SSO - Single Sign On

Aus Onlinehelp
Zur Navigation springen Zur Suche springen

Bei Verwendung von Single Sign On oder einer Custom URL (kundenspezifische URL) ist dringend zu beachten, dass Umantis frühzeitig über auslaufende Zertifikate informiert werden muss. Um das Tagesgeschäft nicht unnötig zu beeinträchtigen, sollte das neue Zertifikat mindestens 45 Tage vor Ablauf beim Umantis Support eintreffen.

Umantis Cloud SSO (SAML2)

Die Umantis Cloud SSO (Single sign-on) Komponente bietet einen direkten Zugang aus dem unternehmensinternen IdentityProvider (z.B. ADFS oder Azure). Dies bedeutet für die Benutzer, dass diese sich nicht nochmals extra für die Umantis-Lösung anmelden müssen. Die SSO Anbindung basiert auf der SAML 2.0-Anspruchsauthentifizierung (Security Assertion Markup Language). Nach dem Hinzufügen von Umantis zu einer vertrauenswürdigen Seite und erfolgreicher Validierung kann der Service in Anspruch genommen werden.


Unterstützt werden alle IdP's, welche einen SAML2 - Token erstellen können, unter anderem:

  • Microsoft® Active Directory Federation Services 2.0 bis 4.0
  • Microsoft® Azure
  • Shibboleth® Identity Provider


Details zur Konfiguration des ADFS finden Sie weiter unten und als Download in folgendem Dokument:


Hinweise für Kunden, die neu mit SSO arbeiten:

  • Zugangsdaten bestehender User funktionieren bis zum ersten Login über SSO
  • Im Kontext vom SSO ist es im Bewerbermanagement neu, dass sich User wie HR oder Vorgesetzte mit ihrem bestehenden User-Account bewerben können

Aktivierung und Deaktivierung

  • Parameter, um SSO für einen Aufruf zu aktivieren: ?v4login=sso
  • Parameter, um SSO für einen Aufruf zu deaktivieren: ?v4login=1


Archiv (Single Sign On über Browserzertifikat (PKI))

"Single Sign On über Browserzertifikat (PKI)"
PKI wird ab/seit Ende 2018 nicht mehr unterstützt

Um die Authentifizierung per PKI (Public-Key-Infrastruktur) zu ermöglichen, benötigt Umantis folgende Dateien/Informationen:

  • Die gültige CA (Zertifizierungsstelle), passend zu den von Ihnen verwendeten Client-Zertifikaten
  • Idealerweise ein passendes Client Zertifikat (für die Unterstützung bei der Einrichtung)

Benutzerwechsel via PKI ist nicht möglich
Ein echter Benutzerwechsel ist bei der Authentifizierung via PKI nicht möglich, da der Benutzer über das Browserzertifikat identifiziert wird und ein Zertifikat nur einem Benutzer zugewiesen sein kann. Dies unterstreicht die Sicherheit des Verfahrens.

Hinweis zur Authentifizierung mit Safari-Browser (Fehlermeldung 400 Bad Request)

Die Authentifizierung beschränkt sich normalerweise auf IPs des Unternehmens. Beim Safari-Browser wird der Anwender aber unter Umständen gefragt, ob das Zertifikat auch zur Authentifizierung verwendet werden soll, wenn der Zugriff von anderen (fremden) IPs erfolgt - so wie bei allen Bewerbern. Sofern der Bewerber hier auf "Ja" klickt, kann keine Authentifizierung erfolgen und die 400er Fehlermeldung wird angezeigt. Klickt er auf "Nein", funktioniert alles wie gewohnt und er kann den Bewerbungsprozess fortsetzen.

"Einstellungen im Umantis-System"
Setzen Sie bei den Sicherheitseinstellungen unter SSO einen Haken beim Punkt „PKI benutzen“, um die Zertifikat-Verifizierung für Ihr System freizuschalten. Danach wählen Sie jene Felder an, welche für die Identifikation berücksichtigt werden sollen. Sie können so beispielsweise die Prüfung der Gültigkeit hinsichtlich des Datums vorerst weglassen, indem Sie die Felder NotBefore (Gültig ab) und NotAfter (Gültig bis) nicht anhaken. Zudem können Sie für die Felder Issuer und Subject mittels Regular Expressions den zu prüfenden Text aus dem Zertifikat zusätzlich einschränken.

Als nächsten Schritt können Sie nun bei jedem Mitarbeiter unter Einstellungen oder Benutzer im Benutzerprofil => PKI Einstellungen die individuellen Daten aus dem personalisierten Zertifikat eintragen.
Die Felder heissen: Issuer, Subject, Gültig ab, Gültig bis.
Die Daten zu diesen Feldern entnehmen Sie dem Benutzer-Zertifikat. Beachten Sie, dass die Daten folgendem Muster entsprechen:
Issuer = C=CH, ST=SG, L=Sankt Gallen, O=umantis AG test, OU=IT, CN=ege, emailAddress=admantis@umantis.com
Subject = C=CH, ST=SG, L=St. Gallen, O=umantis AG, OU=Development, CN=Manuel Muster, emailAddress=manuel.must@umantis.com
Gültig ab = 01.05.2010
Gültig bis = 31.12.2010

Sie können die Informationen auch per Import in die Lösung einspielen. Zu beachten ist zudem, dass die Gültigkeitsdaten jeweils einen Tag unter dem eingetragenen Datum des Zertifikats liegen.
Bsp: Gültig ab Zertifikat = 02.05.2010 entspricht Gültig ab Mitarbeiter = 01.05.2010

"Importieren des Zertifikates in den Browser"
Firefox: Extras => Einstellungen => Erweitert => Zertifikate anzeigen => Importieren
Internet Explorer: Extras => Internetoptionen => Zertifikate => Importieren

Variable Bewerbermanagement Mitarbeitermanagement
Issuer [User.PKIIssuer] [Person.PKIIssuer]
Subject [User.PKISubject] [Person.PKISubject]
Gültig ab [User.PKINotBefore] [Person.PKINotBefore]
Gültig bis [User.PKINotAfter] [Person.PKINotAfter]

Authentifikation über URL-Parameter

Umantis bietet eine einfache Single Sign On Integration über URL-Parameter. Um Umantis nutzen zu können, soll auf einen Link geklickt werden können, ohne dass eine zweite Anmeldung nötig ist. Dazu können Sie in Ihrem Intranet einen Link einbauen, der die bereits in Umantis erfassten Personen direkt auf die Hauptseite führt, ohne dass sich diese anmelden müssen. Ihre Mitarbeiter müssen sich folglich nur anmelden, um Zugriff auf Ihr Intranet (welches z.B. an einem LDAP hängt) zu erhalten.

Beachten Sie bitte, dass Sie sich nach der Nutzung dieser Funktion auf öffentlichen Rechnern wieder ausloggen. Sie bleiben andernfalls angemeldet und erleichtern somit den Zugang für Fremde.

Aufbau des Links in Umantis

(am Beispiel Mitarbeitermanagement)
Sie binden den folgenden Link mit verschiedenen Parametern ein: https://[KundenLoesung]/?loginparam=[logintoken]

[KundenLoesung] URL Ihrer Umantis-Lösung employeeapp-0000.umantis.com
oder recruitingapp-0000-umantis.com
[MetaAlias] Ihre Umantis MetaAlias. Bitte beantragen Sie diesen über Ihre Umantis Ansprechperson oder unseren Customer Service. http://sso.umantis.com/sp-acme
[login] Der Login der Person John.Doe@acme.com
[timestamp] Aktuelle Zeit in epoch Millisekunden (Konverter: http://currentmillis.com/) 1496747313104
[SigAlg] Signatur-Algorithmus rsa-sha1
oder rsa-sha256
[Signature] RSA-Signature mit Private-Key, Base64 codiert über die folgenden Werte: Base64 (RSASign (user=[login]&timestamp=[timestamp]&metaAlias=[MetaAlias]&SigAlg=[SigAlg]))
[logintoken] Base64 (user=[login]&timestamp=[timestamp]&metaAlias=[MetaAlias]&SigAlg=[SigAlg]&sig=[Signature])

Hinweise:

  • Timestamp muss 13-stellig sein und in Millisekunden angegeben werden (vgl. Tabelle oberhalb)
  • Die RSA-Signatur muss mit Ihrem selbst generierten Private Key durchgeführt sein.
  • Das von Ihnen generierte (passende) Public-Certificate senden Sie bitte an Ihre Umantis Ansprechperson, damit diese das Zertifikat korrekt hinterlegen kann (unter Einstellungen zu Unternehmen / Organisationsprofil > Sicherheitseinstellungen).
    Die Verwendung von Sonderzeichen ist erlaubt.

Beispiele

> [logintoken] ohne Base64 Kodierung

user=John.Doe@acme.com&timestamp=1496747313104&metaAlias=http://sso.umantis.com/url-acme&SigAlg=rsa-sha1&
sig=O3YDy9RN8xK8RDcSg+y7rHMzwYRp9nbkluFg0EX82enUifKZVsHrfxNqXAfPulcOlmt13Tm1HveAN/POmTXmOlmN9z7kPSE2
/mJC9LeA3F4yNR5e63ARk2SmyjEZVXMBOqKlJZGZXHZ+GojpiqR9Ebwpr+HbH8NvSHA1HCgAu3EmCCXyctMehjjFz2cAA1NZkDYXxdtW5Qt2uzNi7i46i+lLWhr28kqLIfLLFF9f223lGXhIY0
QSEX+SZHNLwZmILqlsoh4Uf0C4eHp6wgEhXDs/PbbOsnfYIFA25ho5/sUhT7dXU7KQeTIMge/rBKVYh7QkSGiXRCn8ZQZHoxLPBQ==

> Beispiel-URL

https://employeeapp-0000.umantis.com/SelfService/?loginparam=dXNlcj1Kb2huLkRvZUBhY21lLmNvbSZ0aW1lc3RhbXA9MTQ5Njc0NzMxMzEwNCZtZXRhQWxpYXM9aHR0cDovL3Nzby51bWFudGlzLmNvbS91cmwtYWNtZSZTaWdBb
Gc9aHR0cCUzQSUyRiUyRnd3dy53My5vcmclMkYyMDAwJTJGMDklMkZ4bWxkc2lnJTIzcnNhLXNoYTEmc2lnPU8zWUR5OVJOOHhLOFJEY1NnK3k3ckhNendZUnA5bmJrbHVGZzBF
WDgyZW5VaWZLWlZzSHJmeE5xWEFmUHVsY09sbXQxM1RtMUh2ZUFOL1BPbVRYbU9sbU45ejdrUFNFMi9tSkM5TGVBM0Y0eU5SNWU2M0FSazJTbXlqRVpWWE1CT3FLbEpaR1
pYSForR29qcGlxUjlFYndwcitIYkg4TnZTSEExSENnQXUzRW1DQ1h5Y3RNZWhqag0KRnoyY0FBMU5aa0RZWHhkdFc1UXQydXpOaTdpNDZpK2xMV2hyMjhrcUxJZkxMRkY5ZjIyM2x
HWGhJWTBRU0VYK1NaSE5Md1ptSUxxbHNvaDRVZjBDNGVIcDZ3DQpnRWhYRHMvUGJiT3NuZllJRkEyNWhvNS9zVWhUN2RYVTdLUWVUSU1nZS9yQktWWWg3UWtTR2lYUkNu
OFpRWkhveExQQlE9PQ==


Online-Tool zur Base64 Kodierung

Wichtige Hinweise

  • Gross-/Kleinschreibung: Es muss darauf geachtet werden, dass in beiden Systemen (Kunden-Intranet und umantis) alle Angaben in der gleichen Schreibweise gespeichert / übermittelt werden. Dies bedeutet, dass dies auch beim Stammdatenimport berücksichtigt werden muss.
  • Login-Name für jeden Mitarbeiter mit SSO: Jeder Mitarbeiter, welcher über SSO sich authentifizieren möchte, muss einen Loginnamen haben.
  • Aktive Stelle: Mitarbeiter, welche sich über SSO authentifizieren möchten, müssen eine aktive Stelle im System haben. (Dies steht im Gegensatz zu der Authentifizierung über Login und Passwort, bei welcher es egal ist, ob eine aktive Stelle vorhanden ist.)
  • Beachten Sie bitte, dass bei unterschiedlichen Rollen das entsprechende Link-Ziel ebenfalls mitgegeben werden muss. So muss z.B. im Bewerbermanagement für die Vorgesetzten-Ansicht zwingend der Zusatz '/SelfServiceLine' in der URL mitgegeben werden.

Ausloggen aus Umantis mit SSO

Sofern Sie sich mit SSO versuchen abzumelden und immer wieder automatisch im SSO angemeldet werden, empfehlen wir folgende Lösung:

  • Passen Sie den "Logout"-Button/Link folgendermassen über den Anpassungsmodus an: /?Logout=6&redirectAfterLogout=/Password/LoggedOut


FAQs SSO

Benutzerverwaltung

Frage: Wenn der SSO fertig implementiert ist, reicht es, wenn im Active Directory die Rollen und Berechtigungen der Nutzer gepflegt werden oder muss dies dann zusätzlich noch in der Benutzerverwaltung in Umantis gepflegt werden? Konkret: Wenn bspw. eine Führungskraft im Unternehmen anfängt, reicht es im Active Directory den Haken für Führungskraft im Umantis-Bewerbermanagement zu setzen und die Führungskraft kann sich unter der entsprechen Umantis-URL einloggen ohne dass vom System-Admin in Umantis weitere Schritte wie Nutzer anlegen o.ä. notwendig sind?

Antwort: Umantis verwendet SSO nur zur Authentifizierung und nicht Autorisierung. Es muss also auf jeden Fall immer noch ein Benutzerimport mit der entsprechenden Rollenvergabe stattfinden. Erst wenn ein Benutzer in Umantis mit dem "korrekten" Loginnamen (welcher aus dem Vorsystem importiert und mit dem AD abgeglichen wird) vorhanden ist, kann sich dieser anmelden.

Passwortrichtlinien

Frage: Wenn in Umantis die Passwortrichtlinien konfiguriert sind, was hat das für Folgen für den SSO? Bsp.: In Umantis sind strengere Passwortrichtlinien als im Active Directory gesetzt - greifen diese überhaupt, wenn die Daten über den SSO geliefert werden oder muss hier sichergestellt werden, dass die Richtlinien einheitlich sind?

Antwort: Die Passwortrichtlinie greift für alle Benutzer, welche sich mittels Login und Passwort anmelden. Sobald ein Benutzer sich zum ersten Mal mittels SSO anmeldet, wird dieser auch dementsprechend identifiziert. Ab diesem Zeitpunkt greift für diese SSO-Benutzer die Passwortrichtlinie aus Umantis nicht mehr, sondern jene des Active Directory (AD).

SSO als iframe

Frage: Funktioniert SSO in Verbindung mit iframe?

Antwort: Nein, das ist nicht möglich. Die Authentifikation im iframe wird vom MS ADFS verhindert (vgl: ADFS Forum).

Abgerufen von „https://de.onlinehelp.umantis.com/index.php?title=SSO_-_Single_Sign_On&oldid=23365