memberOf SAML2 Attribut
Gruppen über SAML2 synchronisieren
Flexopus hat das Standardprotokoll SAML2 Single Sign-On implementiert, das mit allen Identitätsanbietern kompatibel sein sollte, die den SAML2-Standard befolgen. Oftmals ist es nicht nur erforderlich, eine Single Sign-On-Konfiguration für die Anmeldung einzurichten, sondern auch Gruppenmitgliedschaften auszutauschen. Auf diese Weise kann der Benutzer nach der ersten Anmeldung auf die richtigen Flexopus-Ressourcen zugreifen.
Einige Identitätsanbieter stellen eine API zur Verfügung, um Gruppen in Echtzeit zu synchronisieren. Solche Integrationen gibt es bei Google über die Google Management API und bei Microsoft über die SCIM API.
Vanessa Erk
Vanessa Erk
Andere Identitätsanbieter wie Microsoft AD FS oder KeyCloak verfügen leider nicht über die Möglichkeit, Benutzergruppen über die SCIM-API zu synchronisieren. Als Workaround ermöglichen wir den Austausch von Benutzergruppen als zusätzliches Attribut während des SAML2-Autorisierungsprozesses, und zwar über das Attribut memberOf.
Bedienungsanleitung
Wir gehen davon aus, dass Sie die SAML2-Integration zwischen Ihrem Identitätsanbieter und Flexopus bereits erfolgreich konfiguriert haben. Falls nicht, besuchen Sie bitte:
Vanessa Erk
SCHRITT 1 – Flexopus konfigurieren
Navigieren Sie in Flexopus als Administrator zu Dashboard > Einstellungen > Authentifizierung. Klicken Sie auf den vorkonfigurierten SAML2-Anbieter und suchen Sie die Einstellung Gruppen synchronisieren, die standardmäßig deaktiviert ist. Sie können aus den folgenden Optionen wählen:
- Aus – Keine Gruppensynchronisierung.
- Array – Aktiviert die Gruppensynchronisierung unter Verwendung eines Array-Formats.
- memberOf – Synchronisiert Gruppen basierend auf dem Attribut „memberOf“.
Sie sehen die folgenden Optionen aufgelistet:
AD FS-OPTION
Bekannte IdPs erfordern diese Option: Microsoft AD FS
Die AD FS-Option sendet die Gruppen in einem sogenannten LDAP-Array. Der erste CN ist der Name der Gruppe:
["CN=Group1,CN=...,DC=...,OU=Flexopus,OU=Org", "CN=Group2,CN=...,DC=...,OU=Flexopus,OU=Org"]
ARRAY-OPTION
Bekannte IdPs erfordern diese Option: KeyCloak
Die ARRAY-Option sendet die Gruppen in einem klassischen Array:
["Group1", "Group2"]
KOMMA-TRENNOPTION
Mit dieser Option werden die Gruppen in einer durch Kommas getrennten Liste gesendet:
Group1,Group2
SCHRITT 2 – Konfigurieren Sie Ihren IdP
Sie müssen konfigurieren, welche Attribute zwischen Ihrem Identitätsanbieter und Flexopus synchronisiert werden sollen. Verbinden Sie das entsprechende Attribut in Ihrem Identitätsanbieter mit dem Attribut memberOf:
'memberOf' => [
'memberOf'
]
SCHRITT 3 – Sitzungsdauer verkürzen
Mit SAML2 werden Gruppen nur dann an Flexopus gesendet, wenn der Benutzer eine Anmeldung initiiert. Um eine tägliche Gruppensynchronisierung sicherzustellen, sollten Sie eine kürzere Sitzungsdauer festlegen, beispielsweise 24 Stunden. Diese Einstellung fordert Benutzer dazu auf, sich mindestens einmal täglich anzumelden, wodurch konsistente Gruppenaktualisierungen ermöglicht werden.
Um dies zu konfigurieren, navigieren Sie in Flexopus zu Dashboard > Einstellungen > Datenschutzeinstellungen und passen Sie die Sitzungsdauer an. Da Benutzer in der Regel eine aktive Sitzung mit Ihrem Identitätsanbieter haben, erfolgt die Anmeldung in der Regel mit einem einfachen Klick.
Wichtige Hinweise
Begrenzte Anforderungsgröße
Hinweis: Das Attribut memberOf ist Teil einer Anforderung. Aus logischen Gründen können Sie über dieses Array keine unbegrenzte Anzahl von Gruppen senden. Wenn das Limit erreicht ist, werden keine Gruppen gesendet. Das Limit hängt von der sendenden und der empfangenden Seite ab. Microsoft hat beispielsweise folgende Limits festgelegt: Weitere Informationen finden Sie hier. Im Allgemeinen sollten Sie nicht mehr als 100 Gruppen über dieses Attribut senden.
Gruppen identifizieren
In Flexopus werden Gruppen anhand eindeutiger Namen identifiziert. Wenn Flexopus eine Gruppe mit einem Namen erhält, der bereits als interne Gruppe existiert, wandelt es diese Gruppe in eine externe Gruppe um. Wenn Flexopus eine Gruppe mit einem neuen Namen erhält, erstellt es diese automatisch als externe Gruppe.
Interne vs. externe Gruppen
Nach der Anmeldung werden alle über memberOf empfangenen Gruppen als externe Gruppen behandelt und dem Benutzer zugeordnet. Alle anderen externen Gruppen, die nicht in der empfangenen Liste enthalten sind, werden vom Benutzer getrennt, während interne Gruppen unverändert bleiben.
Weitere Informationen zu den Gruppen finden Sie hier:
Vanessa Erk
Fehlerbehebung und häufig gestellte Fragen
Kann ich dem Benutzer nur eine externe Gruppe hinzufügen und andere behalten?
Externe Gruppen werden in dieser Konfiguration über das Attribut memberOf verwaltet. Die einzige Quelle für „through“ ist das, was wir mit diesem Attribut erhalten. Stellen Sie sicher, dass Sie alle externen Gruppen senden, die mit dem Benutzer verknüpft sein sollen.
Kann ich die memberOf-Synchronisierung mit mehreren Identitätsanbietern gleichzeitig konfigurieren?
Nein. Dies wird nicht unterstützt. Wir können die Gruppensynchronisierung nur für einen Identitätsanbieter unterstützen.
Kann ich SCIM und die memberOf-Attribute parallel verwenden?
Nein. Dies wird nicht unterstützt. Wir können die Gruppensynchronisierung nur für einen Identitätsanbieter unterstützen.