichtet ist.

Voraussetzungen

SAML

Ihre Metadaten werden entweder als Text aus einem XML-Dokument oder als URL bereitgestellt, unter der Ihre Metadaten-Datei abgelegt ist. Halten Sie diese Informationen bereit, bevor Sie starten. 

• Wenn Sie ein Metadata-XMLverwenden, geben Sie uns im Rahmen der SAML-XML-Metadaten und das SAML-E-Mail-Attribut während der Konfiguration im OBT (über die Seite Ihre Unternehmensdaten eingeben ). Das E-Mail-Attribut muss der E-Mail-Adresse des Nutzers entsprechen.

• Wenn Sie eine Metadaten-Dokument-URLverwenden, geben Sie uns die Endpoint-URL , unter der Ihr Metadaten-Dokument erreichbar ist, sowie das SAML-E-Mail-Attribut während der Konfiguration im OBT (über die Seite Ihre Unternehmensdaten eingeben ). Auch hier muss das E-Mail-Attribut der E-Mail-Adresse des Nutzers entsprechen.

OpenID Connect

Für die Einrichtung benötigt Spotnana folgende Angaben von Ihnen:

• Client ID – Die öffentliche Kennung Ihres IdP für Ihr Konto.

• Client Secret – Ein nur Ihrem IdP bekanntes, eindeutiges Passwort, das zur Authentifizierung dient.

• Attribut-Abrufmethode (GET oder POST) – Die HTTP-Methode, mit der die Nutzerdaten abgefragt werden.

• Issuer URL – Die URL, über die Authentifizierungsanfragen laufen.

• OpenID Connect E-Mail-Attribut – Das Attribut, mit dem einzelne Nutzer identifiziert werden. Dieses Attribut muss der E-Mail-Adresse des Nutzers entsprechen.

Google Standard

Für diese Konfigurationsvariante sind keine Vorbereitungen erforderlich.

Konfigurationsschritte im Spotnana Online-Buchungstool

SAML

Um die SSO-Verbindung einzurichten, melden Sie sich im OBT an, wählen Sie Unternehmen im Programm Menü, klappen Sie das Konfiguration Menü (links) auf und wählen Sie Integration. Anschließend wechseln Sie zum SSO Tab und klicken auf Verbinden neben der Option SAML . 

1. Der Bildschirm SAML im IdP konfigurieren wird angezeigt. Hier finden Sie zwei Werte: ACS/Reply-URL und Entity ID, die Sie benötigen, um Ihren IdP so einzurichten, dass Anfragen von uns angenommen und Antworten gesendet werden können. Nutzen Sie die Kopierfunktion, um die Werte in die passenden Felder Ihres IdP zu übernehmen. Nachdem Sie die Werte gespeichert haben, klicken Sie auf Weiter. Der Bildschirm SAML-Quelle auswählen wird angezeigt.  

2. Geben Sie an, woher Ihr SAML-Metadaten-Dokument stammt. Wählen Sie entweder Metadata-XML oder Metadaten-Dokument-Endpoint-URL. 

   1. Wenn Sie Metadata-XMLausgewählt haben:

      • Sie werden aufgefordert, die XML-Daten Ihres IdP einzufügen. Kopieren Sie die XML-Daten in das vorgesehene Feld.

        • Hinweis: Achten Sie darauf, dass Ihr XML folgende Zeile enthält:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Wenn Sie Ihr XML nicht direkt bearbeiten können, stellen Sie sicher, dass Ihr IdP die Option IDP Redirect URL erforderlichaktiviert hat.

      • Geben Sie das SAML-E-Mail-Attribut ein, wenn Sie dazu aufgefordert werden, und klicken Sie auf Verbinden. 

   2. Wenn Sie Metadaten-Dokument-Endpoint-URLausgewählt haben:

      • Tragen Sie die URL, unter der Ihr Metadaten-Dokument erreichbar ist, in das Feld Endpoint-URL ein.

      • Geben Sie Ihr SAML-E-Mail-Attribut in das entsprechende Feld ein.

3. Klicken Sie auf Verbinden , wenn Sie fertig sind.

OpenID Connect

Um die SSO-Verbindung einzurichten, melden Sie sich im OBT an, wählen Sie Unternehmen im Programm Menü, klappen Sie das Konfiguration Menü (links) auf und wählen Sie Integration. Wechseln Sie anschließend zum SSO Tab und klicken Sie auf Verbinden neben der Option OpenID Connect . 

1. Geben Sie die Werte für folgende Felder an

   • Attribut-Abrufmethode (GET oder POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • OpenID Connect E-Mail-Attribut 

2. Klicken Sie auf Verbinden , wenn Sie fertig sind.

Google Standard

Um die SSO-Verbindung einzurichten, melden Sie sich im OBT an, wählen Sie Unternehmen im Programm Menü, klappen Sie das Konfiguration Menü (links) auf und wählen Sie Integration. Wechseln Sie anschließend zum SSO Tab und klicken Sie auf Verbinden neben der Option Google Standard .

Testen 

Sobald Spotnana mit Ihrem IdP verbunden ist, sollten Sie und Ihre Nutzer prüfen, ob SSO wie gewünscht funktioniert. Dabei werden Sie gebeten, folgende Schritte durchzuführen: 

1. Melden Sie sich bei Spotnana ab.

2. Öffnen Sie die Anmeldeseite.

3. Wählen Sie die SSO-Anmeldeoption. Sie werden automatisch zur Anmeldeseite Ihres IdP weitergeleitet.

4. Geben Sie Ihre Zugangsdaten für den IdP ein. Nach erfolgreicher Anmeldung werden Sie automatisch zu Spotnana zurückgeleitet und sind eingeloggt.

Hinweis: Sollte die SSO-Weiterleitung für einzelne Nutzer nicht funktionieren, können diese sich weiterhin mit ihren Spotnana-Zugangsdaten anmelden.

Wenn Sie Einstellungen zur SSO-Verbindung in Spotnana ändern, wird dieser Testablauf erneut gestartet. 

Fehlerbehebung

Wenn alle Nutzer in Ihrem Unternehmen beim Testen auf Probleme stoßen, gehen Sie bitte wie folgt vor:

• Überprüfen Sie, ob alle Verbindungsdaten korrekt sind und in Spotnana richtig eingetragen wurden.

• Stellen Sie sicher, dass Ihr Identity Provider (IdP) korrekt konfiguriert und erreichbar ist.

Wenn nur einzelne Nutzer Probleme haben, existieren diese vermutlich noch nicht in Spotnana, im IdP oder in beiden Systemen.

Hinweise

SAML

• Bezeichner: Wir unterstützen keine Bezeichner, die Nutzer in Multi-Tenant-Anwendungen zum IdP weiterleiten.

• Automatisches Abmelden: Wenn sich ein Nutzer beim IdP abmeldet, wird er automatisch auch bei Spotnana abgemeldet.

• IdP-initiiertes SAML-Login: Wir setzen SP-initiierte SAML-Assertions voraus (branchenüblicher Standard).

• SAML-Signierung und -Verschlüsselung: Wir unterstützen weder die Signierung von SAML-Anfragen noch die verpflichtende Verschlüsselung von SAML-Assertions.

OpenID Connect

• Bezeichner: Wir unterstützen keine Bezeichner, die Nutzer in Multi-Tenant-Anwendungen zum IdP weiterleiten.

• OpenID Connect Endpunkte abrufen: Wir unterstützen ausschließlich die automatische Befüllung über die Issuer-URL und erlauben keine manuelle Eingabe der Endpunkte. Folgende Endpunkte werden automatisch ausgefüllt: Authorization Endpoint, Token Endpoint, Userinfo Endpoint und jwks_uri.