Einrichten der SSO-Authentifizierung
Mit Single Sign-on können sich Support-Techniker von anderen Anwendungen aus sicher bei Rescue anmelden.
Unternehmen in der IT-Branche arbeiten heutzutage häufig mit vielen unterschiedlichen Systemen, die jeweils eine eigene Authentifizierung erfordern. Dies erweist sich oft sowohl für die Administratoren als auch die Endbenutzer als Herausforderung. Die Single Sign-on (SSO)-Funktion von Rescue hilft Ihnen, dieses Problem zu lösen.
Optionen
Die Einrichtung erfolgt im Administrationscenter auf der Registerkarte Globale Einstellungen unter Single Sign-On.
Sie haben die Kontrolle darüber, wie sich Techniker und Administratoren bei Rescue anmelden können.
- Option 1: Standard oder SSO
- Die Benutzer können sich entweder mit ihrer Standard-E-Mail/ihrem Standard-Passwort Rescue oder mit ihrer SSO-ID anmelden. Beide Methoden sind gültig.
- Achtung: Wenn Sie die Einmalanmeldung (Single Sign-On) erlauben, müssen Sie auf der Registerkarte „Globale Einstellungen“ ein Master-SSO-Passwort festlegen und jedem Benutzer auf der Registerkarte „Organisation“ eine SSO-ID zuweisen. Benutzer ohne SSO-ID können die Einmalanmeldung nicht verwenden.
- Option 2: Nur SSO
- Die Benutzer können sich nur mit ihrer SSO-ID anmelden. Wenn Sie diese Option auswählen, können sich Benutzer ohne SSO-ID nicht anmelden.
- Achtung: Wenn Sie die Einmalanmeldung (Single Sign-On) erlauben, müssen Sie auf der Registerkarte „Globale Einstellungen“ ein Master-SSO-Passwort festlegen und jedem Benutzer auf der Registerkarte „Organisation“ eine SSO-ID zuweisen.
- Option 3: Nur SSO plus Benutzer ohne SSO-ID dürfen Standard-Anmeldung verwenden
- Benutzer mit einer SSO-ID können sich nur mit ihrer SSO-ID anmelden.
- Benutzer ohne SSO-ID können die Standard-Anmeldung verwenden.
Funktionsweise
Bei der SSO-Funktionalität findet die API-Technologie Anwendung.
- Das vom Unternehmen gehostete Skript sendet eine HTTP-Anfrage an die SSO-Anmeldedienste.
- Der SSO-Anmeldedienst bestätigt die erfolgreiche Anmeldung und ruft die Anmelde-URL ab. Falls der Vorgang fehlschlägt, wird eine Fehlermeldung ausgegeben.
- Das vom Unternehmen gehostete Skript wertet den zurückgegebenen Wert aus.
- Ist die Anfrage erfolgreich, leitet das Skript den Benutzer zur angegebenen URL weiter. Ist die Anfrage nicht erfolgreich, wird die Fehlerbehandlung gestartet.
- Single-Sign-On-URL (SSO-URL)
- Für die Anmeldung bei der webbasierten Technikerkonsole: https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx
- Für die Anmeldung bei der Desktop-App der Technikerkonsole: https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx
- Single-Sign-On-ID (SSO-ID)
- Die ID, die Sie beim Hinzufügen oder Bearbeiten von Mitgliedern Ihrer Organisation auf der Registerkarte Organisation des Administrationscenters im Feld SSO-ID definieren.
- CompanyID
- Siehe den Beispielcode auf der Registerkarte Globale Einstellungen im Administrationscenter.
- Master-SSO-Passwort
- Das auf der Registerkarte Globale Einstellungen definierte SSO-Passwort.
Ein Beispiel dieser formatierten URL sieht folgendermaßen aus:
Im Falle der Anmeldung bei der webbasierten Techniker-Konsole:https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx?
ssoid=123456&Password=secretPassword&CompanyID=654321
Bei der Anmeldung an der Desktop-Techniker-Konsole: - x86 DTC:
https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx? ssoid=123456&Password=secretPassword&CompanyID=654321
- x64 DTC:
https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx? ssoid=123456&Password=secretPassword&CompanyID=654321&arch=64
Bei dieser Anfrage werden die SSOID, Passwort und CompanyID an den SSO-Dienst Rescue gesendet, der einen String-Wert zurückgibt. Bei einer erfolgreichen Authentifizierung wird eine Zeichenfolge zurückgegeben, die etwa folgendermaßen aussieht:
OK: https://secure.logmeinrescue.com/SSO/Login.aspx?
Ticket=6ab9a0f6-d3ce-4f498-8ea7-b9a76a67a0c8
- x86 DTC:
https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx? companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824
- x64 DTC:
https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx? companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824&arch=64
ERROR: INVALIDPASSWORD
Diese Zeichenfolge können Sie dann verarbeiten, indem Sie sie auf Fehler analysieren und diese entsprechend beheben. In einem typischen Szenario würden Sie eine IF-Bedingung verwenden, um die zurückgegebene Zeichenfolge zu verarbeiten und diese auf das Vorhandensein von „OK:“ in den ersten drei Zeichen zu prüfen. Wenn diese drei Zeichen vorhanden sind, geben Sie die URL (den letzten Teil der Zeichenfolge, die Sie verarbeitet haben) entweder an den Benutzer weiter oder sorgen Sie dafür, dass er automatisch zur URL weitergeleitet wird.
Single Sign-On: Überlegungen
Da Single Sign-On für die Authentifizierung eine Benutzer-ID erfordert, ist ein logischer Schritt die Verwendung der Windows-Anmeldeinformationen. Die meisten Programmiersprachen ermöglichen Ihnen dies mit serverseitigen Variablen. Der entscheidende Punkt ist, dass die Serververbindung eine authentifizierte Verbindung erfordert, d. h. nicht anonym sein darf. Dies ist ein Integrationsprozess, der über den Internet Explorer erfolgt. Dieser gibt die Domain-Anmeldeinformationen automatisch an den Intranetserver weiter; vorausgesetzt, Sie erlauben keinen anonymen Zugriff. Der beste Ansatz ist die Übermittlung der authentifizierten Benutzer-ID als SSO-ID von Ihrem Intranet-Webserver an den SSO-Dienst.
Einzelanmeldung und SAML 2.0
Rescue ist kompatibel mit der Security Assertion Markup Language (SAML) 2.0. Ausführliche Informationen zur Konfiguration von Rescue für die Verwendung von SAML 2.0 mit Ihrem Identitätsanbieter finden Sie im Rescue Web SSO via SAML 2.0 User Guide.