Richten Sie SSO für Ihren Ninox-Server (Private Cloud oder On-Premises) mit SAML und einer Drittanbieter-App wie Okta ein

 SSO ist eine Enterprise-Funktion, die auf Anfrage verfügbar ist und eine gültige Lizenz von Ninox oder einem zertifizierten Partner erfordert.

 Sie müssen nicht Okta verwenden, um ein Single Sign-On mit SAML einzurichten.

Wir haben uns jedoch für Okta entschieden, um eine mögliche SAML-Integration mit Ninox zu demonstrieren. Ihre Konfiguration kann je nach verwendeter Drittanbieter-App variieren.

Was ist neu?

SSO-Rollen in Okta und Ninox zusammenführen

Ab Ninox 3.6.9 können Sie Rollen für Personen oder Gruppen in Ihrer SAML-Integration zuweisen und dann bestehende Rollen auf Ihrem Ninox-Server mit denen aus einer Drittanbieter-App wie Okta zusammenführen.

Neue SAML-Integration erstellen

Schritt 1: Anmelden und App-Integration erstellen

1. Melden Sie sich bei Okta an.

2. Klicken Sie in der linken Seitenleiste auf Applikationen und wählen Sie Applikationen (1) aus dem Dropdown-Menü.

3. Klicken Sie auf die Schaltfläche App-Integration erstellen (2).

Schritt 2: Anmeldemethode einrichten

Wählen Sie im Pop-up-Fenster Neue App-Integration erstellen die Option SAML 2.0 (1) als Anmeldemethode. Klicken Sie auf die Schaltfläche Weiter (2), um fortzufahren.

Schritt 3: SAML-Integration erstellen

1. Geben Sie auf der Seite SAML-Integration erstellen im Tab Allgemeine Einstellungen einen Namen in das Feld App-Name ein. In diesem Beispiel lautet er Ninox SAML (1).

2. Klicken Sie auf die Schaltfläche Weiter (2), um fortzufahren.

Schritt 4: SAML-Integration konfigurieren

Füllen Sie im Tab SAML konfigurieren die unten aufgeführten Felder aus.

1. Single-Sign-On-URL: Die URL ist eine Kombination aus dem Protokoll https://, Ihrem Ninox-Server-Domainnamen (in diesem Beispiel ist es anastasiya.ninoxdb.de) und dem Pfad /ums/saml/consume, was zu etwas wie https://anastasiya.ninoxdb.de/ums/saml/consume führt (1). Der Domainname muss durch den Domainnamen Ihres Ninox-Servers ersetzt werden.

2. Audience URI (SP Entity ID): ninox-saml (2)

3. Default RelayState: WEB (3)

4. Name ID Format: EmailAddress (4)

5. Application username: Email (5)

6. Update application username on: Create and update (6) (Standardeinstellung)

7. Group Attribute Statements (optional): Geben Sie einen Namen ein, z. B. roles, und setzen Sie das Namensformat auf Basic (7). Setzen Sie den Filter auf Matches regex und geben Sie .* ein (8).

2. Für eine Vorschau der SAML-Konfiguration klicken Sie auf die Schaltfläche Preview the SAML assertion (1).

3. Ein neuer Browser-Tab öffnet sich und zeigt eine Vorschau ähnlich der untenstehenden.

Tipp: Audience und Attributname merken

 Merken Sie sich die Audience ninox-saml (1) und den Attributnamen roles (2) – wir werden diese in Ihrer Ninox-Server-Einrichtung wieder benötigen.

4. Klicken Sie auf die Schaltfläche Next (1), um fortzufahren.

Schritt 5: Einrichtung in Okta abschließen

1. Beantworten Sie im Tab Feedback die Frage Are you a customer or partner? mit der Auswahl I’m an Okta customer adding an internal app (1).

2. Aktivieren Sie das Kontrollkästchen This is an internal app that we have created (2).

3. Klicken Sie auf die Schaltfläche Finish (3), um zu bestätigen.

Benutzer zur SAML-Integration zuweisen

 Stellen Sie sicher, dass Personen Zugriff auf Ninox haben, entweder als Mitglieder (vom Eigentümer bezahlt) oder als Mitwirkende (von ihnen selbst bezahlt). Wenn sich Benutzer nicht bei Ninox anmelden können, können sie sich auch nicht über SSO bei Ihrem Ninox-Server anmelden.

Führen Sie die folgenden Schritte aus, um entweder einzelne Benutzer oder ganze Gruppen Ihrer SAML-Integration zuzuweisen.

Personen zuweisen

1. Klicken Sie auf der neuen Anwendungsseite auf den Tab Assignments (1).

2. Klicken Sie auf die Dropdown-Schaltfläche Assign und wählen Sie dann Assign to People (2).

3. Ein Popup-Fenster öffnet sich. Wählen Sie einen Benutzer aus der Liste aus, um ihn einzeln Ihrer App zuzuweisen, und klicken Sie dann auf Assign (1).

4. Klicken Sie in einem neuen Popup-Fenster auf die Schaltfläche Save and Go Back (1), um zur vorherigen Ansicht zurückzukehren.

5. Im vorherigen Popup-Fenster erscheint das Label Assigned (1) neben dem ausgewählten Benutzer. Klicken Sie auf die Schaltfläche Done (2), um das Popup zu schließen.

Externe Ressourcen

  Anwendungen Benutzern zuweisen | Okta

Gruppen zuweisen

1. Klicken Sie zurück auf der Anwendungsseite auf die Dropdown-Schaltfläche Assign und wählen Sie dann Assign to Groups (1).

2. Ein Popup-Fenster öffnet sich. Wählen Sie eine Gruppe aus der Liste aus, um sie einzeln Ihrer App zuzuweisen, und klicken Sie dann auf Assign (1).

3. Das Label Assigned (1) erscheint neben der ausgewählten Gruppe. Klicken Sie auf die Schaltfläche Done (2), um zur vorherigen Ansicht zurückzukehren.

Externe Ressourcen

  Personen manuell einer Gruppe zuweisen | Okta

SAML-Anmeldeinformationen von Okta abrufen

Schritt 1: SAML-Setup-Anweisungen anzeigen

1. Klicken Sie auf der neuen Anwendungsseite im Tab Sign On auf die Schaltfläche View SAML setup instructions (1).

2. Ein neuer Browser-Tab öffnet sich, um SAML-Setup-Anweisungen anzuzeigen.

Schritt 2: SAML-Setup-Anweisungen kopieren

1. Kopieren Sie die Identity Provider Single Sign-On URL (1). Dieser Wert entspricht dem folgenden Feld in Ihrer Ninox-Server-Einrichtung: Single Sign on URL (SSO URL). Siehe https://docs.ninox.com/en/private-cloud-on-premises/single-sign-on-sso/saml-single-sign-on-with-okta#step-2-transfer-saml-credentials

2. Kopieren Sie den Identity Provider Issuer (2). Dieser Wert entspricht dem folgenden Feld in Ihrer Ninox-Server-Einrichtung: Issuer. Siehe https://docs.ninox.com/en/private-cloud-on-premises/single-sign-on-sso/saml-single-sign-on-with-okta#step-2-transfer-saml-credentials

3. Klicken Sie auf die Schaltfläche Download certificate (1). Eine Datei namens okta.cert wird auf Ihrem Computer gespeichert. Diese Datei entspricht der folgenden Schaltfläche in Ihrer Ninox-Server-Einrichtung: IDP Certificate.

SAML-Setup in Ihrer Ninox-Server-Einrichtung abschließen (Private Cloud oder On-Premises)

Schritt 1: Auf die Ninox-Server-Konfiguration zugreifen

1. Melden Sie sich bei Ihrer Ninox Private Cloud oder Ninox On-Premises als root-Benutzer an. Im folgenden Beispiel verwenden wir eine Private Cloud (1).

2. Klicken Sie auf das Zahnradsymbol (2) in der oberen rechten Ecke, um auf die globalen Einstellungen zuzugreifen.

3. Wählen Sie im Dropdown-Menü Server Administration (3) aus.

4. Eine neue Seite öffnet sich. Klicken Sie auf den Tab Configuration (1).

Tipp: Team-ID kopieren, um Benutzer automatisch diesem Workspace zuzuweisen

 Um Benutzer automatisch einem bestimmten Workspace (Team) hinzuzufügen, kopieren Sie dessen Team-ID (1). In diesem Beispiel verwenden wir dieselbe Private Cloud wie in den obigen Schritten.

Schritt 2: SAML-Anmeldeinformationen übertragen

1. Scrollen Sie auf der Seite Server Configuration nach unten zu Authentication Strategy und wählen Sie dann den Tab SAML V2 (1) aus. Füllen Sie die unten aufgeführten Felder aus und laden Sie die Zertifikatsdatei von Okta hoch.

   ...

   1. Single Sign on URL (SSO URL): Kopieren Sie die Identity Provider Single Sign-on URL, in diesem Beispiel https://dev-78357175.okta.com/app/dev-78357175_ninoxsaml_1/exk5s7f2zbbh9HGTh5d7/sso/saml (2)

   2. Issuer: Kopieren Sie den Identity Provider Issuer, in diesem Beispiel http://www.okta.com/exk5s7f2zbbh9HGTh5d7 (3)

   3. IDP Certificate: Laden Sie die .cert-Datei hoch (4)

   4. Audience (5): ninox-saml (5)

   5. Session Duration (in days): 2 (6)

   6. Auto Assign To Team: Kopieren Sie die Team-ID, in diesem Beispiel p75h1me5ngr0grptq (7)

   7. Property name of group attributes in SAML assertion: Kopieren Sie den Attributnamen, in diesem Beispiel roles (8)

   8. Roles To Be Excluded For Mapping: Optional, in diesem Beispiel Everyone (9)

   9. Role mapping strategy: Wählen Sie Merge SAML and Ninox roles (10)

   10. Klicken Sie auf die Schaltfläche Setup SAML and Restart (11), um zu bestätigen.

SSO-Login überprüfen

Wenn die Konfiguration erfolgreich war, sieht die Anmeldung mit SSO ähnlich aus wie im GIF unten gezeigt. In diesem Beispiel verwenden wir dieselbe Private Cloud wie oben.