Single Sign-On Administratorleitfaden - Zuletzt überarbeitet: 15. Februar 2018 Version 1.7 - LinkedIn Business Solutions
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Single Sign-On
Administratorleitfaden
Zuletzt überarbeitet: 15. Februar 2018
Version 1.7
© 2018 LinkedIn Corporation, alle Rechte vorbehalten
Haftungsausschluss © 2018 LinkedIn Corporation, alle Rechte vorbehalten 1000 W. Maude Ave. Sunnyvale, CA 94085 USA Dieses Dokument enthält möglicherweise Aussagen, die sich auf die Zukunft beziehen. Alle Informationen in diesem Dokument sind Änderungen vorbehalten. Für die Nutzung der Software oder Anfertigung einer Kopie derselben (sowie der zugehörigen Dokumentation) gelten ausschließlich die Bedingungen des mit uns geschlossenen Lizenzvertrags. Kein Teil der Software oder Dokumentation darf in irgendeiner Form reproduziert, übertragen oder übersetzt werden – weder auf elektronische, mechanische, manuelle, optische oder andere Weise, ausgenommen in dem gemäß des Lizenzvertrags zulässigen Rahmen. LinkedIn Corporation und das LinkedIn Corporation Logo sind Marken, Servicemarken oder eingetragene Warenzeichen der LinkedIn Corporation in den USA und anderen Ländern. Alle anderen Marken-, Service- oder Produktnamen sind Marken oder eingetragene Warenzeichen ihrer jeweiligen Unternehmen oder Eigentümer. © 2018 LinkedIn Corporation, alle Rechte vorbehalten
Inhalt
Haftungsausschluss
Inhalt
Überblick
Voraussetzungen
Informationen zu Single Sign-On (SSO)
Was spricht für die Nutzung von Single Sign-On?
Unterstützte SSO-Protokolle
Konfigurieren von Single Sign-On (SSO)
Erste Schritte mit SSO
Herstellen einer Verbindung mit dem Identitätsanbieter
Herunterladen einer Datei
Arbeiten mit einzelnen Feldern
Konfigurieren des Identitätsanbieters
Anforderungen für „Just-in-Time-Provisioning“ (JIT)
E-Mail-Adresse (erforderlich)
Vorname (optional)
Nachname (optional)
Zusätzliche optionale Attribute
Beispiel
Hochladen einer Datei
Manuelles Eingeben von Werten
Zuweisen von Lizenzen
Aktivieren von Single Sign-On
Aktivieren von Optionen
Prüfen der Einrichtung
Support
Support-Dokumentation
Technische Probleme
LinkedIn Datenschutz- und Datensicherheitsrichtlinie
LinkedIn Ansprechpartner zum Thema Sicherheit
© 2018 LinkedIn Corporation, alle Rechte vorbehalten
Übersicht
Über die Employee Database Integration (EDI, Mitarbeiterdatenbankintegration) kann Ihr
Unternehmen eigene HRIS-Mitarbeiterdaten in LinkedIn Anwendungen integrieren. Die
Integration umfasst eine optionale Konfiguration für Single Sign-On mit Ihrer SSO-Lösung.
In einem solchen Fall kann der Administrator Ihres Unternehmenskontos die Authentifizierung
Ihres Unternehmens für eine LinkedIn Plattformanwendung über SSO konfigurieren, und
zwar über eine Integration in der Unternehmensplattform.
Die Konfiguration der Integration erfolgt über das LinkedIn Account-Center und ist nur für
einige bezahlte LinkedIn Anwendungen verfügbar.
Voraussetzungen
● Unternehmenskonto
● Vollständige Administratorrechte
● Administrationsrechte für den Identitätsanbieter (IdP)
Informationen zu Single Sign-On (SSO)
Das Single Sign-On (SSO) für Unternehmen bietet den Mitarbeitern Ihres Unternehmens die
Möglichkeit, sich mit den Anmeldeinformationen Ihres Unternehmens anstelle ihrer LinkedIn
Anmeldeinformationen einzuloggen.
Die Nutzung von SSO und die Integration mit einem SSO-Anbieter ist allerdings nicht
erforderlich, um LinkedIn Anwendungen nutzen zu können. Sofern SSO nicht konfiguriert
ist, können Ihre Mitarbeiter sich über ihre individuellen LinkedIn Anmeldeinformationen
authentifizieren oder ein neues Mitgliedskonto erstellen.
Was spricht für die Nutzung von Single Sign-On?
● Nutzung der Authentifizierung Ihres Unternehmens
● Höhere Sicherheitsstandards, wenn Mitarbeiter die etablierten Passwortprotokolle
Ihres Unternehmens anstelle ihrer eigenen Konten verwenden
● Einfachere Benutzerverwaltung, wenn Mitarbeiter Ihr Unternehmen verlassen
Unterstützte SSO-Protokolle
Derzeit unterstützen wir SAML Version 2.0.
© 2018 LinkedIn Corporation, alle Rechte vorbehalten
Konfigurieren von Single Sign-On (SSO)
Erste Schritte mit SSO
1. Rufen Sie das Account-Center über den folgenden Link auf:
http://www.linkedin.com/enterprise/accountcenter/settings
Hinweis: Manche Anwendungen bieten einen Zugriffspunkt in ihren Anwendungseinstellungen.
In Learning können Sie beispielsweise im Banner auf Zur Administratorseite klicken und dann
Einstellungen > Globale Einstellungen wählen.
In den Anwendungseinstellungen für SSO wird die Anwendung aufgeführt, auf die Sie zugegriffen
haben.
© 2018 LinkedIn Corporation, alle Rechte vorbehalten2. Öffnen Sie den Bereich für Single Sign-On (SSO). © 2018 LinkedIn Corporation, alle Rechte vorbehalten
3. Wählen Sie Ihre SSO-Optionen aus.
a. AuthnRequest signieren:
■ Ja (Standard)
■ Nein
b. Algorithmus zum Signieren der Authentifizierungsanfrage:
■ SHA1 (Standard)
■ SHA256
c. SAML-Bindungsanfrage:
■ HTTP-Weiterleitung (Standard)
■ HTTP-Post
d. AuthnContextClassRef:
■ Diesen Wert nicht senden (Standard)
■ urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
■ urn:oasis:names:tc:SAML:2.0:ac:classes:kerberos
■ urn:federation:authentication:windows
■ PasswordProtectedTransport und Fenster
■ urn:oasis:names:tc:SAML:2.0:ac:classes:X509
■ urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
e. Mapping für eigenes Attribut: Sie können eine Zuordnung für benutzerdefinierte
Namen festlegen, um diese an die IdP-Einstellungen anzupassen (wenn Sie nicht
die Standard-Mappings nutzen möchten). Geben Sie Ihr benutzerdefiniertes
Attribut ein und wählen Sie das Attribut aus, dem Sie das benutzerdefinierte
Attribut zuordnen möchten. Die folgenden Felder lassen sich benutzerdefinierten,
vom Mitglied bereitgestellten Attributen zuordnen.
■ Vorname
■ Nachname
■ Primäre E-Mail-Adresse
■ Mobiltelefonnummer
■ Geschäftl. Telefon
■ Jobbezeichnung
■ Tätigkeitsbereich
■ Manager
■ Abteilung
■ Job-Level
■ Arbeitertyp
■ Status des Arbeitnehmers
■ Building-Code
■ Standort des Schreibtischs
Weitere Informationen zu Standardattributen finden Sie unter Anforderungen für
„Just-in-Time-Provisioning“ (JIT).
© 2018 LinkedIn Corporation, alle Rechte vorbehalten4. (Optional) Klicken Sie auf Zum SAML-Validator, um anzugeben, ob SAML-Anfragen
signiert werden sollen. Fügen Sie die SAML-Antwort ein und klicken Sie auf Bestätigen.
5. (Optional) Wenn Sie mehrere Anwendungsinstanzen konfigurieren müssen, können
Sie im Banner das Menü - auswählen und dann die
Instanz, die Sie konfigurieren möchten. In Learning können Sie beispielsweise das
Menü Learning - Default auswählen (wie im Screenshot in Schritt 1 dargestellt).
Hinweis: Anwendungsinstanzen werden im Menü anwendungsbezogen gegliedert.
Wenn Sie also Zugriff auf mehrere Instanzen der gleichen Anwendung haben
(z. B. Zwei Recruiter-Instanzen), wird eine Überschrift für Recruiter angezeigt,
gefolgt von den Namen der einzelnen Anwendungsinstanzen.
Herstellen einer Verbindung mit dem Identitätsanbieter
Wenn Ihr Identitätsanbieter Metadaten unterstützt und Sie SAML unter Verwendung der Version
2.0 konfiguriert haben, können Sie die XML-Konfigurationsdatei herunterladen und diese an den
Identitätsanbieter senden. Der Identitätsanbieter kann die Datei daraufhin hochladen, um seine
Einstellungen für die Verbindung mit Ihren LinkedIn Produkten automatisch zu konfigurieren.
Prüfen Sie, ob Sie eine Metadatendatei herunterladen können oder Sie mit einzelnen Feldern
arbeiten müssen. Befolgen Sie anschließend eines der Verfahren, die in den folgenden
Abschnitten beschrieben werden.
Herunterladen einer Datei
1. Klicken Sie auf Herunterladen, um eine Metadatendatei herunterzuladen, die Sie mit
dem System Ihres Identitätsanbieters nutzen können. Die Datei metadata.xml
wird über Ihren Browser heruntergeladen.
2. Prüfen Sie, ob die Metadatendatei folgende Zeichenfolge enthält:
3. Rufen Sie das System Ihres Identitätsanbieters auf.
4. Laden Sie die Metadatendatei hoch.
Hinweis: Unter Umständen ist ein Import dieser Datei bei Ihrem Identitätsanbieter nicht
möglich. Okta beispielsweise hat diese Funktion nicht.
5. Kehren Sie zur SSO-Einrichtung zurück.
6. Klicken Sie im Dialogfeld für das Hochladen auf OK. Die nächsten Schritte werden unter
Konfigurieren Ihres Identitätsanbieters beschrieben.
© 2018 LinkedIn Corporation, alle Rechte vorbehaltenArbeiten mit einzelnen Feldern
1. Klicken Sie auf den Link, um einzelne Felder aus dem Formular in Ihrem Identitätsanbieter zu
laden und zu kopieren.
2. Kopieren Sie die Felder, die Sie integrieren möchten, und fügen Sie diese ein.
Konfigurieren Ihres Identitätsanbieters
Konfigurieren Sie Ihren Identitätsanbieter für eine Kommunikation mit der LinkedIn Plattform. Prüfen
Sie, ob Ihr Identitätsanbieter das Hochladen einer Metadatendatei unterstützt oder ob eine manuelle
Eingabe der Werte erforderlich ist. Befolgen Sie anschließend eines der Verfahren, die in den folgenden
Abschnitten beschriebenen werden. Wenn Sie JIT nicht nutzen, fahren Sie mit Hochladen einer Datei
oder Manuelles Eingeben von Werten fort.
Anforderungen für „Just-in-Time-Provisioning“ (JIT)
SAML 2.0 ist unter anderem deswegen so beliebt, weil große Flexibilität besteht, wenn es darum geht,
dem Dienstanbieter zusätzliche Informationen zu senden. Wenn ein Identitätsanbieter eine Assertation
sendet, enthält diese Attribute zur Beschreibung des Mitglieds. Über diese Attribute hat LinkedIn die
Möglichkeit, einerseits das Mitglied zu identifizieren und andererseits Mitglieder automatisch
bereitzustellen. Einige der möglichen Attribute werden in diesem Abschnitt beschrieben.
E-Mail-Adresse (erforderlich)
Selbst bei Verwendung von SSO muss jedes Mitglied über eine gültige E-Mail-Adresse verfügen.
Hinweis: Wenn Sie mehrere IdP-Identitäten testen, müssen E-Mail-Adressen eindeutig sein.
Da die Verwaltung von Benutzerinformationen dem Identitätsanbieter obliegt, muss dieser die E-Mail-
Adresse des Mitglieds in seiner Assertation senden. Identitätsanbieter nutzen unterschiedliche Benennungs-
konventionen, daher sucht LinkedIn in den folgenden Attributnamen sequenziell nach E-Mail-Adressen:
● EmailAddress
● email
● Email
● Mail
● emailAddress
● User.email
● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
© 2018 LinkedIn Corporation, alle Rechte vorbehaltenVorname (optional)
Unter Umständen senden Identitätsanbieter nicht nur E-Mail-Adressen, sondern auch Vornamen
in unterschiedlichen allgemeinen Feldern. Damit eine unmittelbare Kompatibilität mit einem
Großteil der Identitätsanbieter gewährleistet ist, sucht LinkedIn in den folgenden Attributnamen
nach dem Vornamen:
● FirstName
● first_name
● firstname
● firstName
● User.FirstName
● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Nachname (optional)
LinkedIn sucht in den folgenden Attributnamen nach dem Nachnamen:
● LastName
● last_name
● lastname
● lastName
● User.LastName
● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Zusätzliche optionale Attribute
Sie haben die Möglichkeit, zusätzliche Informationen anzugeben, einschließlich der folgenden
Attributnamen.
Hinweis: Diese Attribute werden zwar von LinkedIn gespeichert, werden derzeit aber nicht auf
der Benutzeroberfläche angezeigt und sind daher nicht für die Benutzerverwaltung nutzbar.
Attributname Unterstützte Variationen
Abteilung ● departmentName
● department
● User.Department
Manager ● Manager
● manager
● User.Manager
Mobiltelefon- ● mobilePhoneNumber
nummer ● PhoneNumber
● phone
© 2018 LinkedIn Corporation, alle Rechte vorbehalten● phoneNumber
● User.PhoneNumber
● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/mobilephone
Geschäftliche ● WorkPhoneNumber
Telefonnummer ● Workphone
● workPhoneNumber
● User.WorkPhoneNumber
● http://schemas.xmlsoap.org/ws/2005/05/identity/claims/otherphone
Jobbezeichung ● workTitle
● Title
● WorkTitle
● User.WorkTitle
Tätigkeitsbereich ● jobFunction
● JobFunction
● User.JobFunction
Job-Level ● JobLevel
● jobLevel
● User.JobLevel
Arbeitnehmertyp ● WorkerType
● workerType
● User.WorkerType
Status des ● WorkerStatus
Arbeitnehmers ● workerStatus
● Status
● User.WorkerStatus
Building-Code ● buildingCode
● building
Standort des ● deskLocation
Schreibtischs ● desk
© 2018 LinkedIn Corporation, alle Rechte vorbehaltenBeispiel
E-Mail-Adresse: mmustermann@unternehmen.com
Vorname: Max
Nachname: Mustermann
Mobiltelefonnummer: 5551234567
Titel: Manager, Abteilung für Softwareentwicklung
Abteilung: Softwareanwendungen
Startdatum: 07.03.16
Job-Level: Einzelner Mitarbeiter
Arbeitnehmertyp: Mitarbeiter
Status des Arbeitnehmers: aktiv oder inaktiv
Manager: dmüller
Hochladen einer Datei
1. Klicken Sie auf XML-Datei hochladen, um die Metadatendatei von Ihrem Identitätsanbieter
hochzuladen.
2. Wählen Sie die Datei und klicken Sie auf Öffnen. Sofern der Vorgang erfolgreich war, werden die
angezeigten Felder mit Metadaten ausgefüllt.
Manuelles Eingeben von Werten
1. Nutzen Sie den Link Hier klicken, um Informationen manuell hinzuzufügen.
© 2018 LinkedIn Corporation, alle Rechte vorbehalten2. Geben Sie die folgenden Informationen ein:
○ Ausstellerzeichenfolge oder Instanz-ID: muss mit dem Feld „md:EntityDescriptor
entityID“ übereinstimmen.
○ Budgetgruppe: eine Gruppe, die Sie nutzen können, um Lizenzen über Just-in-Time
bereitzustellen.
○ Weiterleitungs-URL: muss mit dem Feld „md:SingleSignOnService location“
übereinstimmen.
■ Hinweis: LinkedIn bietet derzeit nur Unterstützung für die
„urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect“-Bindung.
○ Ort für SAML-Identität: Dieses Feld dient dazu, die in Ihrem Identitätsanbieter
gespeicherte Mitarbeiteridentität mit der Mitarbeiteridentität abzugleichen,
die über den EDI-Prozess bei LinkedIn gespeichert ist. LinkedIn nutzt die
folgenden Regeln für die Ermittlung des Mitarbeiters:
■ Wenn die SAML-Authentifizierungsantwort eine SAML-Assertation
bereitstellt, in der ein Attributsatz enthalten ist, können Sie den SAML-
Attributnamen des Attributs angeben, der die Identität des Mitarbeiters
in diesem Textfeld enthält. Wenn beispielsweise ein Integer employeeId
in einem SAML-Attribut mit dem Namen employeeId gesendet wird,
besteht die Möglichkeit, employeeId in das Feld Ort
für SAML-Identität einzufügen. LinkedIn nutzt dann die in jeder Assertation
gesendete „employeeId“, um die Mitarbeiteridentität zu ermitteln. Wenn Sie
diesen Prozess nutzen möchten, müssen Sie die
„employeeId“ jedes Mitglieds in den EDI-Prozess hochladen.
■ Wenn in diesem Feld nichts angegeben ist, sucht LinkedIn den Mitarbeiter
anhand des Werts von NameId, übermittelt in . In
diesem Feld muss die primäre E-Mail-Adresse des Mitglieds angegeben
sein, gemäß des Uploads im Rahmen des EDI-Prozesses.
○ Wenn wir das Mitglied nicht anhand des im Feld Ort für SAML-Identität
festgelegten Attributs und auch nicht anhand der primären E-Mail-Adresse, gemäß
der Festlegung in „NameId“ in , finden können, authentifiziert
LinkedIn das Mitglied nicht.
○ Öffentliches Zertifikat: LinkedIn prüft die Gültigkeit der SAML-Assertation, die
während der SAML-Authentifizierungsantwort gesendet wird, mithilfe des x.509-
Zertifikats, das von Ihrem Identitätsanbieter für die Signatur genutzt wird. Wenn wir
die Signatur der Authentifizierungsantwort nicht prüfen können, wird Ihr Mitglied
nicht authentifiziert.
3. Klicken Sie auf SSO-Konfiguration speichern.
Zuweisen von Lizenzen
Sie haben die Möglichkeit, Ihren Mitarbeitern Lizenzen automatisch zuzuweisen, indem Sie
die Option Lizenzen automatisch zuweisen aktivieren. Sobald die Option aktiviert ist,
erhalten Mitglieder automatisch eine Lizenz, sofern sie nicht bereits über eine verfügen.
Hinweis: Die Benutzerattribute, die auf Seiten des Identitätsanbieters erforderlich sind,
werden angezeigt, wenn Sie die automatische Zuweisung von Lizenzen aktivieren.
Hinweis: Für Sales Navigator wird die automatische Zuweisung von Lizenzen derzeit nicht unterstützt.
© 2018 LinkedIn Corporation, alle Rechte vorbehaltenAktivieren von Single Sign-On
Nachdem Sie Ihre Konfiguration abgeschlossen haben, aktivieren Sie SSO. Klicken Sie auf die
Umschaltoption Mitglied mit SSO bestätigen. In der Tabelle Aktivieren von Optionen werden
Informationen dazu aufgeführt, wann die verfügbaren Optionen genutzt werden.
Aktivieren von Optionen
Status Beschreibung
Aus ● Keine Einrichtung für SSO-Implementierung erforderlich.
● Mitglieder können sich über ihre Logik auf Basis von LinkedIn für
zugewiesene Lizenzen einloggen.
Test ● SSO wird eingerichtet und konfiguriert.
● Der Testmodus erzwingt SSO für Abläufe, die über IdP initiiert werden,
für Mitarbeiter, denen Zugriff über den IdP gewährt wird. Normale
Anmeldungen auf Basis von LinkedIn sind allerdings weiterhin für
die Abläufe möglich, die über SP initiiert werden. Dabei ist es nicht
erforderlich, dass Mitglieder sich für die Anmeldung über den IdP
authentifizieren. Sie können direkt über LinkedIn auf die Anwendung
zugreifen.
● Dies ist bei der Erstkonfiguration von SSO nützlich oder wenn Ihr
Identitätsanbieter nur Abläufe unterstützt, die über den IdP initiiert
werden.
Ein ● SSO wird eingerichtet und aktiviert.
● Benutzer müssen sich über den IdP- oder SP-initiierten Ablauf
einloggen (es sei denn, der IdP unterstützt nur Abläufe, die über
den IdP-Ablauf initiiert werden, in welchem Fall kein SP initiiert wird).
Unabhängig von der Methode ist eine Authentifizierung erforderlich.
Achtung: Wenn Sie nach der Ersteinrichtung die Option Ein auswählen,
schließen Sie das Fenster nicht, bis SSO wie gewünscht funktioniert. Andernfalls
müssen Sie den Kundenservice einbeziehen, um SSO für Ihr Konto zu
deaktivieren. Wir empfehlen, dass Sie die Option Test für die Prüfung des über
IdP initiierten Ablaufs nutzen, bevor Sie für SSO die Option Ein auswählen.
● Über den IdP initiierter Ablauf: Wenn ein Mitglied über den Identitätsanbieter
(wie z. B. Okta, AAD oder Ping) auf eine Anwendung zugreifen möchte.
● Über den SP eingeleiteter Ablauf: Wenn ein Mitglied direkt über die Anwendung
oder den Dienstanbieter auf seine Lizenz zugreifen möchte.
© 2018 LinkedIn Corporation, alle Rechte vorbehaltenPrüfen der Einrichtung
Hinweis: Bevor Sie Ihre Einrichtung prüfen können, muss die Bindung abgeschlossen sein.
Informationen sowie eine schrittweise Beschreibung der Bindung finden Sie im Whitepaper von
LinkedIn zu Datenschutz und Sicherheit: Account Center Employee Database Integration (EDI)
and Single Sign-On (SSO).
Stellen Sie sicher, dass die Integration mit Ihrem Identitätsanbieter ordnungsgemäß erfolgt ist
und folgende Voraussetzungen erfüllt sind:
● Sie benötigen eine LinkedIn Anwendung, der Ihre Unternehmensidentität bereits
hinzugefügt wurde (beispielsweise über einen CSV-Upload).
● SSO ist aktiviert.
● Sie verfügen über eine Anwendung, die gemäß der vorstehenden Beschreibung und zur
jeweiligen LinkedIn Anwendung passend in Ihrem Identitätsanbieter konfiguriert wurde.
Testen Sie Folgendes:
● Eine über Ihren Identitätsanbieter initiierte Anmeldung
● Anmeldung über die LinkedIn Empfehlungsseite
© 2018 LinkedIn Corporation, alle Rechte vorbehaltenSupport
Support-Dokumentation
● Administratorleitfaden zum Hinzufügen von Mitarbeiterdaten
● Whitepaper zu Datenschutz und Sicherheit: Account Center Employee Database
Integration (EDI) and Single Sign-On (SSO)
● Tutorial: Azure Active Directory-Integration mit LinkedIn Learning
● Tutorial: Azure Active Directory-Integration mit LinkedIn Sales Navigator
● Tutorial: Azure Active Directory-Integration mit LinkedIn Elevate
Technische Probleme
Wenn Sie bei der Einrichtung von SSO auf technische Probleme stoßen, wenden Sie sich über
den Hilfebereich an Ihr Account-Team oder das Team für den Anwendungssupport.
LinkedIn Datenschutz- und Datensicherheitsrichtlinie
https://www.linkedin.com/legal/privacy-policy
LinkedIn Ansprechpartner zum Thema Sicherheit
Wenn Sie Fragen zum Thema Sicherheit haben oder ein Sicherheitsproblem melden möchten,
schreiben Sie uns unter security@linkedin.com.
© 2018 LinkedIn Corporation, alle Rechte vorbehaltenSie können auch lesen
