Single Sign-On (SSO) ist ein Authentifizierungsschema, das Benutzern die Anmeldung bei mehreren Softwaresystemen mit nur einer ID ermöglicht. SSO verringert das Sicherheitsrisiko, das dadurch entsteht, dass Passwörter extern gemanagt werden - und es verhindert, dass sich die Benutzer zu viele Passwörter merken müssen.
Das Single Sign-On in der Emarsys Plattform ermöglicht unseren Kunden, selbst ihren bevorzugten Identity Provider (IdP) für den Authentifizierungsvorgang zu konfigurieren. Es integriert mit allen Identity Providern, die das SAML 2.0 Protokoll unterstützen - unter anderem SAP IAS und Microsoft Azure.
Wie funktioniert es?
In einem ersten Schritt müssen unsere Kunden ihren IdP entsprechend den unten angegebenen Anforderungen konfigurieren.
Nach erfolgreicher Konfiguration des IdP muss die Metadata XML erworben werden, die zur Aktivierung des SSO in der Emarsys Plattform erforderlich ist.
Das SSO kann nur von den Account Owners unter Verwendung der dafür vorgesehenen Benutzeroberfläche aktiviert werden. Sobald das SSO aktiviert ist, müssen sich die Benutzer bei der Anmeldung mittels SSO authentifizieren.
Beim ersten Anmeldeversuch mittels SSO muss jeder Benutzer aus folgenden Optionen wählen:
- sie können ihre IdP-Identität mit ihrem bestehenden Emarsys Benutzer verbinden oder
- sie können einen neuen Emarsys Benutzer erstellen
Jene, die "ihren Benutzer verbinden", werden aus Sicherheitsgründen aufgefordert, sich mit ihren Emarsys Credentials zu identifizieren.
Jene, die "einen Benutzer erstellen", erstellen einen neuen Emarsys Benutzer mit einem Minimum an Berechtigungen; diese können von den Account Owners geändert werden.
Identity Provider konfigurieren
Für eine vollständig funktionsfähige SSO-Integration mit der Emarsys Plattform müssen die IdPs eine Applikation konfigurieren, die das SAML 2.0 Protokoll unterstützt und folgende Einstellungen hat:
Entity ID
Spezifiziert den Entity Identifier von Emarsys, von dem der IdP Authentifizierungsanfragen akzeptieren wird. Die Entity ID muss auf suite-sso gesetzt sein.
Assertion Consumer Service URL
Spezifiziert die URLs, an die der Authentifizierungs-Response zurückgegeben werden muss.
- https://sso.gservice.emarsys.net/login/auth/{account-name}
- https://sso.gservice.emarsys.net/self-service/re-authenticate/back
- https://sso.gservice.emarsys.net/self-service/test-provider-xml/back
Bitte beachten Sie:
- Die Reihenfolge der Links ist wichtig; '.../login/auth/{account-name}' muss der erste Link sein.
- Die letzte URL enthält einen Platzhalter {account-name} für den Namen des Emarsys Accounts. Kunden können so viele Login-URLs angeben, wie Sie Suite Accounts durch dieselbe IdP SSO Applikation authentifizieren wollen.
Assertionsattribute
Das Erstellen und Konfigurieren der Assertionsattribute ist für eine erfolgreiche SSO-Konfiguration unbedingt erforderlich.
Eine Assertion ist ein Paket an Informationen, das Statements spezifiziert, die der IdP im Fall einer erfolgreichen Authentifizierung ausgibt. Erstellen und konfigurieren Sie Assertionsattribute, die folgende Benutzerinformationen enthalten:
- “username”: Geben Sie hier den Benutzernamen Ihrer Benutzer ein. - Dieser muss eindeutig sein.
- “first_name”: Geben Sie hier den Vornamen Ihrer Benutzer ein.
- “last_name”: Geben Sie hier den Nachnamen Ihrer Benutzer ein.
- “email”: Geben Sie hier die E-Mail-Adresse Ihrer Benutzer ein.
Möglicherweise haben die Attribute bei Ihrem Identity Provider andere Namen. Achten Sie jedenfalls darauf, sie wie in dieser Liste zu nennen.
Unterstützte Funktionen
Single Sign-On unterstützt alle Identity Providers, die SAML 2.0 unterstützen. Dazu gehören:
- SAP Identity Authentication Service
- MS Azure
- AWS IAM Identity Center
- Google Workspace
- Okta
- ADFS
- etc.
Die aktuelle SSO-Instanz sollte mit allen IdPs funktionieren, die mit SAML 2.0 kompatibel sind; sie wurde bisher jedoch nur mit Microsoft Azure und SAP Identity Authentication Service getestet.
Weitere Informationen zu den einzelnen Schritten des SSO-Setups im SAP Identity Authentication Service und auf Emarsys-Seite erhalten Sie unter:
Bekannte Einschränkungen
Derzeit bieten wir keine Unterstützung für:
- Gemischte Setups: Wenn ein Kunde die SSO-Anmeldung einrichtet, muss das Feature von allen Administratoren verwendet werden.
- Verbund-Abmeldung: Manuelles Logout und Session Timeout sind weiterhin verfügbar.
- Aufheben der Benutzerbereitstellung: Wenn ein Benutzer im Identity Provider gelöscht wird, wird er nicht automatisch aus unseren Systemen entfernt, er kann sich aber auch nicht mehr anmelden.
Es gibt kleine Änderungen im Benutzermanagement:
- Administratoren, die für Kunden tätig sind, die das Single Sign-On aktiviert haben, werden nicht automatisch deaktiviert (z.B. nach langer Inaktivität).
- Administratoren können gelöscht werden, werden aber nach der nächsten Anmeldung ohne Berechtigungen wieder erstellt.
- Die Funktion für die Erstellung von Administratoren wurde nicht deaktiviert; allerdings können sich Administratoren, die im Benutzermanagement manuell erstellt wurden, nicht anmelden.
- Die Funktion "Passwort vergessen" wurde nicht deaktiviert und es kann ein neues Passwort eingerichtet werden; das hat aber keinen Einfluss auf die SSO-Anmeldung.
- Aktuell können die Berechtigungen und Rollen nur im Emarsys Benutzermanagement verwaltet werden, während das SAML2 SSO ausschließlich der Authentifizierung dient. Neue Benutzer werden mit eingeschränkter Rolle erstellt.