Avtek Sign Dokumentation
EN PL DE

Inhaltsverzeichnis

Einführung

Nur im Enterprise‑Plan verfügbar!
Dieses Feature ist nur im „Enterprise“ Plan verfügbar. Sie sehen möglicherweise einige Untermenüs nicht, wenn Sie nicht im „Enterprise“ Plan sind.
Beachten Sie, dass der „Enterprise“ Plan kostenlos ist, wenn Sie nur einen Bildschirm verwalten, um diese Funktionen schnell zu testen.

Einführung

Security Assertion Markup Language (SAML) ist ein XML‑basierter Standard zum Austausch von Authentifizierungs- und Autorisierungsinformationen. SAML wurde vom technischen Komitee der Sicherheitsdienste der Organization of the Advancement of Structured Information Standards (OASIS) entwickelt. SAML ermöglicht föderierte Systeme mit unterschiedlichen Management‑Systemen, sich über vereinfachte und Single‑Sign‑On‑Austausch zu verbinden. Ein technischer Überblick ist bei OASIS verfügbar.

OASIS nennt die folgenden Vorteile von SAML:

  • SAML abstrahiert den Sicherheitsrahmen von Plattformarchitekturen und spezifischen Anbieterimplementierungen. Die Unabhängigkeit der Sicherheit von der Anwendungslógik ist ein wichtiges Prinzip der servicesorientierten Architektur.
  • SAML erfordert keine Pflege und Synchronisation von Benutzerdaten zwischen Verzeichnissen.
  • SAML ermöglicht Single Sign‑On, indem es den Benutzer erlaubt, sich beim Identitätsanbieter zu authentifizieren und Service‑Anbieter ohne zusätzliche Authentisierung zu nutzen. Zusätzlich ermöglicht die Identitätsföderation (Verknüpfung mehrerer Identitäten) mit SAML ein individuell besser zugeschnittenes Benutzererlebnis bei jedem Dienst und fördert gleichzeitig den Datenschutz.
  • Durch die Wiederverwendung eines einzigen Authentifizierungsakts (wie die Anmeldung mit Benutzername und Passwort) über mehrere Dienste hinweg kann der Wartungsaufwand für Kontoinformationen reduziert werden. Dies wird auf den Identitätsanbieter übertragen.
  • SAML kann die Verantwortung für ein sicheres Identitätsmanagement auf den Identitätsanbieter verlagern, der häufiger mit seinem Geschäftsmodell kompatibel ist als ein Dienstanbieter.

Hier finden Sie hilfreiche Informationen zur Konfiguration einer Single‑Sign‑On‑Lösung mit SAML für Ihr Konto.

Erweiterte Einstellungen

Group Managed Service Accounts sind perfekte Identitätslösungen für Dienste, die auf mehreren Hosts laufen, und die Verwendung von Gruppen‑Passwortverwaltung erfordert keinen administrativen Aufwand, da das Passwortmanagement automatisch über bekannte Server auf mehreren Hosts gehandhabt wird.

Wenn Sie eine föderierte Serverfarm-Umgebung in Active Directory Federation Services (ADFS) konfigurieren wollen, müssen Sie ein dediziertes Service‑Konto in Active Directory Domain Services (ADDS) erstellen und konfigurieren, in dem die Farm verbleibt. Sie konfigurieren dann jeden föderierten Server in der Farm, um dieses Konto zu verwenden. Sie müssen die folgenden Aufgaben in Ihrem Konto ausführen, wenn Sie Client‑Computer im firmenspezifischen Netzwerk zulassen wollen, sich bei jedem der föderierten Server in einer ADFS-Farm mithilfe der Windows‑Integrated‑Authentication zu authentifizieren.

  1. Attributname für NameID: Wählen Sie, ob Sie die Standard‑NameID verwenden oder ein anderes Attribut Ihrer Wahl festlegen möchten.
  2. Benutzername: Behalten Sie denselben Benutzernamen (Username - E‑Mail) bei oder überschreiben Sie ihn und setzen Sie ihn auf Ihre ADFS‑Benutzerdetails.
  3. Automatisch Benutzer erstellen: Aktivieren Sie dies, um „Just‑in‑Time Provisioning“ mit SAML zu nutzen, d.h. neue autorisierte Benutzer automatisch zu erstellen, die von Ihrem Identitätsanbieter kommen.
  4. SAML‑Gruppenzugriff nutzen: Aktivieren Sie dies, um Benutzerrechte automatisch basierend auf einer SAML‑Gruppe zu ändern. Verwenden Sie Groups to Permissions Mappings, um die Berechtigungen festzulegen, die jede Gruppe hat.
    1. Geben Sie einen Namen für Ihre Gruppe ein.
    2. Durch Klicken auf die graue Schaltfläche „Gruppe Zuordnung hinzufügen“, können Sie Gruppen wie Ihre ADFS‑Gruppen erstellen. Die Benutzer, die dieser Gruppe beitreten, erben die Kontoberechtigungen und Rollen der Gruppe. Jede Gruppe kann unterschiedliche Kontoberechtigungen haben.
    3. Wenn Sie die Arbeitsbereich‑Funktion haben, können Sie ebenfalls verschiedene Rollen für diese Gruppe festlegen, indem Sie die Schaltfläche „Rolle hinzufügen“ klicken.

Gruppen zu Berechtigungs-Mapping‑Assistent

Aktivieren Sie dies, um Benutzerrechte automatisch basierend auf einer SAML‑Gruppe zu ändern.

Jede Benutzergruppe kann wie eine ADFS-Gruppe mit einer SAML‑Gruppe verbunden werden. Benutzer, die dieser Gruppe beitreten, erben die Kontoberechtigungen und Rollen der Gruppe, und jede Benutzergruppe kann unterschiedliche Kontoberechtigungen haben.

  1. Geben Sie einen Namen für Ihre Gruppe ein.
  2. Standardmäßig werden die bestehenden Benutzergruppen angezeigt, wenn Sie den SAML‑Gruppenzugriff aktivieren.
  3. Sie können den gewünschten SAML‑Gruppenname, den Sie abbilden wollen, hinzufügen, indem Sie die Bearbeitungsschaltfläche auf der rechten Seite jedes Gruppeneintrags klicken.