Document360 unterstützt OpenID Connect SSO mit jedem Identity Provider (IdP), der das OpenID Connect-Protokoll unterstützt, auch wenn es nicht explizit in den IdP-Optionen von Document360 aufgeführt ist. Dieser Artikel führt Sie durch die Konfiguration von SSO zwischen Document360 und einem benutzerdefinierten oder nicht gelisteten Identitätsanbieter mit OpenID Connect.
Nur Benutzer mit der Rolle Eigentümer oder Administrator können SSO in Document360 konfigurieren.
Bevor du anfängst
- Sie haben administrativen Zugriff sowohl auf Document360 als auch auf Ihren Identitätsanbieter.
- Du hast Eigentümer - oder Administratorzugriff in deinem Document360-Projekt.
- Öffnen Sie Document360 und Ihren Identitätsanbieter in zwei separaten Browser-Tabs, bevor Sie starten.
Wie man OpenID-SSO mit anderen Anbietern in Document360 konfiguriert
Schritt 1: Füge eine neue Anwendung in deinem IdP hinzu
- Melden Sie sich in der Admin-Konsole Ihres Identitätsanbieters an.
- Navigieren Sie zu dem Bereich, in dem Sie Anwendungen erstellen oder verwalten können (oft als Anwendungen, Unternehmensanwendungen oder ähnlich bezeichnet).
- Wählen Sie die Option aus, eine neue Anwendung zu erstellen.
- Konfigurieren Sie die Grundeinstellungen:
- Anwendungsnamen: Geben Sie einen Namen ein, zum Beispiel "Document360 OpenID SSO".
- Anwendungstyp: Wählen Sie OpenID Connect als Anmeldemethode aus.
- Speichere deine Anwendungseinstellungen.
Schritt 2: Holen Sie die SP-Parameter aus Document360
- Öffne Document360 in einem separaten Tab.
- Navigiere zu Einstellungen () > Benutzer & Berechtigungen > SSO-Konfiguration.
- Klicken Sie auf Create SSO.
- Wählen Sie Andere als Ihren Identitätsanbieter auf der Seite "Wählen Sie Ihren Identitätsanbieter (IdP), um zur Seite "Service Provider konfigurieren" (SP) zu gelangen.
- Wählen Sie OpenID als Protokoll auf der Seite "Configure the Service Provider (SP) ".
Schritt 3: Gib die Document360-Parameter in deinem IdP ein
In der OpenID-Konfiguration Ihres Identitätsanbieters geben Sie die Document360-Parameter mithilfe der untenstehenden Zuordnung ein.
| Dein IDP | Document360 |
|---|---|
| Subdomainname | Subdomainname |
| Weiterleitungs-URL (Anmelde) | Anmelde-Umleitungs-URL |
| Weiterleitungs-URL (Ausloggen) | Ausloggen, Weiterleitungs-URL |
Schritt 4: Konfigurieren Sie Scopes und Claims in Ihrem IdP
Stellen Sie sicher, dass die folgenden Scopes in Ihrer IdP-Konfiguration enthalten sind.
| Umfang | Beschreibung |
|---|---|
| Openid | Erforderlich für OpenID-Authentifizierung |
| Zugriff auf die E-Mail des Nutzers | |
| Profil | Zugriff auf die grundlegenden Profilinformationen des Nutzers |
Kartieren Sie die folgenden Ansprüche in Ihrem Identitätsanbieter.
| Anspruch | Wert |
|---|---|
| Sub | Benutzer-ID oder Kennung |
| user.email | |
| Name | user.name |
Überprüfen Sie Ihre Einstellungen und speichern Sie die Konfiguration.
Schritt 5: Konfigurieren Sie den Identitätsanbieter in Document360
- Kehren Sie auf der Seite "Configure the Service Provider (SP)" zu Document360 zurück und klicken Sie auf Nächsten, um zur Seite "Configure the Identity Provider (IdP) zu gelangen.
- Geben Sie die entsprechenden Werte von Ihrem Identitätsanbieter mit der untenstehenden Abbildung ein.
| Document360 | Identitätsanbieter |
|---|---|
| Kunden-ID | Kunden-ID |
| Kundengeheimnis | Kundengeheimnis |
| Autorität | Autorisierungs-URL oder Endpunkt |
- Laden Sie die erforderlichen Zertifikate oder Schlüssel hoch, falls Ihr IdP es verlangt.
- Im Feld Scope (optional) geben Sie einen Scope-Wert ein und klicken Sie auf + , um ihn als Chip hinzuzufügen. Dies definiert, welche Benutzerinformationen oder Berechtigungen Document360 von Ihrem Identitätsanbieter anfordert. Du kannst bis zu 3 Zielfernrohre hinzufügen.
- Klicken Sie auf Weiter, um zur SCIM-Bereitstellungsseite zu gelangen.
Schritt 6: Konfigurieren Sie die SCIM-Bereitstellung
Die SCIM-Bereitstellung automatisiert das Nutzer- und Leserlebenszyklusmanagement zwischen Ihrem Identitätsanbieter und Document360. Dies ist verfügbar, wenn dein IdP SCIM unterstützt.
Wenn Sie keine SCIM-Bereitstellung benötigen, springen Sie zu Schritt 7: Konfigurieren Sie den SSO-Namen und die Anmeldeoptionen.
- Schalte den Enable SCIM-Provisionierungs-Schalter ein.
- Ein Bestätigungsdialog erscheint. Überprüfen Sie die Bedingungen, aktivieren Sie das Kästchen und klicken Sie auf Zustimmen.
- Eine Reihe von Parametern wird angezeigt. Nutzen Sie diese, um die SCIM-Bereitstellung in Ihrem IdP zu aktivieren.
- Aktiviere bei Bedarf den Schalter Gruppensynchronisation aktivieren . Dies weist automatisch Benutzer und Leser basierend auf deinen IdP-Gruppenzuordnungen zu.
- Im Feld Standardrolle ist die Rolle standardmäßig auf Beitragsmitglied gesetzt. Du kannst das bei Bedarf im Dropdown-Menü ändern.
- In den Feldern Benutzergruppen und Lesergruppen wählen Sie die Gruppen aus, die Sie hinzufügen möchten. Mehrere Gruppen können hinzugefügt werden, und sie übernehmen die zuvor gewählte Standardrolle.
- Klicken Sie auf Weiter, um zur Seite Mehr-Einstellungen zu gelangen.
Schritt 7: Konfigurieren Sie den SSO-Namen und die Login-Optionen
- Im SSO-Namensfeld geben Sie einen Namen für die SSO-Konfiguration ein.
- Im Login-Anpassen-Button geben Sie den Text für den Login-Button ein, der den Nutzern angezeigt wird.
- Automatische Zuweisung der Lesegruppe: Diese Option ist nur für bestehende SSO-Konfigurationen verfügbar. Bei neu erstellten SSO-Konfigurationen wird dieser Schalter nicht angezeigt, da SCIM Benutzer und Gruppen automatisch bereitstellt.
- Schalten Sie Abmelden, leerer SSO-Nutzer je nach Ihren Anforderungen ein- oder aus.
- Entscheiden Sie, ob Sie bestehende Nutzer- und Leserkonten zum SSO einladen.
- Klicken Sie auf Erstellen , um die OpenID-SSO-Konfiguration abzuschließen.
Die SSO-Konfiguration ist jetzt in Document360 aktiv und verwendet Ihren gewählten Identity Provider.
Benutzer in Ihrem IdP verwalten
Um Leser anzuzeigen, die durch Ihre IdP-Integration hinzugefügt wurden:
- In Document360 navigieren Sie zu Einstellungen () > Benutzer & Berechtigungen > Leser & Gruppen.
- Wählen Sie den Leser aus, um zu seinem Leserprofil zu gelangen.
Leser, die über SCIM bereitgestellt wurden, zeigen neben ihrem Namen ein SSO-SCIM-Badge an.
Wenn SCIM aktiviert ist, ist das Bearbeiten eines Benutzernamens oder das direkte Löschen eines Benutzers in Document360 deaktiviert, da diese Aktionen über Ihr IdP verwaltet werden müssen, um beide Plattformen synchron zu halten. Du kannst den Inhaltszugriff nur über Document360 verwalten. Das Löschen eines Profils in Ihrem IdP entfernt es nicht aus Document360, das Profil bleibt mit dem Status "Inaktiv" erhalten.
Verwaltung des Inhaltszugriffs von Lesern, Nutzern und Gruppen
Die Standard-Inhaltsrolle, die jedem neuen Nutzer, Leser oder Gruppe zugewiesen wird, basiert auf dem, was während der SCIM-Bereitstellung konfiguriert wurde. Die Berechtigungen werden standardmäßig auf Keine gesetzt, können aber jederzeit aktualisiert werden.
- Wählen Sie den gewünschten Reader aus und klicken Sie auf Inhaltszugriff verwalten.
- Wählen Sie die gewünschte Zugriffsstufe aus dem Dropdown-Menü und klicken Sie auf Aktualisieren.
Sie können auch Gruppen für einen Leser verwalten, indem Sie unter dem Abschnitt Lesergruppen auf Gruppen verwalten klicken.