Zum Inhalt springen
Anmelden

SSO-Konfiguration

logo

Als Owner oder Administrator Ihrer Organisation können Sie Single Sign-On (SSO) über einen Identitätsanbieter (IdP) für Ihre DeepCloud-Umgebung konfigurieren. Dadurch melden sich alle Benutzer mit einer verifizierten Domäne künftig automatisch und zentral über diesen IdP an. Das erhöht sowohl die Sicherheit als auch den Komfort bei der Anmeldung.

Voraussetzungen
Die Voraussetzungen für die SSO-Konfiguration sind:

  • Eine Domänen Verifikation ist aktiv
  • Mindestens Abo Large
  • Anbindung des IdP über OpenID Connect möglich
  • Das Attribut email ist in der IdP-Konfiguration für alle Benutzer gesetzt und entspricht der E-Mail-Adresse, mit der sich der Benutzer bei DeepBox anmeldet.
SSO- Anbindung erstellen
  1. Öffnen Sie die Domain-/SSO-Konfiguration
    Gehen Sie ins DeepAdmin und navigieren Sie zu Organisation > Einstellungen > Sicherheit & Login und klicken Sie auf Verwalten. Wählen Sie die gewünschte Domäne aus, um deren Einstellungen zu öffnen.
  2. Wechseln Sie zum Tab SSO-Konfiguration, um eine neue Konfiguration anzulegen oder eine bestehende zu bearbeiten.
  3. Tragen Sie die Werte gemäss Ihrer IdP-Konfiguration ein:
    • Client ID
    • Geheimer Clientschlüssel
    • OpenID-Konfiguration URL
  4. Kopieren Sie die in DeepCloud angezeigte Weiterleitungs‑URL und hinterlegen Sie diese in der App-Integration Ihres IdPs.
  5. Aktivieren Sie die Option SSO aktivieren und klicken Sie auf Speichern.


HINWEIS!
Sobald die SSO-Konfiguration für eine Domäne aktiviert ist, können sich Benutzer dieser Domäne nur noch über diese SSO-Anmeldung bei DeepCloud einloggen.

SSO Konfiguration in Microsoft Entra-ID einrichten
  1. Suchen Sie im Azure-Portal nach den App-Registrierungen
    Gehen Sie zum Azure-Portal und navigieren Sie zu Azure Active Directory > Microsoft Entra ID > App-Registrierungen.
  2. Klicken Sie auf „New registration“
    a. Geben Sie der App-Integration einen treffenden Namen z.B. „DeepCloud“ (Dieser wird den Benutzern beim initialen Login angezeigt)
    b. Definieren Sie welche User Zugriff auf die Web App Integration haben. (Empfehlung: Alle User der Organisation haben Zugriff)
    c. Fügen Sie die die Umleitungs-URL aus der DeepCloud SSO Konfiguration als Redirect URI ein
    d. Fertigstellen
  3. Kopieren Sie nun die Application (Client) ID in die SSO-Konfiguration der DeepCloud
  4. Erstellen Sie ein neues Client secret und kopieren Sie das Secret in die SSO-Konfiguration der DeepCloud
    a. Navigieren Sie zu Certificates & secrets
    b. Fügen Sie ein neues client hinzu
    i. Geben Sie einen treffende Description ein
    ii. Wählen Sie die Gültigkeitsdauer
    iii. Fertigstellen
    c. Kopieren Sie den Value des Secret in die SSO-Konfiguration der DeepCloud (ACHTUNG: Das Secret wird nur initial angezeigt, danach kann es nicht mehr eingesehen werden)
  5. Die OpenID-Konfiguration URL finden Sie bei Entra ID in den Endpoints > OpenID Connect metadata document

Optional: Damit die Benutzer-Informationen beim Login aktualisiert werden (z.B. Namensänderung bei Heirat) müssen diese Informationen dem ID-Token hinzugefügt werden.

  1. Fügen Sie Claims für das ID-Token hinzu
    a. Navigieren Sie zu Token configuration
    b. Fügen Sie dem ID token via „Add optinal claim“ folgende Claims hinzu: email, familiy_name, given_name
  2. Erweitern Sie die Berechtigungen der Graph-API
    a. Nach dem die Claims hinzugefügt wurden, können die benötigten Microsoft Graph-Berechtigungen (email, profile) direkt hinzugefügt werden.

SSO Konfiguration in OKTA einrichten
  1. Navigieren Sie Okta Admin Dashboard zu den Applikation
    Gehen Sie ins Okta Admin Dashboard und navigieren Sie zu Applications > Applications.
  2. Klicken Sie auf „Create App Integration“
    a. Wählen Sie als Sign-in Methode „OIDC – OpenID Connect“
    b. Wählen Sie als Application-Typ “ Web Application“
    c. Geben Sie der App-Integration einen treffenden Namen z.B. „DeepCloud“ (Dieser wird den Benutzern beim Login angezeigt)
    d. Fügen Sie die die Umleitungs-URL aus der DeepCloud SSO Konfiguration als Sign-in redirect URI ein
    e. Definieren Sie welche User Zugriff auf die Web App Integration haben. (Empfehlung: Alle User der organisation haben Zugriff)
    f. Fertigstellen
  3. Kopieren Sie nun die Client ID sowie das Client-Secret in die SSO-Konfiguration der DeepCloud
  4. Die OpenID-Konfiguration URL finden Sie bei OKTA unter Security > API.
  5. Wählen Sie den gewünschten Authorization Server aus, welchen Sie für die DeepCloud Applikation verwenden. Im Normalfall ist das „Default“ und öffnen Sie die Einstellungen
    a. Unter Settings ist die Metadata URI angegeben. Diese können Sie in die SSO-Konfiguration der DeepCloud übernehmen


Deaktivierung der SSO-Konfiguration

Die Deaktivierung der SSO-Konfiguration ist ausschliesslich via Mail an support[at]deepcloud.swiss möglich.

Hat dies Ihre Frage beantwortet?

Verwandte Beiträge