Security Assertion Markup Language (SAML) ist ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter (IdP) und einem Dienstanbieter (SP). Einfach ausgedrückt ermöglicht SAML einem Nutzer, sich einmal über das Identitätssystem seiner Organisation einzuloggen und auf Document360 zuzugreifen, ohne einen separaten Benutzernamen und ein separates Passwort zu benötigen.
Document360 fungiert als Service Provider (SP). Ihre gewählte Identitätsplattform, wie Okta, Microsoft Entra oder Google Workspace, fungiert als Identitätsanbieter (Identity Provider, IdP). Wenn sich ein Nutzer anmeldet, überprüft der IdP seine Identität und sendet eine digital signierte Bestätigung an Document360, die Zugriff gewährt.
Warum SAML SSO verwenden
- Zentralisierte Zugangskontrolle. Verwalten Sie, wer von Ihrer bestehenden Identitätsplattform auf Document360 zugreifen kann, ohne separate Konten anlegen zu müssen.
- Verbesserte Sicherheit. Die Authentifizierung erfolgt über Ihren IdP, der MFA, Bedingungen für den Zugriff und Sitzungskontrollen durchsetzen kann.
- Bessere Benutzererfahrung. Nutzer melden sich einmal über das Portal ihrer Organisation an und greifen direkt auf Document360 zu, ohne zusätzliche Anmeldungen.
- Vereinfachtes Offboarding. Das Deaktivieren eines Benutzers in Ihrem IDP verhindert sofort den Zugriff auf Document360.
Wie die SAML-SSO-Konfiguration in Document360 funktioniert
Die Konfiguration von SAML SSO in Document360 folgt immer demselben dreistufigen Muster, unabhängig davon, welchen Identitätsanbieter Sie verwenden:
- Erstellen Sie eine SAML-Anwendung in Ihrem Identitätsanbieter mit den Service Provider (SP)-Parametern aus Document360.
- Schließen Sie die SSO-Konfiguration in Document360 mit den Parametern Ihres Identitätsanbieters ab, einschließlich der Anmelde-URL, der Entitäts-ID und des X.509-Zertifikats.
- Konfigurieren Sie optionale Einstellungen wie SCIM-Bereitstellung, SSO-Name, Anpassung der Login-Schaltfläche und Benutzereinladungen.
Wählen Sie unten Ihren Identitätsanbieter aus, um der Schritt-für-Schritt-Einrichtungsanleitung zu folgen.
Unterstützte Identitätsanbieter
Document360 unterstützt SAML SSO mit den folgenden Identitätsanbietern. Wählen Sie Ihren Anbieter aus, um loszulegen.
Microsoft Entra
Konfigurieren Sie die SAML SSO und SCIM-Bereitstellung mit Microsoft Entra ID.
Entra → einrichtenGoogle Workspace
Konfigurieren Sie das SAML SSO mit Google Workspace. Hinweis: SCIM wird nicht unterstützt.
Richte Google → einOneLogin
Konfigurieren Sie die Bereitstellung von SAML SSO und SCIM-Lesern mit OneLogin.
OneLogin einrichten →Weitere Anbieter
Konfigurieren Sie SAML SSO mit jedem SAML 2.0-kompatiblen Identitätsanbieter.
Richte andere IdP-→ einSAML-Fähigkeiten nach Anbieter
| Identitätsanbieter | Teammitglieder-Authentifizierung | Leser-Authentifizierung | IdP-initiierte Anmeldung | SCIM-Bereitstellung |
|---|---|---|---|---|
| Okta | Ja | Ja | Ja | Ja (Nutzer und Leser) |
| Microsoft Entra | Ja | Ja | Ja | Ja (Nutzer und Leser) |
| Google Workspace | Ja | Ja | Ja | Nein |
| OneLogin | Ja | Ja | Ja | Ja (nur für Leser) |
| ADFS | Ja | Ja | Ja | Ja (über Drittanbieter-Tools) |
| Weitere Anbieter | Ja | Ja | Ja | Ja (falls IdP SCIM unterstützt) |
IdP-initiierte Anmeldung
Standardmäßig starten Nutzer den Anmeldeprozess von der Document360-Anmeldeseite (SP-initiierte Anmeldung). Wenn die vom IdP initiierte Anmeldung aktiviert ist, können Nutzer sich stattdessen direkt über das Dashboard ihres Identitätsanbieters anmelden und auf Document360 zugreifen, ohne zuerst die Anmeldungsseite von Document360 zu besuchen.
Die folgenden Identitätsanbieter unterstützen die von Idp initiierte Anmeldung mit Document360: Okta, Microsoft Entra, Google Workspace, OneLogin und ADFS.
So funktioniert es:
- Sobald der Umschaltschalter "IdP-initiierte Anmeldung erlauben " aktiviert ist, wird eine exklusive, von IdP initiierte Anmelde-URL vom IdP erhalten und mit den SSO-Nutzern geteilt.
- Nutzer nutzen diesen Link, um sich im Dashboard ihres Identitätsanbieters anzumelden.
- Der Benutzer wählt das konfigurierte Projekt aus und greift direkt auf Document360 zu.
Um die von IdP initiierte Anmeldung während der initialen SSO-Einrichtung zu aktivieren, aktivieren Sie auf der Seite "Configure the Identity Provider (IdP)" den Umschalter "Admit IdP initiiert".
Um sie auf einer bestehenden SSO-Konfiguration zu aktivieren:
- Navigiere zu Einstellungen () > Benutzer & Berechtigungen > SSO-Konfiguration.
- Fahren Sie mit der Maus über die vorhandene SSO-Konfiguration und klicken Sie auf das Edit ()-Symbol.
- Navigiere zum Tab IdP-Konfigurationen .
- Aktivieren Sie den Aktivieren von IdP initiierter Anmeldung .
- Klicken Sie auf Speichern.
Wenn Sie eine Fehlermeldung erhalten, wenn Sie versuchen, von Ihrem IdP-Dashboard auf Document360 zuzugreifen, liegt das wahrscheinlich daran, dass der Umschalter "IdP erlauben" nicht aktiviert ist. Befolge die obigen Schritte, um es zu aktivieren.
Verwaltung des SSO-Zertifikats
Document360 verwendet ein X.509-Zertifikat, um SAML-Behauptungen Ihres Identitätsanbieters zu validieren. Zertifikate haben ein Ablaufdatum. Wenn ein Zertifikat abläuft, scheitert die SSO-Authentifizierung für alle Nutzer.
Ein SAML-Zertifikatsrotations-Benachrichtigungs-Banner erscheint 15 Tage vor Ablauf auf der SSO-Konfigurationsseite, sodass Sie das aktualisierte Zertifikat herunterladen und in Ihrem Identitätsanbieter erneuern können, bevor der Zugriff gestört wird.
Erfahren Sie mehr über das Management von SSO-Zertifikaten →
Weitere SAML-Ressourcen
SCIM-Bereitstellung
Automatisieren Sie das Lebenszyklusmanagement von Benutzer und Lesern mithilfe von SCIM mit Okta oder Entra.
Erfahren Sie mehr über SCIM →Entferne eine SAML-SSO-Konfiguration
Erfahren Sie, was passiert, wenn Sie ein konfiguriertes SAML-SSO entfernen und wie Sie das sicher tun.
Entferne SAML SSO →FAQ
Kann ich SAML und JWT gleichzeitig verwenden?
Ja. SAML und JWT können in Document360 koexistieren. SAML übernimmt die Benutzer- und Leseauthentifizierung über einen Identity Provider, während JWT typischerweise von Entwicklern zur programmatischen Authentifizierung von Lesern über ihre eigene Anwendung verwendet wird. Beide können gleichzeitig im selben Projekt aktiv sein.
Kann ich mehr als ein SAML-SSO in einem einzigen Document360-Projekt konfigurieren?
Ja. Sie können mehrere SAML-SSO-Konfigurationen im selben Projekt konfigurieren, jede mit einem anderen Identitätsanbieter. Zum Beispiel kann man gleichzeitig separate Konfigurationen für Okta, Microsoft Entra und Google Workspace aktiv haben.