|
Die klassischen Dateitypen können ab Januar 2021 nicht mehr verwendet werden. Sie können Ihre klassischen Dateien übertragen oder eine PDF herunterladen. Weitere Informationen

Workiva Support Center

SAML Single-Sign-On konfigurieren

SAML Single-Sign-On konfigurieren

  • Zuletzt aktualisiert am
Verknüpfung mit sso

Sicherheitsadministrator der Organisation kann die folgenden Schritte ausführen, um SAML Single Sign-On-Einstellungen für die Organisation zu konfigurieren. SAML-basiertes Single Sign-On (SSO) ermöglicht Mitgliedern den Zugriff auf Workiva über einen Identitätsanbieter (IdP). Bevor Sie die Einstellungen konfigurieren, vergewissern Sie sich, dass Sie Was ist SAML Single Sign-On? gelesen haben.

Hinweis: Sicherheitsadministrator der Organisation müssen zu einem Arbeitsbereich hinzugefügt werden, um auf den Organisationsadministrator zugreifen zu können.

 

Schritt 1: Navigieren Sie zu den SAML SSO-Einstellungen

  1. Gehen Sie zu Organisationsadministrator.
  2. Klicken Sie im linken Menü auf Sicherheit.
  3. Klicken Sie auf die Registerkarte Single Sign-On.

Wenn Sie bereits eine SSO-Konfiguration haben, sieht die Seite folgendermaßen aus:

 

 

Schritt 2: Erstellen Sie Ihre SAML-SSO-Konfiguration und wählen Sie Ihren Identitätsanbieter aus.

  1. Klicken Sie auf SSO-Konfiguration erstellen.
  2. Geben Sie einen Konfigurationsnamen ein und wählen Sie den Identitätsanbieter (IdP) aus der Dropdown-Liste aus.
  3. Klicken Sie auf Konfiguration erstellen, um fortzufahren.

Create SAML SSO configuration.png

 

Schritt 3: Senden Sie die Workiva-Metadaten an Ihren Identitätsanbieter-Administrator

  1. Im Abschnitt Workiva-Metadaten sehen Sie die Kennung (Entitäts-ID) und die Antwort-URL.
  2. Klicken Sie auf Erweiterte Optionen, um die Anmelde-URL und die Abmelde-URLanzuzeigen.
    Diese URLs sind für jede Organisation einzigartig und können nicht geändert werden und enthalten app.wdesk.com, eu.wdesk.com, oder apac.wdesk.com.
    Workiva metadata.jpg
  3. Senden Sie diese Workiva-Metadaten-URLs an Ihren Identitätsanbieter-Administrator.Alternativ können Sie auch auf
    Workiva-Metadaten-XML herunterladen klicken, um die Workiva-Metadaten-XML-Datei herunterzuladen und an Ihren Identitätsanbieter-Administrator zu senden.

  4. Sie können Ihre Uhrabweichungszulageanpassen. Die zulässige Zeitabweichung (Clock Skew Allowance) ist die maximal zulässige Zeitdifferenz zwischen Ihrem SAML-Identitätsanbieter und Workiva. Der Standardwert beträgt 300 Sekunden (5 Minuten).

    Tipp: Ein höherer Wert erweitert den "Akzeptanzbereich" für Zeitdifferenzen. Dies verbessert zwar die Zuverlässigkeit durch die Verringerung abgelehnter Anfragen, birgt aber auch Sicherheits- und Leistungsrisiken. Umgekehrt erhöht ein kleinerer Wert die Wahrscheinlichkeit von Authentifizierungsfehlern aufgrund von Zeitüberschreitungen.
  5. Wenn Sie Microsoft Azure als Identitätsanbieter verwenden, kann Ihr Identitätsanbieteradministrator auf Schritt 2 unter der Registerkarte Azure in der Anleitung „ SAML SSO mit Ihrem Identitätsanbieter konfigurieren“ verweisen.
  6. Wenn Sie Okta als Identitätsanbieter verwenden, kann Ihr Identitätsanbieter-Administrator auf Schritt 3 unter der Registerkarte Okta in der Anleitung „SAML SSO mit Ihrem Identitätsanbieter konfigurieren“ verweisen.
  7. Wenn Sie einen anderen Identitätsanbieter als Microsoft Azure oder Okta verwenden, wenden Sie sich bitte an den Kundensupport Ihres Identitätsanbieters, falls Sie Hilfe benötigen.

 

Schritt 4: Geben Sie die Metadaten Ihres Identitätsanbieters in Workiva ein.

Voraussetzung: Sie müssen die erforderlichen Metadateninformationen des Identitätsanbieters von Ihrem Identitätsanbieteradministrator erhalten, bevor Sie fortfahren können.

  • Wenn Sie Microsoft Azure als Identitätsanbieter verwenden, kann Ihr Identitätsanbieteradministrator auf Schritt 4 unter der Registerkarte Azure in der Anleitung „ SAML SSO mit Ihrem Identitätsanbieter konfigurieren“ verweisen.
  • Wenn Sie Okta als Ihren Identitätsanbieter verwenden, kann Ihr Identitätsanbieter-Administrator auf Schritt 2 unter der Registerkarte Okta in der Anleitung „ SAML SSO mit Ihrem Identitätsanbieter konfigurieren“ verweisen.
  • Wenn Sie einen anderen Identitätsanbieter als Microsoft Azure oder Okta verwenden, wenden Sie sich an den Kundensupport Ihres Identitätsanbieters, um die benötigten Informationen zu erhalten.

Geben Sie im Abschnitt „Metadaten des Identitätsanbieters“ (z. B. Microsoft Azure-Metadaten) die Metadaten des Identitätsanbieters ein.

  1. Wählen Sie zunächst im Dropdown-Menü Bevorzugte Eingabemethode aus, wie Sie die Metadaten des Identitätsanbieters eingeben möchten. Sie können eine Federation-Metadaten-URLeingeben, eine Metadaten-XML-Dateihochladen oder die Metadaten über die manuelle Eingabeeingeben.

  2. Wählen Sie im Dateiauswahldialog die Datei aus, die die Metadateninformationen des Identitätsanbieters enthält, und klicken Sie dann auf Importieren.

    Alternativ können Sie die Werte auch manuell eingeben:

 

Schritt 5: Benutzerzuordnung festlegen

Klicken Sie im Abschnitt Benutzerzuordnung auf das Dropdown-Menü und wählen Sie eine der folgenden Optionen aus:

  • Benutzer ihrem Workiva-Benutzernamen zuordnen (empfohlen)
  • Benutzer manuell zuordnen

Hinweis : Wenn Sie die Metadateninformationen des Identitätsanbieters manuell eingegeben haben, müssen Sie die erweiterten Optionen für diesen Abschnitt aktivieren.

Zuordnung von Benutzern zu ihren Workiva-Benutzernamen

Wenn Sie im Dropdown-Menü die Option „ Benutzer ihrem Workiva-Benutzernamen zuordnen “ ausgewählt haben, erwartet Workiva beim Anmelden des Benutzers, dass das eingehende Attribut „Primary NameID“ mit dem Workiva-Benutzernamen übereinstimmt, wobei die Groß-/Kleinschreibung ignoriert wird. So kann zum Beispiel Benutzername.Beispiel mit benutzername.beispiel abgeglichen werden.

Anschließend können Sie auf das Dropdown-Menü Zuordnung festlegen klicken und die Option Alle SSO-IDs auf Workiva-Benutzernamen festlegen auswählen, um die Tabelle zu füllen.

Klicken Sie auf Konfiguration erstellen , um fortzufahren.

 

manuelle Zuordnung von Benutzern

Wenn Sie im Dropdown-Menü die Option Benutzer manuell zuordnen ausgewählt haben, überprüfen Sie zuerst die erweiterten Optionen. Unter NameIdentifier locationist bei den meisten Konfigurationen die Option NameIdentifier is in Subject statement ausgewählt. Dies bedeutet, dass Workiva das Element NameIdentifier in der Subject-Anweisung überprüft.

Sie können jedoch die Option NameIdentifier befindet sich in einem anderen Elementattribut auswählen und das Elementattribut NameIdentifiereingeben, sodass die Anwendung in der SAML-Antwort nach dem Attribut sucht.

Hinweis: Die meisten Sicherheitsadministratoren von Organisationen werden den Speicherort des NameIdentifier nicht vom Standardwert ändern. Bevor Sie Änderungen vornehmen, wenden Sie sich bitte an den Workiva-Support, um Unterstützung zu erhalten
.

Benutzer per Dateiimport kartieren

Klicken Sie auf Zuordnung festlegenund wählen Sie SSO-IDs über Datei importieren, um Benutzer den SSO-IDs in einer .csv-Zuordnungsdatei zuzuordnen (siehe Anforderungen an die SAML-ID-.csv-Zuordnungsdatei).

  • In der Mapping-Datei werden keine Header benötigt.
  • Alle Zeilen werden verarbeitet, ungültige Zeilen werden übersprungen.
  • Bei doppelten Benutzernamen wird nur die erste Zeile mit diesem Benutzernamen verwendet.
  • Falls für einen angegebenen Benutzernamen bereits eine Zuordnung existiert, wird diese Zuordnung auf die in der Zuordnungsdatei angegebenen Werte aktualisiert.
  • Werden Zeilen übersprungen, werden die Fehler im SAML -Single-Sign-On-Aktivitätsprotokoll protokolliert.

Kartenbenutzer einzeln

Wenn Sie SSO-IDs für einzelne Benutzer festlegen oder bearbeiten müssen, suchen Sie nach dem Benutzer und/oder verwenden Sie den Filter SSO-ID-Status , um den Benutzer leichter zu finden. Doppelklicken Sie anschließend in der Tabelle auf das Feld „SSO-ID“ neben dem Benutzer und geben Sie die korrekte SSO-ID ein.

manual sso id.png

 

Nachdem Sie die Benutzerzuordnung festgelegt haben, klicken Sie auf Konfiguration erstellen , um fortzufahren.

 

Anforderungen an die SAML-ID-.csv-Zuordnungsdatei

Eine gültige Zeile in der SAML ID .csv-Zuordnungsdatei hat das folgende Format:

samlId,benutzername

Eine Zeile kann ungültig sein, wenn:

  • Es befinden sich weniger als zwei Artikel in der Reihe
  • Die SAML-ID und/oder der Benutzername wird nicht angegeben
  • Der angegebene Nutzername existiert nicht
  • Der Benutzer mit dem angegebenen Benutzernamen ist kein Mitglied der Organisation
  • Die primäre Organisation des Benutzers mit dem angegebenen Benutzernamen ist nicht dieselbe wie die Organisation, die gerade geändert wird
  • Die angegebene SAML-ID wurde bereits von einem anderen Benutzer verwendet

Eine gültige Mapping-Datei sieht zum Beispiel so aus:

BeispielSamlId,BeispielBenutzername BeispielSamlId2,BeispielBenutzername2 BeispielSamlId3,BeispielBenutzername3

 

Schritt 6: Aktivieren Sie Ihre SAML-SSO-Konfiguration

Nachdem Sie Ihre SAML-SSO-Konfiguration erstellt haben, müssen Sie diese explizit aktivieren, damit die Konfiguration wirksam wird.

Klicken Sie auf Aktivieren bei der Konfiguration. Ihre Konfiguration wird dann als Aktiv angezeigt.

AzureID Activation x2 callout.png

 

Schritt 7: SAML-SSO-Authentifizierungsoptionen aktualisieren

Workiva empfiehlt dringend, Benutzer zur Anmeldung per SSO zu zwingen, da dies eine Best Practice ist, um den Anmeldeprozess zu vereinfachen und ein insgesamt besseres Benutzererlebnis zu bieten. Nachdem Sie Ihre SAML-SSO-Konfiguration erstellt und aktiviert haben:

  1. Unter dem Reiter Single Sign-On bietet der Abschnitt SSO erzwingen und Ausnahmen zwei Authentifizierungsoptionen:

    • Benutzer zur Anmeldung per SSO zwingen (Empfohlen): Benutzer ohne Administratorrechte werden zur Verwendung von SSO gezwungen, während sich Organisationssicherheitsadministratoren weiterhin mit ihrem Benutzernamen und Passwort anmelden können. Diese Option eignet sich am besten, wenn Ihr Unternehmen SSO erzwingen möchte, aber dennoch den Sicherheitsadministratoren der Organisation den Zugriff auf die Plattform ermöglichen will, falls es bei SSO zu Problemen kommt.

      Hinweis: Stellen Sie sicher, dass Sie umfassende Tests durchgeführt haben und sich Ihrer SAML-SSO-Konfiguration absolut sicher sind, bevor Sie diese Option aktivieren.
    • Organisationssicherheitsadministratoren zur Anmeldung per SSO zwingen: Organisationssicherheitsadministratoren werden zur Verwendung von SSO gezwungen. Diese Option eignet sich am besten, wenn die Sicherheitsrichtlinien des Unternehmens keine Ausnahmen von der SSO-Pflicht vorsehen. Um diese Option zu aktivieren, müssen Sie außerdem die Option Benutzer zur Anmeldung über SSO zwingenaktivieren.
  2. Nachdem Sie Ihre Optionen ausgewählt haben, klicken Sie auf Speichern.

Falls gewünscht, können Sie bestimmten Benutzern die Anmeldung ohne SAML SSO ermöglichen, indem Sie sie derSSO -Ausnahmeliste hinzufügen.

Hinweis: Bevor Sie SAML-SSO erzwingen, stellen Sie sicher, dass Sie die erforderlichen Benutzer zur SSO-Ausnahmeliste hinzufügen
, um zu vermeiden
, dass Benutzer von ihren Konten ausgesperrt werden.

 

Konfigurieren Sie SAML SSO mit Ihrem Identitätsanbieter.

Ihr Identitätsanbieteradministrator kann die folgenden Schritte zur Konfiguration von SAML SSO mit gängigen Identitätsanbietern konsultieren.

Unterstützte Funktionen

  • SP-initiierte SSO
  • IdP-initiierte SSO
  • IdP-initiierter SLO (Single Logout)
  • SSO-Ausnahmeliste
  • Optionale Assertionsverschlüsselung

 

Schritt 1: Integration hinzufügen

  1. Melden Sie sich im Okta-Adminportal an und wählen Sie unter Anwendungendie Option App-Katalog durchsuchenaus.
  2. Suchen Sie im App-Integrationskatalog nach Workiva und wählen Sie es aus. Klicken Sie anschließend auf Integration hinzufügen.
  3. Legen Sie die allgemeinen Einstellungen gemäß Ihren IT-Richtlinien und -Verfahren fest. Klicken Sie dann auf Weiter.

 

Schritt 2: Geben Sie die Okta-Metadaten in Workiva ein.

Lassen Sie das Feld Default Relay State im Abschnitt SAML 2.0 leer. Laden Sie die Metadaten-XML-Datei herunter, um sie wie in Schritt 4 von Workiva beschrieben in Workiva hochzuladen: Geben Sie Ihre Identitätsanbieter-Metadaten in Workiva ein.
Eine Möglichkeit, die XML-Datei herunterzuladen, besteht darin, die Metadaten-URL zu kopieren, sie in einen Browser einzufügen und die Seite dann als XML-Datei zu speichern.

 

Schritt 3: Geben Sie die Workiva-Metadaten in Okta ein.

Verwendung der in Schritt 3 in Workiva gefundenen Workiva-URLs: Senden Sie die Workiva-Metadaten an Ihren Identitätsanbieter-Administrator:

  • Kopieren Sie die Workiva ACS URL und fügen Sie sie in das Okta ACS URLFeld ein.
  • Kopieren Sie die Workiva Audience URL und fügen Sie sie in das Okta Audience URLFeld ein.

 

Schritt 4: Attribute und Ansprüche bearbeiten

In den Attributen und Ansprüchen von Okta wird empfohlen, den Workiva-Benutzernamen (Groß- und Kleinschreibung wird nicht berücksichtigt) dem Attribut „Primary NameID“ zuzuordnen, damit Workiva das Attribut automatisch dem Workiva-Benutzernamen zuordnet, wenn sich die Benutzer zum ersten Mal mit SSO anmelden. Diese Zuordnung hängt jedoch von Ihren spezifischen IT-Richtlinien ab.

Wenn diese Attribute nicht übereinstimmen, müssen Sie das Attribut manuell dem entsprechenden Benutzernamen zuordnen , wie in Schritt 5 von Workiva: Benutzerzuordnung festlegen beschrieben, bevor sich der Benutzer mit SSO anmelden kann.

 

SP-initiierter SSO-Prozess

Der Anmeldevorgang wird über die SP-URL app.wdesk.com, eu.wdesk.com oder apac.wdesk.com Ihrer Heimatorganisation initiiert.

  1. Navigieren Sie in Ihrem Browser zur Workiva-Anmeldeseite.
  2. Geben Sie Ihren Workiva-Benutzernamen ein.
  3. Klicken Sie auf „Mit Single Sign-On anmelden“.
  4. Sie werden zur Anmeldeseite Ihrer Organisation weitergeleitet.
  5. Geben Sie Ihre Zugangsdaten ein und bestehen Sie alle zusätzlichen Sicherheitsabfragen gemäß den Richtlinien Ihrer Organisation.
  6. Sie werden zu Workiva weitergeleitet und in die Benutzeroberfläche eingeloggt.

Schritt 1: Erstellen Sie die Anwendung

  1. Melden Sie sich im Azure-Adminportal an und gehen Sie zu Microsoft Entra ID > Unternehmensanwendungen.
  2. Klicken Sie auf Neue Anwendung.
  3. Suchen Sie nach Workiva und wählen Sie es aus.
    Beachten Sie, dass Sie für die Implementierung von SCIM eine benutzerdefinierte Anwendung erstellen müssen.
  4. Benennen Sie die Anwendung und klicken Sie dann auf Erstellen.
  5. Wenn die Anwendung erstellt wurde, gehen Sie zu Single Sign-On > SAML.

 

Schritt 2: Geben Sie die Workiva-Metadaten in Microsoft Azure ein.

  1. Bearbeiten Sie die Grundlegende SAML-Konfiguration.
  2. Verwendung der in Schritt 3 in Workiva gefundenen Workiva-URLs: Senden Sie die Workiva-Metadaten an Ihren Identitätsanbieter-Administrator:
    1. Kopieren Sie die Workiva Kennung (Entitäts-ID) und fügen Sie sie in das Feld Azure Kennung (Entitäts-ID) ein.
    2. Kopieren Sie die Workiva Antwort-URL und fügen Sie sie in das Feld Azure Antwort-URL (Assertion Consumer Service URL) ein.
    3. (Optional) Kopieren Sie die Workiva Anmelde-URL und fügen Sie sie in das Feld Azure Anmelde-URL ein.
    4. Lassen Sie das Feld Relay State leer.
    5. (Optional) Kopieren Sie die Workiva Logout URL und fügen Sie sie in das Feld Azure Logout URL ein.

 

Schritt 3: Attribute und Ansprüche bearbeiten

Sobald die Konfiguration gespeichert ist, bearbeiten Sie die Attribute & Ansprüche. Es wird empfohlen, den Workiva-Benutzernamen (Groß-/Kleinschreibung wird nicht beachtet) mit dem Attribut „Primary NameID“ abzugleichen, damit Workiva das Attribut automatisch dem Workiva-Benutzernamen zuordnet, wenn sich der Benutzer zum ersten Mal per SSO anmeldet. Diese Zuordnung hängt jedoch von Ihren spezifischen IT-Richtlinien ab.

  • Wenn diese Attribute nicht übereinstimmen, müssen Sie das Attribut manuell dem entsprechenden Benutzernamen zuordnen , wie in Schritt 5 von Workiva: Benutzerzuordnung festlegen beschrieben, bevor sich der Benutzer mit SSO anmelden kann.
  • Workiva prüft nur die erforderliche Kennung Unverwechselbare Benutzerkennung (NameID) für die Benutzer, alle weiteren Kennungen werden ignoriert.

 

Schritt 4: Geben Sie die Microsoft Azure-Metadaten in Workiva ein.

Wenn Sie die Microsoft Azure-Metadaten über eine Verbundmetadaten-URL in Workiva eingeben, finden Sie die Verbundmetadaten-URL in der Azure SAML SSO-Konfiguration.

Wenn Sie die Microsoft Azure-Metadaten über eine Metadaten-XML-Datei in Workiva eingeben, klicken Sie im Abschnitt SAML-Zertifikate auf Herunterladen neben Verbundmetadaten-XML. Laden Sie anschließend die Metadaten-XML-Datei in Workiva hoch.

Hinweis :
Wenn Sie Microsoft Azure als Identitätsanbieter verwenden, stellen Sie sicher, dass das Feld „Workiva- Anmelde-URL “ (unter den erweiterten Optionen) leer bleibt, da es sonst zu Anmeldefehlern kommt.

Wenn Sie eine Logout-URL (unter den erweiterten Optionen) wünschen, dieser Wert aber in Ihrer hochgeladenen XML-Metadatendatei nicht gefunden wird, müssen Sie diesen Wert manuell einfügen.

 

 

War dieser Beitrag hilfreich?
10 von 34 fanden dies hilfreich
Sicherheitsadministrator der Organisation kann die folgenden Schritte ausführen, um SAML Single Sign-On-Einstellungen...