Zugriffsrechte für Single-Sign-On über SAML 2.0 verwalten

In diesem Kapitel wird beschrieben, wie Sie den Zugriff auf den Collaboration Hub und den Process Manager als Single-Sign-On über SAML 2.0 ermöglichen können.

Bemerkung

Dieses Feature ist ausschließlich für Arbeitsbereiche unseres Software-as-a-Service Systems verfügbar.

Signavio unterstützt Single-Sign-On über ausgewählte SAML (Security Assertion Markup Language) SSO-Dienste. Wenn Sie zum Beispiel Google SAML SSO verwenden, können Nutzer ihre Google Accounts verwenden, um auf den Collaboration Hub und den Editor zuzugreifen.

Nutzeridentitäten müssen der SAML 2.0 User ID regular expression entsprechen, um auf den Collaboration Hub zugreifen zu können. Modellierungsnutzer benötigen zudem einen aktiven Nutzeraccount in Ihrem Arbeitsbereich.

Signavio unterstützt Identity Provider-initiierten SSO via HTTP Post Anfragen, sowie Service Provider-initiierten SSO beim Zugriff auf spezifische Ressourcen im Collaboration Hub. Dies bedeutet, dass autorisierte Nutzer automatisch authentifiziert werden.

Bemerkung

Es ist bislang nicht möglich, den Service Provider-initiierten Login beim Zugriff auf die Basis-URL des Collaboration Hubs auszulösen.

Unterstützte SAML SSO-Dienste sind:

Wichtig

Beim initialen Einrichten von SAML müssen alle bereits veröffentlichte Diagramme neu veröffentlicht werden, damit autorisierte Nutzer Zugriff darauf haben.

SAML-basierte Authentifizierung im Explorer aktivieren

In diesem Abschnitt wird beschrieben, wie Sie SAML Single-Sign-On für Hub-Nutzer und Modellierungsnutzer aktivieren können. Durch die Aktivierung von SAML-basierte Authentifizierung ist es Nutzern des Collaboration Hubs erlaubt, Links zu generieren und zu teilen, selbst wenn die Zielnutzer, die den Link öffnen, nicht eingeloggt sind.

Hinweis

Bisher war es nur möglich, SAML-basierte Authentifizierung über das Signavio Support Team konfigurieren zu lassen. Dies können nun Arbeitsbereichs-Administratoren vornehmen. Die Konfiguration durch den Support bleibt weiterhin produktiv und kann nach Bedarf geändert werden.

Wenn Sie Single-Sign-On über SAML 2.0 für Ihren Arbeitsbereich aktivieren möchten, nehmen Sie die folgenden Schritte vor:

  1. Klicken Sie unter Setup auf den Menüeintrag Collaboration Hub Authentifizierung. Der entsprechende Dialog öffnet sich.
'Collaboration Hub Authentifizierung**-Dialog.
  1. Wählen Sie zunächst in dem Dropdown-Menü Collaboration Hub Authentifizierungsmethode den Eintrag SAML 2.0-basiert aus.

Bemerkung

Um Lesezugriff auf alle veröffentlichten Prozessdiagramme zu erhalten, benötigen Sie eine SAML 2.0-Konfiguration mit gültige SAML 2.0 XML Metadata.

  1. Aktivieren Sie die Checkbox Aktiviere SAML 2.0 Authentifizierung.
  2. Optional können Sie die Option Service Provider initiierte Authentifizierung zulassen aktivieren.
  3. Tragen Sie nun Ihre XML Metadata in das dafür vorgesehen Feld ein.
  4. Optional können Sie eine Logout-URL angeben. Dahin wird der Nutzer hingeleitet, nachdem er sich erfolgreich ausgeloggt hat. Wenn Sie keine URL angeben, gelangt er automatisch zur Login-Seite.
  5. Klicken Sie abschließend auf Speichern und schließen den Dialog.

Bemerkung

Bei Bedarf können Sie über das Signavio Support Team die AuthnRequest-Dienst-URL für die IdP-Integration konfigurieren lassen.

Konfiguration in Microsoft Active Directory Federation Services (ADFS)

Nachdem Sie die SAML-basierte Authentifizierung im Explorer vorgenommen haben, sind noch Konfigurationen für die Active Directory Federation Services (ADFS) notwendig. Diese wird in dem folgenden Abschnitt beschrieben.

Hinweis

Bitte beachten Sie, dass die hier beschriebene Konfiguration auf Microsoft ADFS zugeschnitten ist und gegebenenfalls von der Konfiguration Ihres Systems abweichen kann.

  1. Erzeugen Sie eine neue Relying party.
  2. Importieren Sie die Metadaten des Process Managers.

Process Manager Metadaten

<md:EntityDescriptor ID="Sc56b5abe-07ea-471b-ac77-a956f170769e" entityID="editor.signavio.com" xmlns:ns2="http://www.w3.org/2001/04/xmlenc#" xmlns="http://www.w3.org/2000/09/xmldsig#" xmlns:ns4="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" >
    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:KeyDescriptor use="signing">
            <KeyInfo>
                <KeyName>editor.signavio.com</KeyName>
                <X509Data>
                    <X509Certificate>MIIEwzCCA6ugAwIBAgIQBowxJiDqnI/KgqB5ahz1lDANBgkqhkiG9w0BAQsFADBNMQswCQYDVQQGEwJVUzEQMA4GA1UEChMHU1NMLmNvbTEUMBIGA1UECxMLd3d3LnNz bC5jb20xFjAUBgNVBAMTDVNTTC5jb20gRFYgQ0EwHhcNMTYxMDIxMDAwMDAwWhcNMTkxMDIxMjM1OTU5WjBcMSEwHwYDVQQLExhEb21haW4gQ29udHJvbCBWYWxpZGF0 ZWQxHjAcBgNVBAsTFUVzc2VudGlhbFNTTCBXaWxkY2FyZDEXMBUGA1UEAwwOKi5zaWduYXZpby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDHKfv8 B13/yj50LKKIJyCdBlIlDX4YSn1rvtoSTm1bJj7EhJ0qVTeJt8Ep9spndD2mKmqJpCCgZqBFNaNvF3Gc8zryp3/c/ZVfMDMXsiIQLRCn9tq1l/JxFzgPf/rQBS3VMmvh 5OYOkdtpPfTrcgeg0yatQ1tM9sJAT0vA07gDcmoEJYTfYsJVFzoGWWGTRb+Lk2BqyLg8VzCezIPrn2pu9HHv4DbKq3gm08q+vgJ1nyjk2xVbnDJ1kjNegMfHYfjqCak7 mHiGmw9lt3JOGtTd86d3qpxmSyqPnm4ze2ZaYWQRT8Env0vDbMQyuYKEbZIRmvYyKmLd4ngPsEwvKANXAgMBAAGjggGOMIIBijAfBgNVHSMEGDAWgBRGmv38UV58VFNS 4pnjszLvkxp/VjAdBgNVHQ4EFgQU1hDbTfekQzH3OM0WH+/cTnkrFyswDgYDVR0PAQH/BAQDAgWgMAwGA1UdEwEB/wQCMAAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsG AQUFBwMCMEoGA1UdIARDMEEwNQYKKwYBBAGCqTABATAnMCUGCCsGAQUFBwIBFhlodHRwczovL2Nwcy51c2VydHJ1c3QuY29tMAgGBmeBDAECATA0BgNVHR8ELTArMCmg J6AlhiNodHRwOi8vY3JsLnNzbC5jb20vU1NMY29tRFZDQV8yLmNybDBgBggrBgEFBQcBAQRUMFIwLwYIKwYBBQUHMAKGI2h0dHA6Ly9jcnQuc3NsLmNvbS9TU0xjb21E VkNBXzIuY3J0MB8GCCsGAQUFBzABhhNodHRwOi8vb2NzcC5zc2wuY29tMCcGA1UdEQQgMB6CDiouc2lnbmF2aW8uY29tggxzaWduYXZpby5jb20wDQYJKoZIhvcNAQEL BQADggEBAFUnAAlTt2Df9Quo8oHl/43sMZqyyVAj5TEyqroGiqGeFU6tkVGUZDqJV8wI9mQAERA4gsXPVhj827JZWkqPuVsw+ATXw/Qu3e4NlmjZHyuHA3lPYuvRqAFz RmjR3nLFH6jotjM4x/ZKxCA9qxdWAAt8JJDHZNkeAo3g1eDdkz9yIYrnf9t0UZ+YFLMgHzksPyUbVrWfAQvpMS+VJaQWcFLW+Azt+NpIAfSEQ5iy7TnAWo1a05wzOb7c kBejS5OdSDYZgsgmN9omQJitVb1tpmY5JWSTyH3qv4yA1Z82w85b4tvtltiNA+sDLjttcUtvQkET5WNw1qAf1eU4VLkgFhM=</X509Certificate>
                    </X509Data>
            </KeyInfo>
        </md:KeyDescriptor>
        <md:AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://editor.signavio.com/intralink/saml2endpoint"/>
        <md:AttributeConsumingService index="0" isDefault="true">
            <md:ServiceName xml:lang="en">Signavio</md:ServiceName>
            <md:RequestedAttribute isRequired="true" Name="first_name" />
            <md:RequestedAttribute isRequired="true" Name="last_name" />
            <md:RequestedAttribute isRequired="true" Name="email"/>
        </md:AttributeConsumingService>
    </md:SPSSODescriptor>
</md:EntityDescriptor>
  1. Erstellen Sie eine neue “Outgoing Claim Rule”, die LDAP-Attribute als Claims versenden kann. Mappen Sie zu diesem Zweck folgende “Outgoing Claim Types” auf die genannten LDAP Attribute:
  • empfohlenes LDAP-Attribut: “E-Mail Addresses” - Name Id (aus der Dropdownbox)
  • empfohlenes LDAP Attribut: “E-Mail Addresses” - email
  • empfohlenes LDAP Attribut: “Given Name” - first_name
  • empfohlenes LDAP Attribut: “Surname” - last_name
Claim rule in ADFS konfigurieren.
  1. Sobald die Konfiguration auf beiden Seiten durchgeführt wurde, können Sie den SSO über diese URL testen: https://<ADFS-SERVER>/adfs/ls/IdpInitiatedSignon.aspx?loginToRp=editor.signavio.com.

Zugriffsrechte auf den Collaboration Hub auf Basis von SAML-Identitäten vergeben

Nachdem Sie SAML-basierte Authentifizierung für Ihren Arbeitsbereich aktiviert haben, können Sie die Zugriffsrechte für Nutzer des Collaboration Hubs festlegen.

Gehen Sie wie folgt vor:

  1. Klicken Sie unter Setup auf den Menüeintrag Benutzer & Zugriffsrechte verwalten.
  2. Wechseln Sie nun in den Leseberechtigung-Tab. Hier können Sie für jeden Ordner eine Liste von Nutzern festlegen, die auf Diagramme in dem Ordner über den Collaboration Hub zugreifen können.

Hinweis

Erst durch die Aktivierung von SAML-basierte Authentifizierung erscheint der Tab Leseberechtigung im Konfigurationsdialog.

  1. Wählen Sie hierzu einen Ordner aus und tragen einen oder mehrere Nutzer in das Feld im unteren linken Bereich des Dialogs ein. Der Listeneintrag für einen Nutzer muss die Struktur E-Mail-Adresse Vorname Nachname haben. Beginnen Sie für jeden Nutzer eine neue Zeile.
  2. Klicken Sie anschließend auf Hinzufügen.
Konfigurieren von SAML-basierten Zugriffsrechten.
  1. Falls Sie keine Ordner-basierten Zugriffsrechte vergeben, sondern allen Nutzern Vollzugriff auf den Collaboration Hub erlauben möchten, aktivieren Sie die Checkbox Allgemeiner Lesezugriff für alle SAML Benutzer.