Kontakt Menü

Single Sign-on (SSO)

Konfiguration der Anmeldung mit SAML SSO

SAML-basiertes Anmelden (SSO) gewährt Usern Zugang zu Firstbird mittels eines Identity-Providers (IdP) deiner Wahl.

BB_SSO_1.png

Provisioning


Firstbird unterstützt Identity Provider (IdP) Initiated Flow, Service Provider (SP) Initiated Flow sowie Just-In-Time provisioning.

Für SP-initiiertes anmelden, gehe zu https://DEINEDOMAIN.1brd.com/login.

Dein IdP sollte sicherstellen, dass ein User sowohl authentifiziert als auch autorisiert ist, bevor eine Anfrage gesendet wird. Wenn ein User nicht autorisiert ist, sollte keine Anfrage gesendet werden.

 

Step 1: Einrichten deines Identity Providers (IdP Konfiguration)

Um zu beginnen, richte bitte eine Verbindung (oder einen Connector) für Firstbird zu deinem IdP ein. Einige Anbieter, mit denen wir zusammenarbeiten, haben Hilfeseiten für die Aktivierung von SAML mit Firstbird erstellt:


Manuelle Identity Provider (IdP) Konfiguration

Um die Einrichtung einfach zu gestalten findest du alle wichtigen Informationen, die für die Konfiguration deines IdP notwendig sind, direkt direkt im Firstbird-Unternehmens-Account in den "Account Einstellungen" - "Authentifizierung" - "Single Sign-on" (nur sichtbar, wenn SSO gebucht und von Firstbird aktiviert wurde).

Hier auf einen Blick zusammengefasst:

  • Entity-ID
    https://DEINEDOMAIN.auth.1brd.com/saml/sp

  • Post-Backup-URL für die SSO-Anmeldung (SSO)
    https://DEINEDOMAIN.auth.1brd.com/saml/callback

  • Adresse zur Metadata.xml 
    https://DEINEDOMAIN.auth.1brd.com/saml/sp/metadata
    (Falls eine autom. Konfiguration möglich ist)

HC_SSO_Account_Einstellungen_DE.jpg

BB_SSO_2.png

 

Einstellungen, die in deinem Identity Provider vorgenommen werden müssen

  • NameID (Pflichtfeld)


<saml:Subject>

    <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">

Dein eindeutiger Identifikator

   </saml:NameID>

</saml:Subject>

 

BB_SSO_3.png

  • E-Mail-Attribut (Pflichtfeld)


<saml:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

    <saml:AttributeValue

     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">your.user@deinedomäne.com

    </saml:AttributeValue>

</saml:Attribute>

 

  • Vornamen-Attribut (optional)


<saml:Attribute Name="first_name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

    <saml:AttributeValue

        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Max

    </saml:AttributeValue>

</saml:Attribute>

 

  • Nachnamen-Attribut (optional)


<saml:Attribute Name="last_name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Mustermann</saml:AttributeValue>

</saml:Attribute>

 

  • SessionDuration-Attribut (optional)


Dieses Attribut hat lediglich Auswirkungen auf die Anmeldedauer unserer Firstbird2Go App. Das Element enthält ein "AttributeValue-Element", das angibt, wie lange der Benutzer via Firstbird2Go App auf Firstbird zugreifen kann, bevor eine neue Anmeldung des Benutzers erfolgen muss.

Der Wert ist eine Ganzzahl, die die Anzahl der Sekunden für die Sitzung angibt. Der Wert muss mindestens 1200 Sekunde (20 Minuten) sein. Ist ebenfalls das Attribut "SessionNotOnOrAfter" des "AuthnStatement" Elements gesetzt, wird der niedrigere Wert von beiden Attributen genutzt. Wenn keines dieser Attribute vorhanden ist, gelten die Anmeldeinformationen 30 Tage lang.

 

<saml:Attribute Name="https://auth.1brd.com/saml/attributes/sessionduration">

    <saml:AttributeValue

        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">86400

    </saml:AttributeValue>

</saml:Attribute>

 

Step 2: Einrichten deines Firstbird-Accounts (SP Konfiguration)

Zur finalen Konfiguration in Firstbird benötigen wir folgende drei wichtige Informationen deines IdP:

  1. Entity-ID 
    Das ist der eindeutige Identifikator für die Firstbird Verbindung. Diese Informationen wird von deinem IdP zur Verfügung gestellt.
  2. SSO Service URL
    Dies ist die Adresse deines IdP an die Firstbird Authentifizierungsanfragen sendet.
  3. Signing Certificate
    Firstbird verlangt, dass die SAML-Assertions signiert sind und ein gültiges X.509 .pem Zertifikat in Firstbird hinterlegt ist um deine Identität zu validieren.

 

Die oben beschrieben Einstellungen sind alle in dem Metadata XML deines IdP zu finden.

Um die Konfiguration möglichst einfach zu gestalten bietet Firstbird folgende drei Optionen:

1. Konfiguration via IdP Metadata.XML upload
2. Konfiguration via IdP Metadata URL
3. Manuelle Konfiguration

 

1. Konfiguration via IdP Metadata.XML upload

Hierbei kannst du das Metadata XML deines IdP hochladen. Wurde das XML erfolgreich hochgeladen, sind die Einstellungen entsprechend vorkonfiguriert. Eine manuelle Korrektur ist im Anschluss jederzeit möglich.

HC_SSO_Account_Einstellungen_1_DE.jpg

 

2. Konfiguration via IdP Metadata URL

Hierbei kannst du einfach die Adresse zum Metadata XML deines IdP eingeben. Sobald wir das XML geprüft haben, sind die Einstellungen entsprechend vorkonfiguriert. Eine manuelle Korrektur ist im Anschluss jederzeit möglich.

HC_SSO_Account_Einstellungen_2_DE.jpg

 


3. Manuelle Konfiguration

Falls keine der oben genannten Optionen für dich in Frage kommen, dann kannst du die Konfiguration auch manuell vornehmen.

HC_SSO_Account_Einstellungen_3_DE.jpg

BB_SSO_CA_1__DE_.jpg

screenshot-1.png

Sobald du mit den Einstellungen fertig bist, klicke auf den Button "Konfiguration speichern".

 

Step 3: Aktivieren von SSO

Sobald deine SSO Konfiguration gespeichert wurde, kannst du Single Sign-On aktivieren.

HC_SSO_Account_Einstellungen_4_DE.jpg

 

Sobald SSO aktiv ist, erscheint ein neuer Button auf der Firstbird Login Seite, mit der sich die User via SSO einloggen können.

HC_SSO_Account_Einstellungen_6_ENG.jpg

 

SSO für bestehende Benutzer

Sollten sich bereits User in Firstbird registriert haben bevor SSO aktiviert wurde, kann im nachhinein eine automatische Verlinkung vorgenommen werden. Dabei ist zu beachten, dass die E-Mail Adresse, die im Assertion Attribute vom IdP an Firstbird übergeben wird, identisch mit der E-Mail Adresse ist, mit jener sich der User bei Firstbird registriert hat.


Ist dies nicht der Fall, wird ein neuer User-Account angelegt!

 

 

Authentifizierung nur über Single Sign-On (SSO)

Neben Login mit SSO und Passwort, gibt es auch die Möglichkeit die Anmeldung nur über SSO zu erlauben. Das funktioniert nur, wenn Single Sign-On für deinen Firstbird-Unternehmens-Account aktiviert wurde und auch in Verwendung ist.

 

Authentifizierung nur mit Single Sign-On aktivieren


Nachdem du Single Sign-on (SSO) erfolgreich für deinen Firstbird-Unternehmens-Account, zusammen mit eurer IT eingerichtet hast (siehe Artikel "Konfiguration der Anmeldung mit SAML SSO"), gehe zu den "Account Einstellungen", "Authentifizierung" und als nächstes zu "Single Sign-on".

Um die ausschließliche Registrierung bzw. Authentifizierung mit Single Sign-On zu aktivieren, klicke auf den Schalter neben "Authentifizierung nur über Single Sign-on".

HC_Enforce_SSO_CA_DE.jpg

 

Nach der Aktivierung des Features sieht der User Folgendes auf der Login Seite:

HC_Enforce_SSO_Login_DE.jpg

HC_BB_Enforce_SSO_DE.jpg

Sobald die Authentifizierung ausschließlich mit SSO aktiviert wurde, sind folgende Features deaktiviert:

  • User via Firstbird einladen
  • Registrierungsseite
  • Multi-Faktor-Authentifizierung
  • Passwort-Richtlinien

 

 

Das Zertifikat des IdP wurde aktualisiert

Falls das Zertifikat eures IdP aktualisiert wurde, muss dies auch im Firstbird-Unternehmens-Account angepasst werden da sich sonst die User nicht mehr über SSO anmelden können.

Dabei empfehlen wir einen Administratoren Zugang mit einer E-Mail Adresse anzulegen (Bsp: bewerbung@domain.com) die nicht über SSO läuft. Dann könnt ihr euch auch trotz abgelaufenem Zertifikat anmelden und das Zertifikat in den "Account Einstellungen" zusammen mit eurer IT aktualisieren.

Das neue Zertifikat eures IdP muss in den "Account Einstellungen", "Authentifizierung" weiter zu "Single Sign-On" und dann "Erweitern" bei "SAML IdP Metadata-Konfiguration" eingefügt werden.

Je nachdem welche Konfiguration vorhanden ist, musst du

  1. eine neue "Metadatendatei" hochladen,
    HC_SSO_Account_Einstellungen_1_DE.jpg

  2. eine neue "Metadata-URL" einfügen oder
    HC_SSO_Account_Einstellungen_2_DE.jpg

  3. nur den neuen Link bei "Zertifikat zur Signierung" bei "Manuelle Einstellungen" einfügen.
    HC_SSO_Account_Einstellungen_5_DE.jpg

BB_SSO_CA_2__DE_.jpg

screenshot-1.png

Klicke auf den Button "Konfiguration speichern" um die Änderungen zu speichern.

Wir empfehlen diese Anpassung zusammen mit eurer IT durchzuführen damit die Änderungen korrekt übernommen werden.

HC_BB_SSO_Zertifikat_Update_DE.jpg