Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Haftungsausschluss: Dieser Artikel wurde durch maschinelle Übersetzung erstellt.

SAML SSO mit Okta

Prev Next

Okta ist ein Identity Provider (IdP), der den Benutzerzugriff über mehrere Anwendungen auf einer einzigen Plattform verwaltet. Mit SAML SSO zwischen Okta und Document360 können sich Ihre Benutzer und Leser mit ihren bestehenden Okta-Zugangsdaten bei Document360 anmelden, ohne ein separates Passwort zu benötigen.

HINWEIS

Nur Benutzer mit der Rolle Eigentümer oder Administrator können SSO in Document360 konfigurieren.

Was du mit Okta als deinem IdP machen kannst

Leistungsfähigkeit Unterstützt
Benutzer-(Portal-)Authentifizierung Ja
Leser- (Wissensdatenbank-)Authentifizierung Ja
IdP-initiierte Anmeldung Ja
SCIM-Benutzerbereitstellung Ja
SCIM-Leserbereitstellung Ja
SCIM-Gruppensynchronisation Ja
SSO-Konfigurationsvererbung (Eltern-Kind-Projekte) Ja

Bevor du anfängst

  • Du hast ein aktives Okta-Konto mit Administratorzugriff. Wenn Sie eine erstellen müssen, melden Sie sich bei developer.okta.com/signup an.
  • Du hast Eigentümer - oder Administratorzugriff in deinem Document360-Projekt.
  • Öffne Document360 und Okta in zwei separaten Browser-Tabs. Du musst während der Einrichtung mehrmals zwischen ihnen wechseln.

Schritt 1: Erstellen Sie eine SAML-Anwendung in Okta

Erstelle die App-Integration

  1. Melde dich in deinem Okta-Konto an und klicke oben rechts auf Admin, um zur Admin-Konsole zu wechseln.
  2. In der linken Navigation erweitern Sie Anwendungen und klicken Sie auf Anwendungen.
  3. Klicken Sie auf App-Integration erstellen.
  4. Im Dialogfenster "Eine neue App erstellen " wählen Sie SAML 2.0 als Anmeldemethode aus und klicken Sie auf Weiter.
Creating a SAML 2.0 app integration in Okta

Allgemeine Einstellungen konfigurieren

  1. Im Reiter Allgemeine Einstellungen geben Sie einen Namen Ihrer Anwendung im Feld App-Name ein (zum Beispiel "Document360 SSO").
  2. Lade optional ein Logo hoch und konfiguriere die Sichtbarkeitseinstellungen der App.
  3. Klicken Sie auf Nächsten, um zum Tab "SAML konfigurieren" zu gelangen.
Okta general settings tab for the SAML app integration

Konfigurieren Sie SAML-Einstellungen mit Document360-Parametern

Für diesen Schritt benötigen Sie die Service Provider (SP)-Parameter aus Document360.

Holen Sie sich die Parameter von Document360:

  1. In Document360 navigieren Sie zu  Einstellungen () > Benutzer & Berechtigungen > SSO-Konfiguration.
  2. Klicken Sie auf SSO erstellen und wählen Sie Okta als Ihren Identitätsanbieter aus.
SSO configuration screen showing identity provider options and setup steps for integration.
  1. Document360 zeigt die Seite "Service Provider konfigurieren" (SP) mit den benötigten Parametern an.
Configuration settings for Okta SSO, highlighting callback paths and service provider entity ID.

Geben Sie die Parameter in Okta ein:

  1. Wechsle zum Okta-Tab. Im Tab "SAML konfigurieren " geben Sie die Document360-Parameter mit der untenstehenden Abbildung ein.
Document360 Okta
Rückrufpfad Single-Sign-on-URL
Dienstanbieter-Entitäts-ID Zielgruppen-URI (SP-Entitäts-ID)
  1. Setze das Format der Name-ID auf EmailAddress.
  2. Setze den Anwendungsbenutzernamen auf E-Mail.

HINWEIS

E-Mail- und Namensparameter sind groß- und kleinschreibungssensitiv.

SAML settings configuration with highlighted fields for single sign-on and audience URI.
  1. Klicken Sie auf Weiter, um zur Feedback-Seite zu gelangen.

Füllen Sie die Feedback-Seite aus

Die Feedback-Seite dient dazu, Okta Informationen darüber zu geben, wie Sie die Anwendung konfigurieren.

  1. Wählen Sie Dies ist eine interne App, die wir erstellt haben.
  2. Klicken Sie auf Beenden.
Feedback section for Okta SAML integration with highlighted internal app description.

Ihre Okta-Anwendung ist jetzt erstellt.

Profilattributsausweisungen

  1. In Ihrer Okta-Anwendung navigieren Sie zum Reiter "Anmelden An" und scrollen Sie zu Attribut-Anweisungen nach unten.
  2. Erweitern Sie Altkonfiguration anzeigen und klicken Sie auf Bearbeiten bei Profilattributanweisungen.
Okta Admin Console displaying applications and attribute statements configuration options.
  1. Fügen Sie die folgenden Attributanweisungen hinzu. Du musst zwei zusätzliche Reihen hinzufügen.
Name Namensformat Wert
urn:oasis:names:tc:SAML:2.0:nameid URI-Referenz user.email
Name Unspezifiziert user.email
E-Mail Unspezifiziert user.email
  1. Klicken Sie auf Speichern.

Schritt 2: Schließen Sie die SSO-Konfiguration in Document360 ab

Holen Sie die SAML-Einrichtungsanweisungen von Okta ab

  1. Auf dem Okta-Dashboard klicken Sie auf Anwendungen und wählen Sie Anwendungen.
  2. Wählen Sie die aktive Anwendung aus, die Sie in Document360 konfigurieren möchten.
  3. Klicken Sie auf den Reiter "Anmelden ".
  4. Klicken Sie auf SAML-Einrichtungsanweisungen anzeigen.
Viewing SAML setup instructions in Okta

Die Parameter, die zur Konfiguration von Document360 benötigt werden, öffnen sich auf einer neuen Webseite.

Okta SAML setup instructions page showing IdP parameters

Konfigurieren Sie den Identitätsanbieter in Document360

  1. Wechsle zum Document360-Tab, der weiterhin die Seite "Service Provider konfigurieren" (SP) anzeigen sollte.
  2. Im Feld "Eine bestehende Verbindung konfigurieren " können Sie von einer bereits erstellten SSO-Konfiguration erben, die SCIM im Elternprojekt aktiviert hat. Durch die Auswahl und das Erben dieser Verbindung wird die aktuelle SSO-Konfiguration als kindlich geerbte SSO-Konfiguration gesetzt und erbt automatisch die SCIM-Konfiguration vom Elternteil.

HINWEIS

Weitere Informationen zur Vererbung finden Sie unter Benutzer und Leser verwalten mit SCIM in Okta.

  1. Füllen Sie die Felder auf der Seite "Den Identitätsanbieter konfigurieren" (IdP) mit den Einrichtungsanweisungen von Okta aus.
  2. Laden Sie das X.509-Zertifikat von Okta herunter und fügen Sie die heruntergeladene Datei im SAML-Zertifikatsfeld in Document360 an.
Document360 Okta
Anmelde-URL Identity Provider Single Sign-On URL
Entitäts-ID Identitätsanbieter-Aussteller
SAML-Zertifikat X.509-Zertifikat
  1. Schalten Sie den Schalter "Erlaubt IdP-Anmeldung zulassen" je nach Ihren Anforderungen ein oder aus. Erfahren Sie mehr über die vom Idp initiierte Anmeldung.
Configuration settings for Single Sign-On with highlighted URLs and entity ID.
  1. Klicken Sie auf Weiter, um zur SCIM-Bereitstellungsseite zu gelangen.

Schritt 3: Konfigurieren Sie die SCIM-Bereitstellung

Die SCIM-Bereitstellung automatisiert das Lebenszyklusmanagement von Benutzer und Lesern zwischen Okta und Document360. Wenn aktiviert, werden in Okta hinzugefügte, aktualisierte oder deaktivierte Benutzer automatisch mit Document360 synchronisiert.

Wenn du keine SCIM-Bereitstellung brauchst, klicke auf Nächste und folge den Anweisungen aus Schritt 4: Weitere Einstellungen.

Aktivieren Sie SCIM in Document360

  1. Auf der SCIM-Bereitstellungsseite aktivieren Sie den Schalter "SCIM Bereitstellung aktivieren ".
SCIM provisioning settings with steps to enable user synchronization.
  1. Ein Bestätigungsdialog erscheint. Überprüfen Sie die Bedingungen, aktivieren Sie das Kästchen und klicken Sie auf Zustimmen.
  2. Die Parameter, die zur Durchführung der SCIM-Konfiguration in Okta erforderlich sind, werden dann angezeigt.
Configuration settings for SCIM provisioning including tokens and user roles.

VORSICHT

Die primären und sekundären Token werden einmal generiert und nur zum Zeitpunkt der Erstellung angezeigt. Stelle sicher, dass du sie kopierst und an einem sicheren Ort speicherst, bevor du die Konfiguration speicherst. Sobald die SSO-Konfiguration gespeichert ist, erscheinen die Token maskiert und können nicht mehr abgerufen werden. Das Regenerieren eines Tokens macht das bestehende ungültig, du musst das neue Token in deiner Okta-Konfiguration aktualisieren, damit die Synchronisation ohne Unterbrechung fortgesetzt wird.

Aktivieren Sie die SCIM-Bereitstellung in Okta

  1. In der Okta Admin Console erweitern Sie Anwendungen und klicken Sie auf Anwendungen.
  2. Wählen Sie die Anwendung aus, in der Sie die SCIM-Bereitstellung aktivieren möchten.
  3. Navigiere zum Reiter Allgemeine und klicke unter App-Einstellungen auf Bearbeiten.
  4. Wählen Sie die SCIM-Bereitstellungs-Funktaste und klicken Sie auf Speichern.
App settings interface showing provisioning options and highlighted SCIM selection.

Konfigurieren Sie die SCIM-Verbindung in Okta

  1. Gehe zum Reiter Provisioning und klicke unter dem Abschnitt SCIM-Verbindung auf Bearbeiten.
Okta Admin Console showing provisioning settings and SCIM connection details.
  1. Geben Sie die SCIM-Basis-URL von Document360 mit der untenstehenden Abbildung in das Feld der SCIM-Connector-Basis-URL von Okta ein.
Okta Document360
SCIM-Connector-Basis-URL SCIM-Basis-URL
HTTP-Header-Autorisierung Primäres geheimes Token
  1. Im Feld Eindeutige Kennung für Benutzer geben Sie BenutzerName ein.
  2. Unter Unterstützte Bereitstellungsaktionen wählen Sie nur Folgendes aus:
    • Neue Nutzer vorantreiben
    • Push-Profil-Updates
    • Push-Gruppen
  3. Im Dropdown-Menü Authentifizierungsmodus wählen Sie HTTP-Header.
  4. In Document360 kopieren Sie das primäre Geheimtoken von der SCIM-Bereitstellungsseite.
  5. Füge das primäre geheime Token in das HTTP-Header-Autorisierungsfeld ein.
SCIM connection settings including URL, user identifier, and provisioning actions options.

HINWEIS

Klicken Sie noch nicht auf "Connector-Konfiguration testen ". In diesem Stadium funktioniert die SCIM-Bereitstellung mit Document360 nicht, da die SSO-Konfiguration in Document360 noch nicht abgeschlossen ist.

Setze Standardrollen und -gruppen in Document360

  1. Gehe zur SCIM-Bereitstellungsseite in Document360 und aktiviere bei Bedarf den Schalter Gruppensynchronisation aktivieren . Dies weist automatisch Benutzer und Leser basierend auf deinen IdP-Gruppenzuordnungen zu.
  2. Im Feld Standardrolle ist die Rolle standardmäßig auf Beitragsmitglied gesetzt. Du kannst das bei Bedarf im Dropdown-Menü ändern.
  3. In den Feldern Benutzergruppen und Lesergruppen wählen Sie die Gruppen aus, die Sie hinzufügen möchten. Mehrere Gruppen können hinzugefügt werden, und sie übernehmen die zuvor gewählte Standardrolle.
Configuration settings for SCIM provisioning with highlighted options for roles and group sync.
  1. Klicken Sie auf Weiter, um zur Seite Mehr-Einstellungen zu gelangen.

HINWEIS

Für vollständige Details zur Verwaltung von Benutzern, Lesern und Gruppen über SCIM, einschließlich Attributzuordnung, Ausdrucksgenerator, Bereitstellungs-Workflows und Deprovisioning, siehe Verwaltung von Benutzern und Lesern mit SCIM in Okta.


Schritt 4: Mehr Einstellungen

Konfigurieren Sie den SSO-Namen und die Anmeldeoptionen

  1. Im SSO-Namensfeld geben Sie einen Namen für Ihre SSO-Konfiguration ein.
  2. Im Text "Login-Anpassung" geben Sie den Text ein, den Sie auf der Login-Schaltfläche anzeigen möchten.
  3. Aktivieren Sie bei Bedarf den Ausloggen des leeren SSO-Benutzers und legen Sie die Dauer fest, nach der ein leerer SSO-Benutzer automatisch ausgeloggt wird.
  4. Wählen Sie aus, ob Sie alle Nutzer oder ausgewählte Nutzer mit den Optionen bestehende Team- und Leserkonten zu SSO-Funkschaltern einladen .
Settings for creating a new SSO with options for timeout and user management.
  1. Klicken Sie auf Erstellen , um die SSO-Konfiguration abzuschließen.

Schritt 5: Komplette SCIM-Einrichtung in Okta

Wenn du die SCIM-Bereitstellung in 3 aktiviert hast, schließe sie jetzt ab, da die Document360-Konfiguration gespeichert ist.

Testen und speichern Sie die SCIM-Verbindung

Nachdem die SSO-Konfiguration in Document360 erfolgreich erstellt wurde, kann die SCIM-Bereitstellung nun in Okta abgeschlossen werden.

  1. Kehren Sie zur Okta-Admin-Konsole zurück und stellen Sie sicher, dass alle notwendigen Details ausgefüllt wurden.
SCIM connection settings including URL, user identifier, and provisioning actions options.
  1. Klicken Sie auf "Connector-Konfiguration testen ", um die Verbindung zwischen Okta und Document360 zu überprüfen.
  2. Ein Bestätigungsdialog erscheint, der anzeigt, dass der Test erfolgreich war.
Successful connector configuration with detected provisioning features listed below.
  1. Klicken Sie auf Speichern , um die Konfiguration abzuschließen.

Die SSO-Konfiguration basierend auf dem SAML-Protokoll wurde erfolgreich mit Okta konfiguriert.

HINWEIS

Weitere Informationen zum Hinzufügen von Benutzern, Lesern sowie Benutzer- und Lesergruppen finden Sie unter Verwaltung von Benutzern und Lesern mit SCIM in Okta.


Best Practices

  • Bewahren Sie beide geheimen Token sicher auf. Behandle die primären und sekundären SCIM-Token wie Passwörter. Speichere sie in einem Secrets-Manager oder Passwort-Tresor, nicht in Klartextdateien oder Code-Repositories.
  • Benutze den sekundären Token für eine sichere Rotation. Wenn der primäre Token jemals offengelegt wird, wechselt Okta zuerst zum sekundären Token und generiert dann den primären Token neu. Dadurch werden jegliche Unterbrechungen der Benutzersynchronisation vermieden.
  • Teste zuerst in einer nicht-produktiven Umgebung. Bevor Sie SSO für alle Nutzer ausrollen, konfigurieren und testen Sie die Integration mit einer kleinen Gruppe, um etwaige Attributzuordnung oder Zugriffsprobleme zu erkennen.
  • Richten Sie den Leerlauf-Timeout an Ihre Sicherheitsrichtlinie ab. Aktivieren Sie Ausloggen, Leerlauf (SSO-Nutzer) und stellen Sie die Dauer so ein, dass sie den Anforderungen Ihrer Organisation an das Sitzungsmanagement entspricht.
  • Testen Sie den SCIM-Anschluss nicht, bevor Sie die Document360-Konfiguration speichern. Der Test wird in diesem Stadium scheitern. Immer zuerst die Document360 SSO-Konfiguration abschließen und speichern und dann zu Okta zurückkehren, um zu testen.

FAQ

Was ist der Zweck sowohl eines primären als auch eines sekundären geheimen Tokens?

Mit sowohl einem primären als auch einem sekundären Token kannst du die Token sicher rotieren, ohne deine SCIM-Integration zu stören. Wenn das primäre Token versehentlich offengelegt wird, müssen Sie es nicht sofort widerrufen und riskieren, Ihre Benutzersynchronisation zu unterbrechen. Stattdessen solltest du deine Okta-Integration so umstellen, dass sie zuerst das sekundäre Token verwendet und dann im Hintergrund das primäre Token neu generieren. Dies stellt sicher, dass die Benutzerbereitstellung ohne Unterbrechung fortgesetzt wird, während das kompromittierte Token ersetzt wird.

Kann ich dieselbe Okta-Anwendung sowohl für die SAML SSO als auch für die SCIM-Bereitstellung verwenden?

Ja. Für SAML wird die SCIM-Bereitstellung innerhalb derselben Okta-Anwendung aktiviert, indem die SCIM-Bereitstellungsoption unter den App-Einstellungen aktiviert wird. Dies unterscheidet sich vom OpenID Connect-Setup, bei dem SCIM eine separate OAuth Bearer Token-App im Okta-Katalog benötigt.

Was passiert mit bestehenden Document360-Nutzern, wenn ich SSO konfiguriere?

Bestehende Nutzer werden nicht automatisch konvertiert. Während des Mehr-Einstellungs-Steps können Sie alle bestehenden oder ausgewählten Nutzer zum SSO-Login einladen. Konvertierte Nutzer behalten alle bestehenden Rollen und Berechtigungen bei.