Single Sign-On Administratorleitfaden - Zuletzt überarbeitet: 15. Februar 2018 Version 1.7 - LinkedIn Business Solutions
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Single Sign-On Administratorleitfaden Zuletzt überarbeitet: 15. Februar 2018 Version 1.7 © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Haftungsausschluss © 2018 LinkedIn Corporation, alle Rechte vorbehalten 1000 W. Maude Ave. Sunnyvale, CA 94085 USA Dieses Dokument enthält möglicherweise Aussagen, die sich auf die Zukunft beziehen. Alle Informationen in diesem Dokument sind Änderungen vorbehalten. Für die Nutzung der Software oder Anfertigung einer Kopie derselben (sowie der zugehörigen Dokumentation) gelten ausschließlich die Bedingungen des mit uns geschlossenen Lizenzvertrags. Kein Teil der Software oder Dokumentation darf in irgendeiner Form reproduziert, übertragen oder übersetzt werden – weder auf elektronische, mechanische, manuelle, optische oder andere Weise, ausgenommen in dem gemäß des Lizenzvertrags zulässigen Rahmen. LinkedIn Corporation und das LinkedIn Corporation Logo sind Marken, Servicemarken oder eingetragene Warenzeichen der LinkedIn Corporation in den USA und anderen Ländern. Alle anderen Marken-, Service- oder Produktnamen sind Marken oder eingetragene Warenzeichen ihrer jeweiligen Unternehmen oder Eigentümer. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Inhalt Haftungsausschluss Inhalt Überblick Voraussetzungen Informationen zu Single Sign-On (SSO) Was spricht für die Nutzung von Single Sign-On? Unterstützte SSO-Protokolle Konfigurieren von Single Sign-On (SSO) Erste Schritte mit SSO Herstellen einer Verbindung mit dem Identitätsanbieter Herunterladen einer Datei Arbeiten mit einzelnen Feldern Konfigurieren des Identitätsanbieters Anforderungen für „Just-in-Time-Provisioning“ (JIT) E-Mail-Adresse (erforderlich) Vorname (optional) Nachname (optional) Zusätzliche optionale Attribute Beispiel Hochladen einer Datei Manuelles Eingeben von Werten Zuweisen von Lizenzen Aktivieren von Single Sign-On Aktivieren von Optionen Prüfen der Einrichtung Support Support-Dokumentation Technische Probleme LinkedIn Datenschutz- und Datensicherheitsrichtlinie LinkedIn Ansprechpartner zum Thema Sicherheit © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Übersicht Über die Employee Database Integration (EDI, Mitarbeiterdatenbankintegration) kann Ihr Unternehmen eigene HRIS-Mitarbeiterdaten in LinkedIn Anwendungen integrieren. Die Integration umfasst eine optionale Konfiguration für Single Sign-On mit Ihrer SSO-Lösung. In einem solchen Fall kann der Administrator Ihres Unternehmenskontos die Authentifizierung Ihres Unternehmens für eine LinkedIn Plattformanwendung über SSO konfigurieren, und zwar über eine Integration in der Unternehmensplattform. Die Konfiguration der Integration erfolgt über das LinkedIn Account-Center und ist nur für einige bezahlte LinkedIn Anwendungen verfügbar. Voraussetzungen ● Unternehmenskonto ● Vollständige Administratorrechte ● Administrationsrechte für den Identitätsanbieter (IdP) Informationen zu Single Sign-On (SSO) Das Single Sign-On (SSO) für Unternehmen bietet den Mitarbeitern Ihres Unternehmens die Möglichkeit, sich mit den Anmeldeinformationen Ihres Unternehmens anstelle ihrer LinkedIn Anmeldeinformationen einzuloggen. Die Nutzung von SSO und die Integration mit einem SSO-Anbieter ist allerdings nicht erforderlich, um LinkedIn Anwendungen nutzen zu können. Sofern SSO nicht konfiguriert ist, können Ihre Mitarbeiter sich über ihre individuellen LinkedIn Anmeldeinformationen authentifizieren oder ein neues Mitgliedskonto erstellen. Was spricht für die Nutzung von Single Sign-On? ● Nutzung der Authentifizierung Ihres Unternehmens ● Höhere Sicherheitsstandards, wenn Mitarbeiter die etablierten Passwortprotokolle Ihres Unternehmens anstelle ihrer eigenen Konten verwenden ● Einfachere Benutzerverwaltung, wenn Mitarbeiter Ihr Unternehmen verlassen Unterstützte SSO-Protokolle Derzeit unterstützen wir SAML Version 2.0. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Konfigurieren von Single Sign-On (SSO) Erste Schritte mit SSO 1. Rufen Sie das Account-Center über den folgenden Link auf: http://www.linkedin.com/enterprise/accountcenter/settings Hinweis: Manche Anwendungen bieten einen Zugriffspunkt in ihren Anwendungseinstellungen. In Learning können Sie beispielsweise im Banner auf Zur Administratorseite klicken und dann Einstellungen > Globale Einstellungen wählen. In den Anwendungseinstellungen für SSO wird die Anwendung aufgeführt, auf die Sie zugegriffen haben. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
2. Öffnen Sie den Bereich für Single Sign-On (SSO). © 2018 LinkedIn Corporation, alle Rechte vorbehalten
3. Wählen Sie Ihre SSO-Optionen aus. a. AuthnRequest signieren: ■ Ja (Standard) ■ Nein b. Algorithmus zum Signieren der Authentifizierungsanfrage: ■ SHA1 (Standard) ■ SHA256 c. SAML-Bindungsanfrage: ■ HTTP-Weiterleitung (Standard) ■ HTTP-Post d. AuthnContextClassRef: ■ Diesen Wert nicht senden (Standard) ■ urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport ■ urn:oasis:names:tc:SAML:2.0:ac:classes:kerberos ■ urn:federation:authentication:windows ■ PasswordProtectedTransport und Fenster ■ urn:oasis:names:tc:SAML:2.0:ac:classes:X509 ■ urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient e. Mapping für eigenes Attribut: Sie können eine Zuordnung für benutzerdefinierte Namen festlegen, um diese an die IdP-Einstellungen anzupassen (wenn Sie nicht die Standard-Mappings nutzen möchten). Geben Sie Ihr benutzerdefiniertes Attribut ein und wählen Sie das Attribut aus, dem Sie das benutzerdefinierte Attribut zuordnen möchten. Die folgenden Felder lassen sich benutzerdefinierten, vom Mitglied bereitgestellten Attributen zuordnen. ■ Vorname ■ Nachname ■ Primäre E-Mail-Adresse ■ Mobiltelefonnummer ■ Geschäftl. Telefon ■ Jobbezeichnung ■ Tätigkeitsbereich ■ Manager ■ Abteilung ■ Job-Level ■ Arbeitertyp ■ Status des Arbeitnehmers ■ Building-Code ■ Standort des Schreibtischs Weitere Informationen zu Standardattributen finden Sie unter Anforderungen für „Just-in-Time-Provisioning“ (JIT). © 2018 LinkedIn Corporation, alle Rechte vorbehalten
4. (Optional) Klicken Sie auf Zum SAML-Validator, um anzugeben, ob SAML-Anfragen signiert werden sollen. Fügen Sie die SAML-Antwort ein und klicken Sie auf Bestätigen. 5. (Optional) Wenn Sie mehrere Anwendungsinstanzen konfigurieren müssen, können Sie im Banner das Menü - auswählen und dann die Instanz, die Sie konfigurieren möchten. In Learning können Sie beispielsweise das Menü Learning - Default auswählen (wie im Screenshot in Schritt 1 dargestellt). Hinweis: Anwendungsinstanzen werden im Menü anwendungsbezogen gegliedert. Wenn Sie also Zugriff auf mehrere Instanzen der gleichen Anwendung haben (z. B. Zwei Recruiter-Instanzen), wird eine Überschrift für Recruiter angezeigt, gefolgt von den Namen der einzelnen Anwendungsinstanzen. Herstellen einer Verbindung mit dem Identitätsanbieter Wenn Ihr Identitätsanbieter Metadaten unterstützt und Sie SAML unter Verwendung der Version 2.0 konfiguriert haben, können Sie die XML-Konfigurationsdatei herunterladen und diese an den Identitätsanbieter senden. Der Identitätsanbieter kann die Datei daraufhin hochladen, um seine Einstellungen für die Verbindung mit Ihren LinkedIn Produkten automatisch zu konfigurieren. Prüfen Sie, ob Sie eine Metadatendatei herunterladen können oder Sie mit einzelnen Feldern arbeiten müssen. Befolgen Sie anschließend eines der Verfahren, die in den folgenden Abschnitten beschrieben werden. Herunterladen einer Datei 1. Klicken Sie auf Herunterladen, um eine Metadatendatei herunterzuladen, die Sie mit dem System Ihres Identitätsanbieters nutzen können. Die Datei metadata.xml wird über Ihren Browser heruntergeladen. 2. Prüfen Sie, ob die Metadatendatei folgende Zeichenfolge enthält: 3. Rufen Sie das System Ihres Identitätsanbieters auf. 4. Laden Sie die Metadatendatei hoch. Hinweis: Unter Umständen ist ein Import dieser Datei bei Ihrem Identitätsanbieter nicht möglich. Okta beispielsweise hat diese Funktion nicht. 5. Kehren Sie zur SSO-Einrichtung zurück. 6. Klicken Sie im Dialogfeld für das Hochladen auf OK. Die nächsten Schritte werden unter Konfigurieren Ihres Identitätsanbieters beschrieben. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Arbeiten mit einzelnen Feldern 1. Klicken Sie auf den Link, um einzelne Felder aus dem Formular in Ihrem Identitätsanbieter zu laden und zu kopieren. 2. Kopieren Sie die Felder, die Sie integrieren möchten, und fügen Sie diese ein. Konfigurieren Ihres Identitätsanbieters Konfigurieren Sie Ihren Identitätsanbieter für eine Kommunikation mit der LinkedIn Plattform. Prüfen Sie, ob Ihr Identitätsanbieter das Hochladen einer Metadatendatei unterstützt oder ob eine manuelle Eingabe der Werte erforderlich ist. Befolgen Sie anschließend eines der Verfahren, die in den folgenden Abschnitten beschriebenen werden. Wenn Sie JIT nicht nutzen, fahren Sie mit Hochladen einer Datei oder Manuelles Eingeben von Werten fort. Anforderungen für „Just-in-Time-Provisioning“ (JIT) SAML 2.0 ist unter anderem deswegen so beliebt, weil große Flexibilität besteht, wenn es darum geht, dem Dienstanbieter zusätzliche Informationen zu senden. Wenn ein Identitätsanbieter eine Assertation sendet, enthält diese Attribute zur Beschreibung des Mitglieds. Über diese Attribute hat LinkedIn die Möglichkeit, einerseits das Mitglied zu identifizieren und andererseits Mitglieder automatisch bereitzustellen. Einige der möglichen Attribute werden in diesem Abschnitt beschrieben. E-Mail-Adresse (erforderlich) Selbst bei Verwendung von SSO muss jedes Mitglied über eine gültige E-Mail-Adresse verfügen. Hinweis: Wenn Sie mehrere IdP-Identitäten testen, müssen E-Mail-Adressen eindeutig sein. Da die Verwaltung von Benutzerinformationen dem Identitätsanbieter obliegt, muss dieser die E-Mail- Adresse des Mitglieds in seiner Assertation senden. Identitätsanbieter nutzen unterschiedliche Benennungs- konventionen, daher sucht LinkedIn in den folgenden Attributnamen sequenziell nach E-Mail-Adressen: ● EmailAddress ● email ● Email ● Mail ● emailAddress ● User.email ● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Vorname (optional) Unter Umständen senden Identitätsanbieter nicht nur E-Mail-Adressen, sondern auch Vornamen in unterschiedlichen allgemeinen Feldern. Damit eine unmittelbare Kompatibilität mit einem Großteil der Identitätsanbieter gewährleistet ist, sucht LinkedIn in den folgenden Attributnamen nach dem Vornamen: ● FirstName ● first_name ● firstname ● firstName ● User.FirstName ● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname Nachname (optional) LinkedIn sucht in den folgenden Attributnamen nach dem Nachnamen: ● LastName ● last_name ● lastname ● lastName ● User.LastName ● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname Zusätzliche optionale Attribute Sie haben die Möglichkeit, zusätzliche Informationen anzugeben, einschließlich der folgenden Attributnamen. Hinweis: Diese Attribute werden zwar von LinkedIn gespeichert, werden derzeit aber nicht auf der Benutzeroberfläche angezeigt und sind daher nicht für die Benutzerverwaltung nutzbar. Attributname Unterstützte Variationen Abteilung ● departmentName ● department ● User.Department Manager ● Manager ● manager ● User.Manager Mobiltelefon- ● mobilePhoneNumber nummer ● PhoneNumber ● phone © 2018 LinkedIn Corporation, alle Rechte vorbehalten
● phoneNumber ● User.PhoneNumber ● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone Geschäftliche ● WorkPhoneNumber Telefonnummer ● Workphone ● workPhoneNumber ● User.WorkPhoneNumber ● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/otherphone Jobbezeichung ● workTitle ● Title ● WorkTitle ● User.WorkTitle Tätigkeitsbereich ● jobFunction ● JobFunction ● User.JobFunction Job-Level ● JobLevel ● jobLevel ● User.JobLevel Arbeitnehmertyp ● WorkerType ● workerType ● User.WorkerType Status des ● WorkerStatus Arbeitnehmers ● workerStatus ● Status ● User.WorkerStatus Building-Code ● buildingCode ● building Standort des ● deskLocation Schreibtischs ● desk © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Beispiel E-Mail-Adresse: mmustermann@unternehmen.com Vorname: Max Nachname: Mustermann Mobiltelefonnummer: 5551234567 Titel: Manager, Abteilung für Softwareentwicklung Abteilung: Softwareanwendungen Startdatum: 07.03.16 Job-Level: Einzelner Mitarbeiter Arbeitnehmertyp: Mitarbeiter Status des Arbeitnehmers: aktiv oder inaktiv Manager: dmüller Hochladen einer Datei 1. Klicken Sie auf XML-Datei hochladen, um die Metadatendatei von Ihrem Identitätsanbieter hochzuladen. 2. Wählen Sie die Datei und klicken Sie auf Öffnen. Sofern der Vorgang erfolgreich war, werden die angezeigten Felder mit Metadaten ausgefüllt. Manuelles Eingeben von Werten 1. Nutzen Sie den Link Hier klicken, um Informationen manuell hinzuzufügen. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
2. Geben Sie die folgenden Informationen ein: ○ Ausstellerzeichenfolge oder Instanz-ID: muss mit dem Feld „md:EntityDescriptor entityID“ übereinstimmen. ○ Budgetgruppe: eine Gruppe, die Sie nutzen können, um Lizenzen über Just-in-Time bereitzustellen. ○ Weiterleitungs-URL: muss mit dem Feld „md:SingleSignOnService location“ übereinstimmen. ■ Hinweis: LinkedIn bietet derzeit nur Unterstützung für die „urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect“-Bindung. ○ Ort für SAML-Identität: Dieses Feld dient dazu, die in Ihrem Identitätsanbieter gespeicherte Mitarbeiteridentität mit der Mitarbeiteridentität abzugleichen, die über den EDI-Prozess bei LinkedIn gespeichert ist. LinkedIn nutzt die folgenden Regeln für die Ermittlung des Mitarbeiters: ■ Wenn die SAML-Authentifizierungsantwort eine SAML-Assertation bereitstellt, in der ein Attributsatz enthalten ist, können Sie den SAML- Attributnamen des Attributs angeben, der die Identität des Mitarbeiters in diesem Textfeld enthält. Wenn beispielsweise ein Integer employeeId in einem SAML-Attribut mit dem Namen employeeId gesendet wird, besteht die Möglichkeit, employeeId in das Feld Ort für SAML-Identität einzufügen. LinkedIn nutzt dann die in jeder Assertation gesendete „employeeId“, um die Mitarbeiteridentität zu ermitteln. Wenn Sie diesen Prozess nutzen möchten, müssen Sie die „employeeId“ jedes Mitglieds in den EDI-Prozess hochladen. ■ Wenn in diesem Feld nichts angegeben ist, sucht LinkedIn den Mitarbeiter anhand des Werts von NameId, übermittelt in . In diesem Feld muss die primäre E-Mail-Adresse des Mitglieds angegeben sein, gemäß des Uploads im Rahmen des EDI-Prozesses. ○ Wenn wir das Mitglied nicht anhand des im Feld Ort für SAML-Identität festgelegten Attributs und auch nicht anhand der primären E-Mail-Adresse, gemäß der Festlegung in „NameId“ in , finden können, authentifiziert LinkedIn das Mitglied nicht. ○ Öffentliches Zertifikat: LinkedIn prüft die Gültigkeit der SAML-Assertation, die während der SAML-Authentifizierungsantwort gesendet wird, mithilfe des x.509- Zertifikats, das von Ihrem Identitätsanbieter für die Signatur genutzt wird. Wenn wir die Signatur der Authentifizierungsantwort nicht prüfen können, wird Ihr Mitglied nicht authentifiziert. 3. Klicken Sie auf SSO-Konfiguration speichern. Zuweisen von Lizenzen Sie haben die Möglichkeit, Ihren Mitarbeitern Lizenzen automatisch zuzuweisen, indem Sie die Option Lizenzen automatisch zuweisen aktivieren. Sobald die Option aktiviert ist, erhalten Mitglieder automatisch eine Lizenz, sofern sie nicht bereits über eine verfügen. Hinweis: Die Benutzerattribute, die auf Seiten des Identitätsanbieters erforderlich sind, werden angezeigt, wenn Sie die automatische Zuweisung von Lizenzen aktivieren. Hinweis: Für Sales Navigator wird die automatische Zuweisung von Lizenzen derzeit nicht unterstützt. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Aktivieren von Single Sign-On Nachdem Sie Ihre Konfiguration abgeschlossen haben, aktivieren Sie SSO. Klicken Sie auf die Umschaltoption Mitglied mit SSO bestätigen. In der Tabelle Aktivieren von Optionen werden Informationen dazu aufgeführt, wann die verfügbaren Optionen genutzt werden. Aktivieren von Optionen Status Beschreibung Aus ● Keine Einrichtung für SSO-Implementierung erforderlich. ● Mitglieder können sich über ihre Logik auf Basis von LinkedIn für zugewiesene Lizenzen einloggen. Test ● SSO wird eingerichtet und konfiguriert. ● Der Testmodus erzwingt SSO für Abläufe, die über IdP initiiert werden, für Mitarbeiter, denen Zugriff über den IdP gewährt wird. Normale Anmeldungen auf Basis von LinkedIn sind allerdings weiterhin für die Abläufe möglich, die über SP initiiert werden. Dabei ist es nicht erforderlich, dass Mitglieder sich für die Anmeldung über den IdP authentifizieren. Sie können direkt über LinkedIn auf die Anwendung zugreifen. ● Dies ist bei der Erstkonfiguration von SSO nützlich oder wenn Ihr Identitätsanbieter nur Abläufe unterstützt, die über den IdP initiiert werden. Ein ● SSO wird eingerichtet und aktiviert. ● Benutzer müssen sich über den IdP- oder SP-initiierten Ablauf einloggen (es sei denn, der IdP unterstützt nur Abläufe, die über den IdP-Ablauf initiiert werden, in welchem Fall kein SP initiiert wird). Unabhängig von der Methode ist eine Authentifizierung erforderlich. Achtung: Wenn Sie nach der Ersteinrichtung die Option Ein auswählen, schließen Sie das Fenster nicht, bis SSO wie gewünscht funktioniert. Andernfalls müssen Sie den Kundenservice einbeziehen, um SSO für Ihr Konto zu deaktivieren. Wir empfehlen, dass Sie die Option Test für die Prüfung des über IdP initiierten Ablaufs nutzen, bevor Sie für SSO die Option Ein auswählen. ● Über den IdP initiierter Ablauf: Wenn ein Mitglied über den Identitätsanbieter (wie z. B. Okta, AAD oder Ping) auf eine Anwendung zugreifen möchte. ● Über den SP eingeleiteter Ablauf: Wenn ein Mitglied direkt über die Anwendung oder den Dienstanbieter auf seine Lizenz zugreifen möchte. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Prüfen der Einrichtung Hinweis: Bevor Sie Ihre Einrichtung prüfen können, muss die Bindung abgeschlossen sein. Informationen sowie eine schrittweise Beschreibung der Bindung finden Sie im Whitepaper von LinkedIn zu Datenschutz und Sicherheit: Account Center Employee Database Integration (EDI) and Single Sign-On (SSO). Stellen Sie sicher, dass die Integration mit Ihrem Identitätsanbieter ordnungsgemäß erfolgt ist und folgende Voraussetzungen erfüllt sind: ● Sie benötigen eine LinkedIn Anwendung, der Ihre Unternehmensidentität bereits hinzugefügt wurde (beispielsweise über einen CSV-Upload). ● SSO ist aktiviert. ● Sie verfügen über eine Anwendung, die gemäß der vorstehenden Beschreibung und zur jeweiligen LinkedIn Anwendung passend in Ihrem Identitätsanbieter konfiguriert wurde. Testen Sie Folgendes: ● Eine über Ihren Identitätsanbieter initiierte Anmeldung ● Anmeldung über die LinkedIn Empfehlungsseite © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Support Support-Dokumentation ● Administratorleitfaden zum Hinzufügen von Mitarbeiterdaten ● Whitepaper zu Datenschutz und Sicherheit: Account Center Employee Database Integration (EDI) and Single Sign-On (SSO) ● Tutorial: Azure Active Directory-Integration mit LinkedIn Learning ● Tutorial: Azure Active Directory-Integration mit LinkedIn Sales Navigator ● Tutorial: Azure Active Directory-Integration mit LinkedIn Elevate Technische Probleme Wenn Sie bei der Einrichtung von SSO auf technische Probleme stoßen, wenden Sie sich über den Hilfebereich an Ihr Account-Team oder das Team für den Anwendungssupport. LinkedIn Datenschutz- und Datensicherheitsrichtlinie https://www.linkedin.com/legal/privacy-policy LinkedIn Ansprechpartner zum Thema Sicherheit Wenn Sie Fragen zum Thema Sicherheit haben oder ein Sicherheitsproblem melden möchten, schreiben Sie uns unter security@linkedin.com. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Sie können auch lesen