Wenn du Single Sign-On (SSO) mit SAML zur Authentifizierung bei verwenden möchtest, musst du deinen externen SAML-Identitätsanbieter und dein Unternehmen oder deine Organisation auf konfigurieren. In einer SAML-Konfiguration dient als SAML-Dienstanbieter. Weitere Informationen zur Authentifizierung für dein Unternehmen findest du unter Informationen zur Identitäts- und Zugriffsverwaltung.
stellt die Integration gemäß der SAML 2.0-Spezifikation bereit. Weitere Informationen finden Sie im SAML-Wiki auf der OASIS-Website.
Du musst eindeutige Werte für deinen SAML-Identitätsanbieter eingeben, wenn du SAML-SSO für konfigurierst. Außerdem musst du eindeutige Werte aus bei deinem Identitätsanbieter eingeben.
Die Metadaten des Dienstanbieters für Enterprise Cloud sind entweder für Organisationen oder Unternehmen mit SAML-SSO verfügbar. verwendet die Bindung urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST.
Wenn du Enterprise Managed Users verwendest, kannst du SAML-SSO nur auf Unternehmensebene aktivieren.
Du kannst SAML-SSO auch für eine einzelne Organisation in deinem Unternehmen konfigurieren. Du kannst SAML-SSO auch für eine Organisation konfigurieren, wenn du eine einzelne Organisation auf Enterprise Cloud und kein Unternehmenskonto verwendest. Weitere Informationen finden Sie unter SAML Single Sign-On für deine Organisation verwalten.
Die Metadaten des Dienstanbieters für eine Organisation auf sind unter https://.com/orgs/ORGANIZATION/saml/metadata verfügbar, wobei ORGANIZATION der Name Ihrer Organisation auf ist.
| Wert | Andere Namen | BESCHREIBUNG | Beispiel |
|---|---|---|---|
| Entitäts-ID des SP | Dienstanbieter-URL, Einschränkung der Zielgruppe | Die übergeordnete URL für deine Organisation auf .com | https://.com/orgs/ORGANIZATION |
| Assertionsverbraucherdienst-URL (ACS) des SP | Antwort-, Empfänger- oder Ziel-URL | URL, an die der IdP SAML-Antworten sendet | https://.com/orgs/ORGANIZATION/saml/consume |
| SSO-URL (einmaliges Anmelden) des SP | |||
| URL, an der der IdP mit dem SSO-Prozess beginnt | https://.com/orgs/ORGANIZATION/sso |
Abhängig von deiner Umgebung sind die SP-Metadaten für ein Unternehmen in Enterprise Cloud hier verfügbar:
https://.com/enterprises/ENTERPRISE/saml/metadata, wenn es sich bei ENTERPRISE um den Namen des Unternehmens handelthttps://SUBDOMAIN.ghe.com/enterprises/SUBDOMAIN/saml/metadata, wenn es sich bei SUBDOMAIN um die Unterdomäne des Unternehmens handelt
| Wert | Andere Namen | BESCHREIBUNG | Beispiel |
|---|---|---|---|
| Entitäts-ID des SP | Dienstanbieter-URL, Einschränkung der Zielgruppe | Die übergeordnete URL für dein Unternehmen auf .com | https://.com/enterprises/ENTERPRISE |
| Assertionsverbraucherdienst-URL (ACS) des SP | Antwort-, Empfänger- oder Ziel-URL | URL, an die der IdP SAML-Antworten sendet | https://.com/enterprises/ENTERPRISE/saml/consume |
| SSO-URL (einmaliges Anmelden) des SP | |||
| URL, an der der IdP mit dem SSO-Prozess beginnt | https://.com/enterprises/ENTERPRISE/sso |
Die folgenden SAML-Attribute sind für verfügbar.
| Name | Erforderlich | BESCHREIBUNG |
|---|---|---|
NameID | Ein persistenter Benutzerkennzeichner. Es kann ein beliebiges Format für persistente Namenskennzeichner verwendet werden. normalisiert das NameID-Element, damit es als Benutzername verwendet wird, es sei denn, es wird eine der alternativen Assertionen angegeben, wenn du ein Unternehmen mit Enterprise Managed Users verwendest. Weitere Informationen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.> [!NOTE] Es ist wichtig, einen visuell lesbaren, beständigen Bezeichner zu verwenden. Die Verwendung eines vorübergehenden Bezeichnerformats urn:oasis:names:tc:SAML:2.0:nameid-format:transient führt dazu, dass Konten bei jeder Anmeldung erneut verknüpft werden, was sich nachteilig auf die Autorisierungsverwaltung auswirken kann. | |
SessionNotOnOrAfter | Das Datum, an dem die zugehörige Sitzung ungültig macht. Nach der Invalidierung muss die Person sich erneut authentifizieren, um auf die Ressourcen deines Unternehmens zuzugreifen. Weitere Informationen findest du unter Sitzungsdauer und Timeout. | |
full_name | Wenn Sie SAML-SSO für ein Unternehmen konfigurieren und Enterprise Managed Users verwenden, wird der vollständige Name des Benutzer bzw. der Benutzerin auf der Benutzerprofilseite angezeigt. | |
emails | Die E-Mail-Adressen für die Benutzenden. Wenn du die Lizenznutzung zwischen Enterprise Server und Enterprise Cloud synchronisierst, verwendet Connect emails, um eindeutige Benutzende in Produkten zu identifizieren. Weitere Informationen finden Sie unter Synchronisieren der Lizenzverwendung zwischen Enterprise Server und Enterprise Cloud. | |
public_keys | Wenn Sie SAML-SSO für ein Unternehmen konfigurieren und Enterprise Managed Users verwenden, werden die öffentlichen SSH-Schlüssel für dendie Benutzerin angezeigt. Du kannst mehr als einen Schlüssel angeben. | |
gpg_keys | Wenn Sie SAML-SSO für ein Unternehmen konfigurieren und Enterprise Managed Users verwenden, werden die GPG-Schlüssel für dendie Benutzerin angezeigt. Du kannst mehr als einen Schlüssel angeben. |
Verwende mehrere <saml2:AttributeValue>-Elemente, um mehrere Werte für ein Attribut anzugeben.
<saml2:Attribute FriendlyName="public_keys" Name="urn:oid:1.2.840.113549.1.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue>ssh-rsa LONG KEY</saml2:AttributeValue>
<saml2:AttributeValue>ssh-rsa LONG KEY 2</saml2:AttributeValue>
</saml2:Attribute>
Bei muss die Antwortnachricht von deinem Identitätsanbieter die folgenden Anforderungen erfüllen.
Dein IdP musst das Element
<Destination>im Stammantwortdokument bereitstellen und nur dann mit der ACS-URL übereinstimmen, wenn das Stammantwortdokument signiert ist. Wenn dein Identitätsanbieter die Assertion signiert, ignoriert die Assertion.Dein IdP muss das
<Audience>-Element immer als Teil des<AudienceRestriction>-Elements bereitstellen. Der Wert muss mit deinerEntityIdfür übereinstimmen.- Wenn du SAML für eine Organisation konfigurierst, lautet dieser Wert
https://.com/orgs/ORGANIZATION. - Wenn du SAML für ein Unternehmen konfigurierst, lautet diese URL
https://.com/enterprises/ENTERPRISEoderhttps://SUBDOMAIN.ghe.com/enterprises/SUBDOMAIN.
- Wenn du SAML für eine Organisation konfigurierst, lautet dieser Wert
Dein Identitätsanbieter (IdP) muss eine einzelne Assertion in der Antwort mit einer digitalen Signatur bereitstellen. Hierfür kannst du das
<Assertion>-Element oder das<Response>-Element signieren.Dein IdP muss ein
<NameID>-Element als Teil des<Subject>-Elements bereitstellen. Du kannst ein beliebiges Format für beständige Namensbezeichner verwenden.Dein IdP muss das
Recipient-Attribut enthalten, das auf die ACS-URL festgelegt werden muss. Im folgenden Beispiel wird das Attribut veranschaulicht.<samlp:Response ...> <saml:Assertion ...> <saml:Subject> <saml:NameID ...>...</saml:NameID> <saml:SubjectConfirmation ...> <saml:SubjectConfirmationData Recipient="https://.com/enterprises/ENTERPRISE/saml/consume" .../> </saml:SubjectConfirmation> </saml:Subject> <saml:AttributeStatement> <saml:Attribute FriendlyName="USERNAME-ATTRIBUTE" ...> <saml:AttributeValue>monalisa</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> </saml:Assertion> </samlp:Response>
Um zu verhindern, dass eine Person sich bei deinem Identitätsanbieter authentifiziert und auf unbestimmte Zeit autorisiert bleibt, macht die Sitzung für jedes Benutzerkonto mit Zugriff auf die Ressourcen deines Unternehmens in regelmäßigen Abständen ungültig. Nach der Invalidierung muss die Person sich erneut bei Ihrem IdP authentifizieren.
Wenn dein Identitätsanbieter keinen Wert für das SessionNotOnOrAfter-Attribut angibt, macht eine Sitzung 24 Stunden nach der erfolgreichen Authentifizierung bei deinem Identitätsanbieter standardmäßig ungültig.
unterstützt eine angepasste Sitzungsdauer, wenn dein Identitätsanbieter die Möglichkeit bietet, ein SessionNotOnOrAfter-Attribut und einen Wert zu konfigurieren verwendet.
Wenn du einen angepassten Sitzungsdauerwert von weniger als 24 Stunden angibst, könnte es sein, dass Personen dazu auffordert, sich jedes Mal zu authentifizieren, wenn eine Umleitung initiiert.
Um Authentifizierungsfehler zu verhindern, wird eine Mindestsitzungsdauer von vier Stunden empfohlen. Weitere Informationen finden Sie unter SAML-Authentifizierung.
Hinweis
Für Microsoft Entra ID (früher bekannt als Azure AD) steuert die konfigurierbare Richtlinie für die Gültigkeitsdauer von SAML-Token nicht die Sitzungstimeouts für .