Identity Provider (EB75)
Systemsteuerung/Portal-Optionen/Schnittstellen/Schnittstellenkonfiguration/SAML/Identity Provider
Verwalte hier die Identity Provider für die SAML-basierte Anmeldung (z.B. Microsoft Entra ID, ForgeRock). Du konfigurierst die Verbindungsparameter, Sicherheitseinstellungen und Authentifizierungsverhalten für jeden Provider. Diese Konfiguration ermöglicht es deinen Benutzern, sich mit ihren Unternehmenskonten sicher am Portal anzumelden (Single Sign-On).
Formularhilfe
ButtonMenü
In diesem Bereich können Sie SAML-Metadaten eines Identity Providers importieren: entweder als Datei-Upload oder direkt von einer URL (z.B. Azure Federation Metadata Endpoint).
Nutzen: Vereinfacht die Einrichtung von Single Sign-On durch automatisches Auslesen der erforderlichen Konfigurationsdetails wie Anmelde-URLs, Zertifikate und Signatur-Einstellungen aus den Metadaten.
Provider
Grundlegende Identifikations- und Verbindungsparameter deines Identity Providers. Lege hier fest, welcher Provider aktiv ist, wie er angesprochen wird und ob eine automatische Anmeldung erfolgen soll. Die Metadaten-URL ermöglicht das automatische Einlesen der Provider-Konfiguration.
Code | Eindeutige Kurzbezeichnung zur Identifikation des Identity Providers in der Konfiguration (z.B. "ENTRA", "FORGEROCK", "OKTA"). |
Aktiv | Aktiviere diese Option, um den Identity Provider für die Anmeldung freizugeben. Nur aktive Provider können von Benutzern zur Authentifizierung verwendet werden. |
AutoLogin | Aktiviere diese Option, um Benutzer beim Aufruf der Portal-URL automatisch per SAML anzumelden. Schlägt die Authentifizierung fehl, wird keine Anmeldung durchgeführt und der Benutzer erhält eine Fehlermeldung. Nutze diese Funktion nur, wenn alle Benutzer diesen Identity Provider verwenden. |
Aussteller | Aussteller URL. Gibt Information darüber welcher Anbieter die SAML Identifizierung durchführt |
Anmelde URL | Anmelde-URL des SAML Providers |
MetaData URL | URL, von der die Metadaten-XML des Identity Providers automatisch abgerufen werden kann. Die Metadaten enthalten alle notwendigen technischen Parameter für die SAML-Konfiguration (Zertifikate, Endpunkte, Signierungs-Vorgaben). |
Anforderungsrichtlinien (1)
Grundlegende Sicherheitsanforderungen für die SAML-Kommunikation. Definiere hier, welche SAML-Nachrichtenarten vom Identity Provider verpflichtend signiert oder verschlüsselt werden sollen. Diese Einstellungen bestimmen das Sicherheitsniveau der Authentifizierung.
NameIDFormat | Lege hier das Format der NameID fest, mit der Benutzer in SAML-Assertions eindeutig identifiziert werden. Gängige Formate sind: E-MailAddress (E-Mail-Adresse), persistent (dauerhafte anonyme ID), transient (temporäre ID pro Sitzung), X509SubjectName, WindowsDomainQualifiedName, kerberos, entity oder unspecified. |
AuthnRequest signieren? | Aktiviere diese Option, damit deine eTASK-Instanz ausgehende Authentifizierungsanfragen (AuthnRequest) digital signiert. Die Signierung erhöht die Sicherheit, da sie die Integrität und Authentizität der Anfrage gegenüber dem Identity Provider gewährleistet. Viele Identity Provider erwarten oder verlangen signierte Anfragen. |
Signierter AuthnRequest erwartet? | Aktiviere diese Option, wenn dein Identity Provider verlangt, dass Authentifizierungsanfragen digital signiert sein müssen. Ist diese Anforderung aktiv, werden nur signierte AuthnRequests vom Identity Provider akzeptiert. Dies entspricht den Sicherheitsrichtlinien vieler Unternehmen und erhöht die Integrität der Authentifizierung. |
Flexible Signierung von Response oder Assertion zulässig? | Aktiviere diese Option, wenn du verlangst, dass der Identity Provider entweder die Assertion oder die gesamte SAML-Response signiert. Diese flexible Einstellung erlaubt beide Signierungsarten und ist weniger restriktiv als die Vorgabe einer spezifischen Signierung. So kannst du mit verschiedenen Identity Provider-Konfigurationen kompatibel bleiben. |
Verschlüsselte Assertion erwartet? | Aktiviere diese Option, wenn du verlangst, dass der Identity Provider die Assertions verschlüsselt übermittelt. Die Verschlüsselung schützt die Vertraulichkeit der Benutzerinformationen (Benutzer-ID, Attribute) während der Übertragung zusätzlich zur TLS-Verschlüsselung. Dies bietet einen zusätzlichen Schutz bei höchsten Sicherheitsanforderungen (z.B. für kritische Infrastrukturen). |
Anforderungsrichtlinien (2)
Erweiterte Sicherheitsanforderungen für SAML-Nachrichten. Lege hier fest, ob Abmelde-Vorgänge (Logout) signiert werden müssen und welche Signierungsanforderungen für Responses und Assertions gelten. Diese Einstellungen erhöhen die Sicherheit des gesamten Authentifizierungsprozesses.
Signierte Assertions erwartet? | Aktiviere diese Option, wenn du verlangst, dass der Identity Provider die Assertions digital signiert. Eine Assertion ist die Sicherheitsaussage mit den Authentifizierungsinformationen (Benutzer-ID, Attribute, Authentifizierungsstatus). Die Signierung stellt sicher, dass die Assertion nicht manipuliert wurde und tatsächlich vom Identity Provider stammt. Dies ist eine wichtige Sicherheitsanforderung. |
Signierte SAML Response erwartet? | Aktiviere diese Option, wenn du verlangst, dass der Identity Provider die gesamte SAML-Response (nicht nur die Assertion) digital signiert. Die Signierung der kompletten Response-Nachricht erhöht die Sicherheit, da sie die Integrität und Authentizität aller übermittelten Daten – einschließlich aller technischen Parameter – gewährleistet. |
Signierter Logout Request erwartet? | Aktiviere diese Option, wenn dein Identity Provider verlangt, dass Abmeldeanfragen (Logout Requests) vom Service Provider digital signiert werden müssen. Dies verhindert, dass unbefugte Dritte Benutzer aus dem System abmelden können, und gewährleistet die Integrität des Logout-Prozesses. |
Signierte Logout Antworten erwartet? | Aktiviere diese Option, wenn du verlangst, dass der Identity Provider seine Abmeldeantworten (Logout Responses) digital signiert. Die Signierung stellt sicher, dass die Abmeldebestätigung tatsächlich vom Identity Provider stammt und nicht von einem Angreifer vorgetäuscht wird. Dies schützt vor Session-Hijacking beim Logout. |
Kryptografie‑Parameter
Kryptografische Algorithmen für die SAML-Sicherheit. Lege hier fest, welche Verschlüsselungs-, Hash- und Signatur-Algorithmen für den Schutz der SAML-Kommunikation verwendet werden. Diese Einstellungen müssen mit den Vorgaben deines Identity Providers übereinstimmen.
Daten Verschlüsselungsmethode | Wähle hier den Verschlüsselungsalgorithmus für die SAML-Nutzdaten (z.B. Assertions). Gängige Algorithmen sind AES-128, AES-192 oder AES-256. Der gewählte Algorithmus muss vom Identity Provider unterstützt werden und bestimmt die Verschlüsselungsstärke der übertragenen Benutzerinformationen. |
Schlüssel Verschlüsselungsmethode | Wähle hier den Algorithmus zur Verschlüsselung des symmetrischen Sitzungsschlüssels. Gängige Algorithmen sind RSA-OAEP oder RSA-v1.5. Der Schlüssel wird mit dem öffentlichen Zertifikat des Empfängers verschlüsselt und gewährleistet den sicheren Austausch der Verschlüsselungsschlüssel zwischen den Systemen. |
Signatur‑Methode | Wähle hier den Signaturalgorithmus für die digitale Signierung von SAML-Nachrichten. Gängige Algorithmen sind RSA-SHA256, RSA-SHA384 oder RSA-SHA512. Der Algorithmus bestimmt, wie der Hashwert kryptografisch signiert wird und muss mit den Anforderungen deines Identity Providers übereinstimmen. |
Hash‑Methode | Wähle hier den Hash-Algorithmus zur Erstellung von Prüfsummen für SAML-Nachrichten. Gängige Algorithmen sind SHA-256, SHA-384 oder SHA-512. Der Hashwert wird vor der digitalen Signierung erstellt und gewährleistet die Integrität der Nachricht. Moderne Standards empfehlen mindestens SHA-256. |
ID Attribut
Zuordnung zwischen dem Benutzeridentifikationsmerkmal in eTASK (z.B. E-Mail, Personalnummer) und dem entsprechenden Attribut, das der Identity Provider in der SAML-Assertion bereitstellt. Diese Zuordnung ist entscheidend dafür, dass das System den angemeldeten Benutzer korrekt identifiziert und zuordnet.
Personal Feldname | Wähle hier das Personal-Merkmal aus eTASK, gegen das die Identity-Provider-ID geprüft werden soll (z.B. E-Mail, Personalnummer, Benutzername). Dieses Feld muss im Personal-Stammsatz gefüllt sein, um die Zuordnung zu ermöglichen. |
Provider Attribut Name | Gib hier den Namen des Attributs an, das der Identity Provider zur Benutzeridentifikation verwendet (z.B. "mail", "E-Mail", "employeeID", "userPrincipalName"). In der Regel wird die E-Mail-Adresse genutzt. Prüfe die Dokumentation deines Identity Providers für die verfügbaren Attribute. |
Anmelde-Grafik
Anmelde-Grafik
Federation Metadata
Vollständige Metadaten-XML des Identity Providers. Diese Daten enthalten alle technischen Konfigurationsparameter für die SAML-Verbindung und können hier direkt eingefügt oder über die Metadaten-URL automatisch geladen werden. Die Metadaten werden in der Regel vom Identity Provider bereitgestellt.
Identity Provider Manifest | XML-Metadaten des Identity Providers mit allen technischen Konfigurationsparametern (Endpunkte, Zertifikate, Signierungs- und Verschlüsselungseinstellungen). Du kannst diese XML-Daten manuell einfügen oder über die Metadaten-URL automatisch laden lassen. |
Dokumente
Dokumente
Notizen
Notizen
Anwenderhilfe
Derzeit gibt es keine Elemente mit den ausgewählten Stichwörtern.
Administratorenhilfe
Inbetriebnahme