HELP FILE

Einrichten der SSO-Authentifizierung

Dieser Artikel enthält Anleitungen für Rescue-Administratoren.

Mit Hilfe von „Single Sign-on“ (SSO; einmaliges Anmelden) können sich Support-Techniker sicher von einer anderen Anwendung aus bei LogMeIn Rescue anmelden.

Unternehmen in der IT-Branche arbeiten heutzutage häufig mit vielen unterschiedlichen Systemen, die jeweils eine eigene Authentifizierung erfordern. Dies erweist sich oft sowohl für die Administratoren als auch die Endbenutzer als Herausforderung. Die Single-Sign-On-Funktion (SSO) von LogMeIn Rescue hilft Ihnen dabei, dieses Problem zu umgehen.

Optionen

Die Einrichtung erfolgt im Administrationscenter auf der Registerkarte Globale Einstellungen unter Single-Sign-On.

Sie können steuern, wie sich die Techniker und Administratoren bei Rescue anmelden können.

Hier ein Überblick über die unter Globale Einstellungen > Single-Sign-On > Zulässige Anmeldemethode verfügbaren Optionen:
  • Option 1: Standard oder SSO
    • Die Benutzer können sich entweder mit ihren Standard-Zugangsdaten für Rescue (E-Mail-Adresse/Passwort) oder ihrer SSO-ID anmelden. Beide Methoden sind gültig.
    • Achtung: Wenn Sie die Einmalanmeldung (Single Sign-On) erlauben, müssen Sie auf der Registerkarte „Globale Einstellungen“ ein Master-SSO-Passwort festlegen und jedem Benutzer auf der Registerkarte „Organisation“ eine SSO-ID zuweisen. Benutzer ohne SSO-ID können die Einmalanmeldung nicht verwenden.
  • Option 2: Nur SSO
    • Die Benutzer können sich nur mit ihrer SSO-ID anmelden. Wenn Sie diese Option auswählen, können sich Benutzer ohne SSO-ID nicht anmelden.
    • Achtung: Wenn Sie die Einmalanmeldung (Single Sign-On) erlauben, müssen Sie auf der Registerkarte „Globale Einstellungen“ ein Master-SSO-Passwort festlegen und jedem Benutzer auf der Registerkarte „Organisation“ eine SSO-ID zuweisen.
  • Option 3: Nur SSO plus Benutzer ohne SSO-ID dürfen Standard-Anmeldung verwenden
    • Benutzer mit einer SSO-ID können sich nur mit ihrer SSO-ID anmelden.
    • Benutzer ohne SSO-ID können die Standard-Anmeldung verwenden.

Funktionsweise

Bei der SSO-Funktionalität findet die API-Technologie Anwendung.

  • Das vom Unternehmen gehostete Skript sendet eine HTTP-Anfrage an die SSO-Anmeldedienste.
  • Der SSO-Anmeldedienst bestätigt die erfolgreiche Anmeldung und ruft die Anmelde-URL ab. Falls der Vorgang fehlschlägt, wird eine Fehlermeldung ausgegeben.
  • Das vom Unternehmen gehostete Skript wertet den zurückgegebenen Wert aus.
  • Ist die Anfrage erfolgreich, leitet das Skript den Benutzer zur angegebenen URL weiter. Ist die Anfrage nicht erfolgreich, wird die Fehlerbehandlung gestartet.
Die HTTP-Anfrage ist ein einfacher, formatierter URL-String, der die SSO-URL, die SSO-ID, die CompanyID und das SSO-Passwort enthält.
Single-Sign-On-URL (SSO-URL)
Für die Anmeldung bei der webbasierten Technikerkonsole: https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx
Für die Anmeldung bei der Desktop-App der Technikerkonsole: https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx
Single-Sign-On-ID (SSO-ID)
Die ID, die Sie beim Hinzufügen oder Bearbeiten von Mitgliedern Ihrer Organisation auf der Registerkarte Organisation des Administrationscenters im Feld SSO-ID definieren.
CompanyID
Siehe den Beispielcode auf der Registerkarte Globale Einstellungen im Administrationscenter.
Master-SSO-Passwort
Das auf der Registerkarte Globale Einstellungen definierte SSO-Passwort.

Ein Beispiel dieser formatierten URL sieht folgendermaßen aus:

Bei der Anmeldung bei der webbasierten Technikerkonsole:
https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx?
ssoid=123456&Password=secretPassword&CompanyID=654321
Bei der Anmeldung bei der Desktop-App der Technikerkonsole:
  • DTC x86:
    https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx?
    ssoid=123456&Password=secretPassword&CompanyID=654321
  • DTC x64:
    https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx?
    ssoid=123456&Password=secretPassword&CompanyID=654321&arch=64

Zusammen mit dieser Anfrage werden die Parameter SSOID, Password und CompanyID an den Rescue-SSO-Dienst gesendet, der daraufhin eine Zeichenfolge zurückgibt. Bei einer erfolgreichen Authentifizierung wird eine Zeichenfolge zurückgegeben, die etwa folgendermaßen aussieht:

Webbasierte Technikerkonsole:
OK: https://secure.logmeinrescue.com/SSO/Login.aspx?
Ticket=6ab9a0f6-d3ce-4f498-8ea7-b9a76a67a0c8
Desktop-App der Technikerkonsole (DTC):
  • DTC x86:
    https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx?
    companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824
  • DTC x64:
    https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx?
    companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824&arch=64
Bei einer gescheiterten Authentifizierung wird eine Zeichenfolge zurückgegeben, die etwa folgendermaßen aussieht:
ERROR: INVALIDPASSWORD

Diese Zeichenfolge können Sie dann verarbeiten, indem Sie sie auf Fehler analysieren und diese entsprechend beheben. In einem typischen Szenario würden Sie eine IF-Bedingung verwenden, um die zurückgegebene Zeichenfolge zu verarbeiten und diese auf das Vorhandensein von „OK:“ in den ersten drei Zeichen zu prüfen. Wenn diese drei Zeichen vorhanden sind, geben Sie die URL (den letzten Teil der Zeichenfolge, die Sie verarbeitet haben) entweder an den Benutzer weiter oder sorgen Sie dafür, dass er automatisch zur URL weitergeleitet wird.

Single Sign-On: Überlegungen

Da Single Sign-On für die Authentifizierung eine Benutzer-ID erfordert, ist ein logischer Schritt die Verwendung der Windows-Anmeldeinformationen. Die meisten Programmiersprachen ermöglichen Ihnen dies mit serverseitigen Variablen. Der entscheidende Punkt ist, dass die Serververbindung eine authentifizierte Verbindung erfordert, d. h. nicht anonym sein darf. Dies ist ein Integrationsprozess, der über den Internet Explorer erfolgt. Dieser gibt die Domain-Anmeldeinformationen automatisch an den Intranetserver weiter; vorausgesetzt, Sie erlauben keinen anonymen Zugriff. Der beste Ansatz ist die Übermittlung der authentifizierten Benutzer-ID als SSO-ID von Ihrem Intranet-Webserver an den SSO-Dienst.

Single Sign-On und SAML 2.0

LogMeIn Rescue ist kompatibel zur Security Assertion Markup Language (SAML) 2.0. Nähere Informationen zum Konfigurieren von LogMeIn Rescue für die Verwendung von SAML 2.0 bei Ihrem Identitätsanbieter finden Sie im Benutzerhandbuch für LogMeIn Rescue Web SSO mit SAML 2.0.

Hinweis: Der letzte Schritt im SSO-Konfigurationsvorgang muss vom LogMeIn-Supportteam ausgeführt werden. Bitte wenden Sie sich an Ihren Customer-Success-Manager oder den LMI-Support, um Hilfe zu erhalten.