Sicherheitsadministrator der Organisation kann die folgenden Schritte ausführen, um SAML Single Sign-On-Einstellungen für die Organisation zu konfigurieren. SAML-basiertes Single Sign-On (SSO) ermöglicht Mitgliedern den Zugriff auf Workiva über einen Identitätsanbieter (IdP). Bevor Sie die Einstellungen konfigurieren, vergewissern Sie sich, dass Sie Was ist SAML Single Sign-On? gelesen haben.
Hinweis: Org Security Admins müssen zu einem Arbeitsbereich hinzugefügt werden, um auf Organization Admin zugreifen zu können.
Schritt 1: Navigieren Sie zu den SAML SSO-Einstellungen
- Gehen Sie zu Organisation Admin.
- Klicken Sie im linken Menü auf Sicherheit .
- Klicken Sie auf die Registerkarte Single Sign-On .
Schritt 2: Aktivieren von SAML SSO
- Aktivieren Sie auf der Registerkarte Single Sign-On und im Abschnitt SAML Settings die Option Enable SAML Single Sign-On .
Hinweis: Das Aktivieren des Kästchens SAML Single Sign-On aktivieren hat keine Auswirkungen auf die Anmeldefunktion für den Benutzer. Die Benutzer können sich weiterhin mit ihrem Benutzernamen und Kennwort anmelden, bis Sie die SAML-Single-Sign-On-Konfiguration vollständig abgeschlossen haben.
- Klicken Sie auf Änderungen speichern.
Schritt 3: Zugriff auf SAML SSO-URLs
Nach der Aktivierung von SAML SSO:
- Klicken Sie unter der Registerkarte Single Sign-On auf IdP-Einstellungen.
- Blättern Sie nach unten zum Abschnitt Service Provider Details .
- Sie sehen die Login URL, Metadata URL, Consumer URLund Logout Service URL. Diese URLs sind für jede Organisation eindeutig und können nicht geändert werden und enthalten app.wdesk.com, eu.wdesk.com oder apac.wdesk.com.
- Durch Kopieren und Einfügen der Metadaten-URL in ein Browser-Fenster wird automatisch die XML-Metadaten-Datei von Workiva heruntergeladen. Sie können diese URL-Werte auch kopieren und speichern.
Schritt 4: Integration von Workiva mit dem Identitätsanbieter
Wie Sie Workiva mit gängigen Identitätsanbietern integrieren können, erfahren Sie in den folgenden Schritten.
So konfigurieren Sie SSO mit Okta:
- Melden Sie sich im Okta-Administrationsportal an und wählen Sie unter ApplicationsBrowse App Catalog.
- Suchen Sie im App Integration Catalognach Workiva und wählen Sie es aus. Klicken Sie dann auf Integration hinzufügen.
- Legen Sie die allgemeinen Einstellungen gemäß Ihren IT-Richtlinien und -Verfahren fest. Klicken Sie dann auf Weiter.
- Im Abschnitt SAML 2.0 lassen Sie das Feld Default Relay State leer. Laden Sie die XML-Metadaten-Datei herunter, um sie in Workiva hochzuladen, wie in beschrieben. Schritt 7: Konfigurieren der IdP-Einstellungen. Eine Möglichkeit, die XML-Datei herunterzuladen, besteht darin, die Metadaten-URL zu kopieren, sie in einen Browser einzufügen und dann die Seite als XML-Datei zu speichern.
- Verwenden Sie die Workiva-URLs, die Sie unter finden. Schritt 3: Zugriff auf SAML SSO URLs:
- Kopieren Sie die Workiva Consumer URL und fügen Sie sie in das Feld Okta ACS URL ein.
- Kopieren Sie die Workiva Metadata URL und fügen Sie sie in das Feld Okta Audience URL ein.
- In Okta's Attributen und Ansprüchen wird empfohlen, den Workiva-Benutzernamen (Groß- und Kleinschreibung wird nicht beachtet) dem Attribut Primary NameID zuzuordnen, so dass Workiva das Attribut automatisch dem Workiva-Benutzernamen zuordnet, wenn sich der Benutzer zum ersten Mal mit SSO anmeldet. Diese Zuordnung hängt jedoch von Ihren spezifischen IT-Richtlinien ab.
- Wenn diese Attribute nicht übereinstimmen, müssen Sie das Attribut manuell dem entsprechenden Benutzernamen zuordnen, wie in Schritt 5: Festlegen der SAML SSO-Benutzer-ID-Einstellungen beschrieben, bevor sich der Benutzer mit SSO anmelden kann.
So konfigurieren Sie SSO mit Azure:
- Melden Sie sich am Azure-Administrationsportal an und gehen Sie zu Microsoft Entra ID > Unternehmensanwendungen.
- Klicken Sie auf Neue Anwendung.
- Suchen Sie nach Workiva und wählen Sie es aus. Wenn Sie jedoch SCIM implementieren möchten, müssen Sie eine benutzerdefinierte Anwendung erstellen.
- Benennen Sie die Anwendung und klicken Sie auf Erstellen.
- Wenn die Anwendung erstellt wurde, gehen Sie zu Single sign-on > SAML.
- Bearbeiten Sie die Basic SAML Configuration.
- Verwenden Sie die Workiva URLs, die Sie unter finden. Schritt 3: Zugriff auf SAML SSO URLs.
- Kopieren Sie die Workiva Metadata URL und fügen Sie sie in das Feld Azure Identifier (Entity ID) ein.
- Kopieren Sie die Workiva Consumer URL und fügen Sie sie in das Feld Azure Reply URL (Assertion Consumer Service URL) ein.
- Kopieren Sie die Workiva Login URL und fügen Sie sie in das Feld Azure Sign-on URL ein (optional).
- Lassen Sie das Feld Relay State leer.
- Kopieren Sie die Workiva Logout URL und fügen Sie sie in das Feld Azure Logout URL ein (optional).
- Sobald die Konfiguration gespeichert ist, bearbeiten Sie die Attribute & Ansprüche. Es wird empfohlen, den Workiva-Benutzernamen (ohne Berücksichtigung der Groß- und Kleinschreibung) dem Attribut Primary NameID zuzuordnen, so dass Workiva das Attribut automatisch dem Workiva-Benutzernamen zuordnet, wenn sich der Benutzer zum ersten Mal mit SSO anmeldet. Diese Zuordnung hängt jedoch von Ihren spezifischen IT-Richtlinien ab.
- Wenn diese Attribute nicht übereinstimmen, müssen Sie das Attribut manuell dem entsprechenden Benutzernamen zuordnen, wie in Schritt 5: Festlegen der SAML SSO-Benutzer-ID-Einstellungen beschrieben, bevor sich der Benutzer mit SSO anmelden kann.
- Workiva prüft nur den erforderlichen Anspruch Unique User Identifier (NameID) für die Benutzer und alle weiteren Ansprüche werden ignoriert.
- Nachdem Sie die Attribute und Ansprüche festgelegt haben, klicken Sie im Abschnitt SAML-Zertifikate auf Download neben Federation Metadata XML , um die XML-Metadaten-Datei herunterzuladen und in Workiva hochzuladen, wie unter Schritt 7: Konfigurieren der IdP-Einstellungenbeschrieben.
Schritt 5: SAML SSO-Benutzer-ID-Einstellungen festlegen
- Klicken Sie unter der Registerkarte Single Sign-On auf SAML-Einstellungen.
- Blättern Sie nach unten zum Abschnitt SAML-Benutzer-ID-Einstellungen .
- Es wird dringend empfohlen, die Einstellungen SAML User ID is Wdesk Username und Case-insensitive SAML ID zu überprüfen. Damit kann Wdesk erwarten, dass das eingehende Attribut Primary NameID mit dem Wdesk-Benutzernamen übereinstimmt, wobei die Groß- und Kleinschreibung ignoriert wird, wenn sich der Benutzer anmeldet. So kann zum Beispiel
Benutzername.Beispiel
mitbenutzername.beispiel
abgeglichen werden. - Klicken Sie dann auf Änderungen speichern.
Wenn Sie dies jedoch aufgrund von Richtlinien nicht konfigurieren können, müssen Sie manuell eine Zuordnung zwischen SAML-ID und Wdesk-Benutzername herstellen:
- Klicken Sie unter der Registerkarte Single Sign-On auf User Mapping.
- Sie können entweder eine SAML-ID-.csv-Zuordnungsdatei hochladen (siehe Anforderungen an SAML-ID-.csv-Zuordnungsdateien) oder die SAML-ID manuell im Profil jedes Benutzers festlegen (dadurch wird die Überprüfung der Übereinstimmung des Benutzernamens außer Kraft gesetzt).
Anforderungen an die SAML-ID-.csv-Zuordnungsdatei
Eine gültige Zeile in der SAML ID .csv-Zuordnungsdatei hat das folgende Format:
samlId,benutzername
Eine Zeile kann ungültig sein, wenn:
- Es befinden sich weniger als zwei Artikel in der Reihe
- Die SAML-ID und/oder der Benutzername wird nicht angegeben
- Der angegebene Nutzername existiert nicht
- Der Benutzer mit dem angegebenen Benutzernamen ist kein Mitglied der Organisation
- Die primäre Organisation des Benutzers mit dem angegebenen Benutzernamen ist nicht dieselbe wie die Organisation, die gerade geändert wird
- Die angegebene SAML-ID wurde bereits von einem anderen Benutzer verwendet
Eine gültige Mapping-Datei sieht zum Beispiel so aus:
exampleSamlId,exampleUsername
exampleSamlId2,exampleUsername2
exampleSamlId3,exampleUsername3
Einige weitere Punkte, die zu beachten sind:
- In der Zuordnungsdatei sind keine Kopfzeilen erforderlich
- Alle Zeilen werden verarbeitet, und ungültige Zeilen werden übersprungen
- Wenn es doppelte Benutzernamen gibt, wird nur die erste Zeile mit diesem Benutzernamen verwendet
- Wenn für einen angegebenen Benutzernamen bereits eine Zuordnung existiert, wird diese auf die in der Zuordnungsdatei angegebene Zuordnung aktualisiert
- Wenn Zeilen übersprungen werden, werden die Fehler im SAML Single Sign-On Aktivitätsprotokoll protokolliert
Schritt 6: NameIdentifier-Einstellungen festlegen (optional)
Unter der Registerkarte Single Sign-On und unter SAML Settingsfinden Sie den Abschnitt NameIdentifier Settings .
Standardmäßig ist bei den meisten Konfigurationen die Einstellung NameIdentifier element in Subject statement aktiviert. Dies bedeutet, dass Wdesk nach dem NameIdentifier-Element in der Betreff-Anweisung sucht.
Sie können diese Einstellung jedoch so ändern, dass die Anwendung nach dem Attribut in der SAML-Antwort sucht, indem Sie die Option NameIdentifier element is Attribute auswählen und an der gewünschten Stelle einfügen. Klicken Sie dann auf Änderungen speichern , um diese Einstellung zu speichern.
Hinweis: Die meisten Org-Security-Admins werden die NameIdentifier-Einstellungen nicht von der Standardeinstellung abweichen lassen. Bevor Sie Änderungen vornehmen, wenden Sie sich an Workiva Support .
Schritt 7: Konfigurieren der IdP-Einstellungen
So laden Sie Ihre IdP-Metadaten-XML-Datei hoch:
- Klicken Sie unter der Registerkarte Single Sign-On auf IdP-Einstellungen.
- Klicken Sie auf Durchsuchen, um Ihre Datei zu suchen und auszuwählen.
- Klicken Sie auf Hochladen. Ihre Änderungen werden automatisch gespeichert, wenn der Upload erfolgreich war.
Hinweis: Wenn Sie Azure als Identitätsanbieter verwenden, vergewissern Sie sich, dass das Feld IdP Initiated Sign-in URL leer gelassen wird, da es sonst zu Anmeldefehlern kommt.
- Wenn Sie eine IdP Sign-out Service URL und eine Sign-out Redirect URL benötigen und diese Werte nicht in Ihrer hochgeladenen XML-Metadaten-Datei zu finden sind, müssen Sie diese Werte separat in die entsprechenden Felder im Abschnitt Identity Provider Information einfügen.
Wenn Sie die IdP-Einstellungen manuell eingeben müssen, anstatt eine Datei hochzuladen, geben Sie die entsprechenden Details in die Felder Identity Provider Information ein. Die erforderlichen Felder sind Identity Provider URL, Binding, Issuer, und Certificate. Klicken Sie abschließend auf Änderungen speichern .
Schritt 8: Aktualisieren der SAML SSO-Anforderungsoptionen
Nachdem Sie die SAML-Einrichtung konfiguriert und überprüft haben, dass sie ordnungsgemäß funktioniert, können Sie die SAML-Anforderungsoptionen aktualisieren.
- Auf der Registerkarte Single Sign-On und im Abschnitt SAML-Einstellungen sehen Sie die Optionen für SAML-Anforderungen:
- Aktivieren Sie SAML Single Sign-On: Benutzer können sich mit SAML SSO anmelden oder weiterhin ihren Benutzernamen und ihr Passwort verwenden.
Hinweis: Diese Option muss aktiviert sein, damit SSO korrekt funktioniert.
- Erfordern Sie SAML Single Sign-On für Benutzer: Benutzer, die keine Administratoren sind, müssen SAML SSO verwenden (d.h. sie können nicht mehr ihren Benutzernamen und ihr Passwort verwenden), während Org Security Admins sich weiterhin mit ihrem Benutzernamen und Passwort anmelden können.
Hinweis: Stellen Sie sicher, dass Sie umfassende Tests durchführen und dass Sie mit Ihrer SAML SSO-Einrichtung absolut zufrieden sind, bevor Sie diese Option aktivieren.
- Erfordern Sie SAML Single Sign-On für Org Security Admins: Org Security Admins müssen SAML SSO verwenden (d.h. sie können nicht mehr ihren Benutzernamen und ihr Passwort verwenden). Um diese Option zu aktivieren, müssen Sie auch die Option Require SAML Single Sign-On for Usersaktivieren.
- Aktivieren Sie SAML Single Sign-On: Benutzer können sich mit SAML SSO anmelden oder weiterhin ihren Benutzernamen und ihr Passwort verwenden.
- Klicken Sie auf Änderungen speichern.
Falls gewünscht, können Sie bestimmten Benutzern erlauben, sich ohne SAML SSO anzumelden, indem Sie sie unter als Bypass-Benutzer hinzufügen.
Hinweis: Bevor Sie SAML SSO verlangen, müssen Sie die erforderlichen Bypass-Benutzer hinzufügen, um zu vermeiden, dass Benutzer von ihren Konten ausgeschlossen werden.