Einrichten der SSO-Authentifizierung

Die offizielle Version dieses Inhalts ist auf Englisch. Einige Inhalte der GoTo-Dokumentation wurden maschinell übersetzt, um den Zugriff zu erleichtern. GoTo hat keine Kontrolle über maschinell übersetzte Inhalte. Diese können Fehler, Unstimmigkeiten oder unangemessene Sprache enthalten. Es gibt keine Garantie, weder ausdrücklich noch stillschweigend, hinsichtlich der Exaktheit, Zuverlässigkeit, Eignung oder Fehlerfreiheit von Übersetzungen der englischen Originaltexte in eine andere Sprache, und GoTo kann nicht haftbar gemacht werden für etwaige Schäden oder Probleme, die sich aus der Verwendung dieser maschinell übersetzten Inhalte oder dem Vertrauen auf diese Inhalte ergeben könnten.

Einrichten der SSO-Authentifizierung

Dieser Artikel enthält eine Anleitung für Rescue-Administratoren.

Mit Single Sign-on können sich Support-Techniker von anderen Anwendungen aus sicher bei Rescue anmelden.

Unternehmen in der IT-Branche arbeiten heutzutage häufig mit vielen unterschiedlichen Systemen, die jeweils eine eigene Authentifizierung erfordern. Dies erweist sich oft sowohl für die Administratoren als auch die Endbenutzer als Herausforderung. Die Single Sign-on (SSO)-Funktion von Rescue hilft Ihnen, dieses Problem zu lösen.

Optionen

Die Einrichtung erfolgt im Administrationscenter auf der Registerkarte Globale Einstellungen unter Single Sign-On.

Sie haben die Kontrolle darüber, wie sich Techniker und Administratoren bei Rescue anmelden können.

Hier ist eine Zusammenfassung der Optionen, die unter Globale Einstellungen > Single Sign-On > Allowed login method verfügbar sind:

Option 1: Standard oder SSO
- Die Benutzer können sich entweder mit ihrer Standard-E-Mail/ihrem Standard-Passwort Rescue oder mit ihrer SSO-ID anmelden. Beide Methoden sind gültig.
- Achtung: Wenn Sie die Einmalanmeldung (Single Sign-On) erlauben, müssen Sie auf der Registerkarte „Globale Einstellungen“ ein Master-SSO-Passwort festlegen und jedem Benutzer auf der Registerkarte „Organisation“ eine SSO-ID zuweisen. Benutzer ohne SSO-ID können die Einmalanmeldung nicht verwenden.
Option 2: Nur SSO
- Die Benutzer können sich nur mit ihrer SSO-ID anmelden. Wenn Sie diese Option auswählen, können sich Benutzer ohne SSO-ID nicht anmelden.
- Achtung: Wenn Sie die Einmalanmeldung (Single Sign-On) erlauben, müssen Sie auf der Registerkarte „Globale Einstellungen“ ein Master-SSO-Passwort festlegen und jedem Benutzer auf der Registerkarte „Organisation“ eine SSO-ID zuweisen.
Option 3: Nur SSO plus Benutzer ohne SSO-ID dürfen Standard-Anmeldung verwenden
- Benutzer mit einer SSO-ID können sich nur mit ihrer SSO-ID anmelden.
- Benutzer ohne SSO-ID können die Standard-Anmeldung verwenden.

Funktionsweise

Bei der SSO-Funktionalität findet die API-Technologie Anwendung.

Das vom Unternehmen gehostete Skript sendet eine HTTP-Anfrage an die SSO-Anmeldedienste.
Der SSO-Anmeldedienst bestätigt die erfolgreiche Anmeldung und ruft die Anmelde-URL ab. Falls der Vorgang fehlschlägt, wird eine Fehlermeldung ausgegeben.
Das vom Unternehmen gehostete Skript wertet den zurückgegebenen Wert aus.
Ist die Anfrage erfolgreich, leitet das Skript den Benutzer zur angegebenen URL weiter. Ist die Anfrage nicht erfolgreich, wird die Fehlerbehandlung gestartet.

Die HTTP-Anfrage ist ein einfacher, formatierter URL-String, der die SSO-URL, die SSO-ID, die CompanyID und das SSO-Passwort enthält.

Single-Sign-On-URL (SSO-URL): Für die Anmeldung bei der webbasierten Technikerkonsole: https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx; Für die Anmeldung bei der Desktop-App der Technikerkonsole: https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx
Single-Sign-On-ID (SSO-ID): Die ID, die Sie beim Hinzufügen oder Bearbeiten von Mitgliedern Ihrer Organisation auf der Registerkarte Organisation des Administrationscenters im Feld SSO-ID definieren.
CompanyID: Siehe den Beispielcode auf der Registerkarte Globale Einstellungen im Administrationscenter.
Master-SSO-Passwort: Das auf der Registerkarte Globale Einstellungen definierte SSO-Passwort.

Ein Beispiel dieser formatierten URL sieht folgendermaßen aus:

Im Falle der Anmeldung bei der webbasierten Techniker-Konsole:

https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx?
ssoid=123456&Password=secretPassword&CompanyID=654321

Bei der Anmeldung an der Desktop-Techniker-Konsole:

x86 DTC:

https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx?
ssoid=123456&Password=secretPassword&CompanyID=654321

x64 DTC:

https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx?
ssoid=123456&Password=secretPassword&CompanyID=654321&arch=64

Bei dieser Anfrage werden die SSOID, Passwort und CompanyID an den SSO-Dienst Rescue gesendet, der einen String-Wert zurückgibt. Bei einer erfolgreichen Authentifizierung wird eine Zeichenfolge zurückgegeben, die etwa folgendermaßen aussieht:

Im Falle der webbasierten Techniker-Konsole:

OK: https://secure.logmeinrescue.com/SSO/Login.aspx?
Ticket=6ab9a0f6-d3ce-4f498-8ea7-b9a76a67a0c8

Desktop-App der Technikerkonsole (DTC):

x86 DTC:

https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx?
companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824

x64 DTC:

https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx?
companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824&arch=64

Eine fehlgeschlagene Authentifizierung würde eine Zeichenfolge ähnlich der folgenden zurückgeben:

ERROR: INVALIDPASSWORD

Diese Zeichenfolge können Sie dann verarbeiten, indem Sie sie auf Fehler analysieren und diese entsprechend beheben. In einem typischen Szenario würden Sie eine IF-Bedingung verwenden, um die zurückgegebene Zeichenfolge zu verarbeiten und diese auf das Vorhandensein von „OK:“ in den ersten drei Zeichen zu prüfen. Wenn diese drei Zeichen vorhanden sind, geben Sie die URL (den letzten Teil der Zeichenfolge, die Sie verarbeitet haben) entweder an den Benutzer weiter oder sorgen Sie dafür, dass er automatisch zur URL weitergeleitet wird.

Single Sign-On: Überlegungen

Da Single Sign-On für die Authentifizierung eine Benutzer-ID erfordert, ist ein logischer Schritt die Verwendung der Windows-Anmeldeinformationen. Die meisten Programmiersprachen ermöglichen Ihnen dies mit serverseitigen Variablen. Der entscheidende Punkt ist, dass die Serververbindung eine authentifizierte Verbindung erfordert, d. h. nicht anonym sein darf. Dies ist ein Integrationsprozess, der über den Internet Explorer erfolgt. Dieser gibt die Domain-Anmeldeinformationen automatisch an den Intranetserver weiter; vorausgesetzt, Sie erlauben keinen anonymen Zugriff. Der beste Ansatz ist die Übermittlung der authentifizierten Benutzer-ID als SSO-ID von Ihrem Intranet-Webserver an den SSO-Dienst.

Einzelanmeldung und SAML 2.0

Rescue ist kompatibel mit der Security Assertion Markup Language (SAML) 2.0. Ausführliche Informationen zur Konfiguration von Rescue für die Verwendung von SAML 2.0 mit Ihrem Identitätsanbieter finden Sie im Rescue Web SSO via SAML 2.0 User Guide.

Bitte beachten Sie: Der letzte Schritt im SSO-Konfigurationsprozess muss vom GoTo Support-Team durchgeführt werden. Bitte wenden Sie sich an Ihren Customer Success Manager oder an den LMI-Support, wenn Sie Hilfe benötigen.

Artikel zuletzt aktualisiert: 27 September, 2022