Einrichten von Single Sign-On
Hinweis
Wenn Sie Probleme haben, ein neues Megaport-Konto zu erstellen oder sich bei einem bestehenden Konto anzumelden, finden Sie unter FAQs zur Authentifizierung im Megaport Portal und FAQs zu Single Sign-On (SSO) Antworten auf häufig gestellte Fragen.
Hinweis
Auf der Website Ihres Identitätsanbieters finden Sie weitere Informationen wie eine Anleitung zur Einrichtung, Hilfe bei der Fehlerbehebung und Datenschutzrichtlinien.
Unter diesem Thema wird beschrieben, wie ein Firmen-Admin Details zum Identitätsanbieter (IdP) konfigurieren und für Benutzer das Anmelden beim Megaport Portal mit Single Sign-On (SSO) als obligatorisch festlegen kann. Es wird auch beschrieben, wie ein Firmen-Admin die SSO-Konfigurationsdetails für seine Firma überprüfen kann.
Übersicht zu Single Sign-On
Für Unternehmen bestehen verschiedene Sicherheitsrisiken im Zusammenhang mit der Identität. Mitarbeiter, die schwache Passwörter oder dieselben Passwörter für mehrere Konten verwenden, machen Unternehmen anfällig für Sicherheitsverletzungen und Internetkriminalität. Single Sign-On (SSO) kann Unternehmen helfen, diese Probleme zu lösen. Für Mitarbeiter wird es einfacher, ihre verschiedenen Konten sicher zu verwalten. Darüber hinaus erhalten Administratoren mehr Transparenz und Kontrolle über das Identitätsmanagement und können Unternehmen dabei unterstützen, die gesetzlichen Datenschutzanforderungen einzuhalten.
SSO ist eine Lösung zur Identitäts- und Zugriffsverwaltung, die es Benutzern ermöglicht, sich mit einer einmaligen Benutzerauthentifizierung bei mehreren Anwendungen, Websites und Softwaresystemen anzumelden. Das heißt, SSO ermöglicht es Benutzern, sich einmal anzumelden und auf mehrere Dienste zuzugreifen, ohne sich erneut authentifizieren zu müssen.
SSO bietet sowohl eine erhöhte Sicherheit für Unternehmen als auch eine verbesserte Benutzerfreundlichkeit. Sobald ihre Identität einmal überprüft wurde, können Benutzer auf alle Anwendungen zugreifen, für die sie eine Zugriffsberechtigung haben, ohne sich jedes Mal neu anmelden und mehrfach authentifizieren zu müssen. Außerdem können Administratoren die Identität und den Zugriff von Benutzern einfacher verwalten.
Wenn Sie SSO für Ihre Firma einrichten, können sich Ihre Benutzer mit SSO beim Megaport Portal anmelden. Zunächst müssen Sie SSO aktivieren, indem Sie im Megaport Portal einen Identitätsanbieter (IdP) hinzufügen, d. h. den Drittanbieter, der die Benutzeridentität verwaltet. Sobald SSO aktiviert ist, werden Ihre bestehenden Benutzer standardmäßig SSO verwenden, wenn deren E-Mail-Adresse mit dem externen IdP verknüpft ist. Dies ist optional, nachdem Sie SSO aktiviert haben. Als Firmen-Admin können Sie jedoch die SSO-Anmeldung für alle Ihre Benutzer erzwingen. Weitere Informationen zur Anmeldung finden Sie unter Anmelden beim Megaport Portal.
Vorteile von SSO
Die Verwendung von SSO bietet Benutzern und Unternehmen folgende Vorteile:
-
Effizientere Benutzerumgebung – SSO bietet den Benutzern eine einheitliche Anmeldung und vereinfacht die Zugriffs- und Identitätsverwaltung. Die Benutzer benötigen weniger Passwörter und können trotzdem sicher auf die Anwendungen zugreifen, die sie für die Ausübung ihrer Tätigkeit benötigen.
-
Verbesserte Passwort- und Netzwerksicherheit – Wenn SSO nicht verwendet wird, müssen sich die Benutzer mehrere Anmeldepasswörter für verschiedene Anwendungen merken und verwalten. Dies kann zu unsicheren Passwörtern und nicht empfehlenswerten Sicherheitspraktiken führen. Dazu zählt beispielsweise die Verwendung desselben Passworts für mehrere Anwendungen. Die Verwendung von SSO verhindert diese Passwortprobleme und erfordert ein starkes Passwort, das für die Validierung über mehrere Anwendungen hinweg verwendet wird.
-
Höhere administrative Kontrolle – Alle Informationen zur Verwaltung des Benutzerzugriffs werden an einem einzigen Standort gespeichert. Das bedeutet, dass es nur eine Quelle für die Zugriffsrechte und Berechtigungen jedes Benutzers gibt. Administratoren können die Berechtigungen eines Benutzers einmal ändern und wissen, dass die Einstellungen unternehmensweit aktualisiert werden.
Die individuellen Benutzerrechte innerhalb von Megaport Portal werden durch die intern definierten Rollen von Megaport gesteuert, nicht durch die Rollen, die der Benutzer bei seinem IdP hat. -
Verbesserte Produktivität – Benutzer greifen häufig auf mehrere Anwendungen zu, die jeweils eine separate Authentifizierung erfordern, um sich anzumelden. Es ist unproduktiv, jedes Mal einen Benutzernamen und ein Passwort manuell einzugeben, vor allem, wenn technische Probleme auftauchen. SSO trägt dazu bei, den Authentifizierungsprozess zu rationalisieren und unnötige zeitraubende Aktivitäten zu vermeiden.
SSO und Multi-Faktor-Authentifizierung (MFA)
SSO ermöglicht es Unternehmen, Sicherheitsmaßnahmen zu vereinfachen und zugleich die Sicherheit zu erhöhen, da Benutzer mit einer einzigen Anmeldung auf alle verbundenen Dienste zugreifen können. MFA bietet zusätzliche Sicherheit durch Verringerung der Möglichkeit eines unbefugten Zugriffs mithilfe gestohlener Anmeldedaten, indem mehrere Authentifizierungsfaktoren angefordert werden. Sowohl SSO als auch MFA können im Megaport Portal eingerichtet und zusammen verwendet werden, um die Sicherheit zu verbessern.
Wer kann SSO global für ein Konto erzwingen?
Um SSO global für ein Konto zu erzwingen, müssen Sie innerhalb des Kontos ein Benutzer mit der Rolle „Company Admin“ (Firmen-Admin) sein.
Wichtig
- Bevor Sie SSO implementieren, sollten Sie alle Benutzer, die mit Ihrem Megaport-Konto verbunden sind, darauf vorbereiten, indem Sie ihnen mitteilen, was SSO ist, warum es implementiert wird und ob SSO optional oder obligatorisch ist.
- Da das Erzwingen von SSO neue administrative Aufgaben zur Unterstützung der Benutzer mit sich bringen kann, empfehlen wir dringend, dass Sie mindestens zwei Benutzer als Firmen-Admins bestimmen, die den Benutzern bei der Fehlerbehebung und der schnellen Lösung von Authentifizierungsproblemen helfen.
- Auf der Website Ihres Identitätsanbieters finden Sie weitere Informationen wie eine Anleitung zur Einrichtung, Hilfe bei der Fehlerbehebung und Datenschutzrichtlinien.
Folgende Regeln gelten für die verschiedenen Typen von Megaport Portal-Konten:
Kontotyp | Wer kann SSO erzwingen? |
---|---|
Direct | Ein Firmen-Admin-Benutzer kann SSO global erzwingen oder als optional festlegen. |
Partner | Ein Firmen-Admin kann SSO global erzwingen oder für sein eigenes Partnerkonto als optional festlegen. Ein Firmen-Admin kann SSO global erzwingen oder für jedes seiner verwalteten Konten als optional festlegen. Hinweis:Die Änderung der SSO-Einstellung für ein verwaltetes Konto hat keine Auswirkungen auf andere verwaltete Konten. |
Verwaltet | Ein Firmen-Admin kann SSO global erzwingen oder für sein eigenes Konto als optional festlegen. Hinweis: Partner können diese Einstellung ändern, wenn sie Firmen-Admins sind. |
Distributor | Ein Firmen-Admin kann SSO global erzwingen oder nur für sein eigenes Konto als optional festlegen. Die SSO-Einstellung kann für Partner- oder verwaltete Konten nicht geändert werden. |
Hinzufügen eines Identitätsanbieters (IdP)
Ein IdP ist ein vertrauenswürdiges Drittunternehmen oder ein vertrauenswürdiger Dienst zur Verwaltung der Benutzeridentität einer Organisation oder eines Unternehmens.
IdPs bieten Drittanbietern von Diensten (wie Anwendungen, Websites oder anderen digitalen Diensten) Authentifizierungsdienste an, indem sie die Identität validieren und einen Benutzer anhand der vom IdP verwalteten Identität gegenüber der Anwendung authentifizieren, ohne Anmeldedaten weiterzugeben. Ein SSO-Dienst verwendet einen IdP, um die Identität des Benutzers bei der Anmeldung zu überprüfen, speichert die Benutzeridentität aber nicht.
Um SSO im Megaport Portal zu aktivieren, müssen Sie eine IdP-Verbindung hinzufügen. Jede Firma kann maximal eine IdP (SAML)-Verbindung haben. Nachdem Sie eine Verbindung hinzugefügt haben, können Sie die Verbindung auch ändern und löschen.
Das Megaport Portal kommuniziert mit dem IdP und erstellt Verbindungen mithilfe von SAML 2.0.
Wichtig
Auf der Website Ihres Identitätsanbieters finden Sie weitere Informationen wie eine Anleitung zur Einrichtung, Hilfe bei der Fehlerbehebung und Datenschutzrichtlinien.
Hinweis
- Es wird nur SAML-basiertes SSO unterstützt.
- Derzeit kann in Megaport nur genau eine IdP (SAML)-Verbindung pro Unternehmen konfiguriert werden.
- Nur Firmen-Admin-Benutzer können Änderungen an den SSO-Einstellungen vornehmen. Benutzer, die keine Firmen-Admins sind, haben keinen Zugriff auf diesen Abschnitt im Megaport Portal.
So fügen Sie eine IdP-Verbindung hinzu
-
Besuchen Sie das Megaport Portal und melden Sie sich an.
-
Wählen Sie „Company“ (Firma) > „Security Settings“ (Sicherheitseinstellungen).
Der Bereich „Integration details“ (Integrationsdetails) des Bildschirms enthält die Felder Audience URI (Zielgruppen-URI) und IdP Response URL (IdP-Antwort-URL). Um sicherzustellen, dass Ihre SSO-Konfiguration vollständig ist, müssen Sie Ihren IdP mit den auf diesem Bildschirm angezeigten Werten für die Zielgruppen-URI (Entity ID, Audience) und die IdP-Antwort-URL (Assertion Consumer Service (ACS) URL, Single Sign On-URL, Application Callback URL, Reply URL) integrieren. Diese Werte werden von Megaport generiert und sind wesentliche Komponenten, die für eine korrekt funktionierende SAML-SSO-Authentifizierung erforderlich sind. -
Kopieren Sie die Werte von Audience URI (Zielgruppen-URI) und IdP Response URL (IdP-Antwort-URL) durch Klicken auf das Kopiersymbol, und fügen Sie die Werte an einem sicheren Ort ein.
-
Audience URI (Zielgruppen-URI) – Dieses Feld, das auch „Entity ID“ (Entitäts-ID) bekannt ist, definiert die Entität oder die Zielgruppe, für die die SAML-Assertion bestimmt ist. Dieser Wert ist normalerweise eine URL, die den Namen des IdP enthält. Sie ist ein eindeutiger Identifikator für Ihre Anwendung.
-
IdP Response URL (IdP-Antwort-URL) – Dieses Feld, das auch als „Assertion Consumer Service (ACS) URL“, „Single Sign On URL“, „Application Callback URL“ und „Reply URL“ (Antwort-URL) bekannt ist, definiert die URL, zu der Ihre Benutzer für die Anmeldung weitergeleitet werden.
-
-
Klicken Sie auf Add SAML Connection (SAML-Verbindung hinzufügen).
-
Lesen Sie die Informationen unter dem Thema Funktionen und Nutzungshinweise für Single Sign-On (SSO).
Dieses Thema bietet eine Anleitung zum Einrichten von Single Sign-On und sowie wichtige Informationen. -
Geben Sie die folgenden Details an:
- Provider Name – Der Name der IdP-Verbindung. Dies ist ein benutzerdefinierter Name, der im Megaport Portal für die Verbindung angezeigt wird. Der Name kann nicht mehr geändert werden, nachdem die Verbindung erstellt wurde.
- Domains – Die spezifischen Domänen, die von dieser IdP-Verbindung verarbeitet werden. Es können mehrere Domänen durch Komma getrennt angegeben werden. Beispiel: megaport.com,gmail.com
- Metadata URL – Die zum Herunterladen der IdP-Metadaten-Datei verwendete URL. Die Metadaten-Datei ist ein XML-Dokument, das Informationen enthält, die für die Interaktion mit dem IdP erforderlich sind, z. B. Identifikatoren, Endpunkt-URLs und öffentliche Schlüssel.
- Attribute Mapping (Attribut-Zuordnung) – Attribute oder Felder, die eine Zuordnung vom IdP zu Megaport erfordern. Die SSO-Attribut-Zuordnung gleicht die Attributwerte des vom IdP verwalteten Benutzerprofils mit den Attributwerten des Benutzerprofils Megaport Portal ab. Da verschiedene Systeme unterschiedliche Attributwerte und Authentifizierungsmethoden verwenden, müssen die Daten zwischen IdP und Megaport Portal übereinstimmen.
Weitere Informationen zu den Attribut-Zuordnungsanforderungen für Ihren IdP finden Sie auf der Website und in der Dokumentation Ihres IdP.
-
Klicken Sie auf Save (Speichern).
Um sicherzustellen, dass Ihre SSO-Konfiguration vollständig ist, müssen Sie nun Ihren IdP mit den Werten für die Zielgruppen-URI (Audience URI, Entity ID) und die IdP-Antwort-URL (IdP Response URL, ACS URL) integrieren, die Sie zuvor kopiert haben. -
Richten Sie die von Megaport generierten Werte für die Zielgruppen-URI und die Antwort-URL in Ihrer IdP-Konfiguration ein. Eine Anleitung, wie Sie dies für Ihren IdP-Dienstanbieter tun können, finden Sie in der IdP-Dokumentation.
Nachdem dies erfolgt ist, können sich Ihre Benutzer beim Megaport Portal mit SSO anmelden. Weitere Informationen dazu finden Sie unter Anmelden beim Megaport Portal.
So ändern Sie eine IdP-Verbindung
-
Besuchen Sie das Megaport Portal und melden Sie sich an.
-
Wählen Sie „Company“ (Firma) > „Security Settings“ (Sicherheitseinstellungen).
-
Klicken Sie in der Spalte „Actions“ (Aktionen) der konfigurierten Verbindung auf Edit (Bearbeiten).
Die Single Sign-On-Verbindungsdetails werden angezeigt. Wenn Sie eine IdP-Verbindung ändern, können Sie nur die Domänen oder die Attribut-Zuordnungswerte ändern. -
Aktualisieren Sie im Feld „Domains“ die spezifischen Domänen, für die SSO konfiguriert werden soll. Es können mehrere Domänen durch Komma getrennt angegeben werden.
-
Aktualisieren Sie im Attribut-Zuordnungsbereich alle Attribute oder Felder, die eine Zuordnung vom IdP zu Megaport erfordern.
-
Klicken Sie auf Save (Speichern).
So löschen Sie eine IdP-Verbindung
Sie können eine IdP-Verbindung löschen, wenn Ihre Firma beispielsweise beschließt, den IdP-Dienstanbieter zu wechseln. Wenn eine IdP-Verbindung gelöscht wird, können sich die Benutzer nicht mehr über diesen IdP beim Megaport Portal anmelden. Die Benutzerauthentifizierung wird auf die vorherige Einstellung zurückgesetzt, und die Benutzer können sich weiterhin mit anderen Authentifizierungsmethoden anmelden.
Hinweis
- Wenn die SSO-Erzwingung aktiviert ist, wird sie deaktiviert. Weitere Informationen dazu finden Sie unter SSO für Benutzer als obligatorisch festlegen.
- Wenn ein aktiver Benutzer nur mit SSO angemeldet ist, kann dieser den Link „Forgot Passwort“ (Passwort vergessen) auf dem Anmeldebildschirm verwenden, um das Passwort für sein Benutzername/Passwort-Profil zurückzusetzen, und sich dann mit Benutzername und Passwort anmelden. Weitere Informationen dazu finden Sie unter Zurücksetzen Ihres Passworts und Anmelden beim Megaport Portal.
-
Besuchen Sie das Megaport Portal und melden Sie sich an.
-
Wählen Sie „Company“ (Firma) > „Security Settings“ (Sicherheitseinstellungen).
-
Klicken Sie in der Spalte „Actions“ (Aktionen) der konfigurierten Verbindung auf Delete (Löschen).
Das Aufforderungsfenster „Delete Provider“ (Anbieter löschen) wird angezeigt.
-
Lesen Sie den Aufforderungstext, und prüfen Sie noch einmal, ob die IdP-Verbindung wirklich gelöscht werden soll.
-
Klicken Sie auf Delete (Löschen).
Die IdP-Verbindung wird gelöscht.
SSO für Benutzer als obligatorisch festlegen
Nachdem Sie eine IdP-Verbindung für Ihre Firma konfiguriert haben, um SSO zu aktivieren, können Sie die Verwendung von SSO erzwingen. Wenn Sie als Firmen-Admin die globale SSO-Einstellung Ihrer Firma von optional auf erzwingen ändern, wird sichergestellt, dass sich alle Benutzer, die im Megaport Portal auf Ihre Firma zugreifen, mit SSO anmelden.
Wenn SSO erzwungen wird, müssen sich alle Benutzer über den konfigurierten IdP authentifizieren. Wenn sich ein Benutzer zuvor mit Benutzername und Passwort bei Megaport Portal angemeldet hat und ein Firmen-Admin eine IdP-Verbindung hinzufügt und SSO erzwingt, wird dieser Benutzer bei der nächsten Anmeldung an den externen IdP weitergeleitet, sofern die E-Mail des Benutzers eine Domäne hat, die mit dem IdP übereinstimmt.
Eine Ausnahme bilden die Firmen-Admin-Benutzer, die sich auch ohne eine mit SSO verbundene Domäne mit anderen Methoden anmelden können.
Weitere Informationen zur Anmeldung mit SSO finden Sie unter Anmelden beim Megaport Portal.
So legen Sie SSO für Benutzer als obligatorisch fest
-
Besuchen Sie das Megaport Portal und melden Sie sich an.
-
Wählen Sie „Company“ (Firma) > „Security Settings“ (Sicherheitseinstellungen).
-
Setzen Sie den Schieberegler auf ON (EIN).
Eine Meldung wird angezeigt, die angibt, dass sobald die SSO-Erzwingung aktiviert ist, sich alle Benutzer über den standardmäßig konfigurierten IdP authentifizieren müssen. -
Klicken Sie auf Save (Speichern).
SSO ist jetzt auf „ON“ (EIN) gesetzt und wird global für alle Benutzer erzwungen, wenn diese sich beim Megaport Portal anmelden.
SSO für Benutzer als optional festlegen
Sie können SSO für Ihre Benutzer als optional festlegen (das Erzwingen deaktivieren). Benutzer müssen sich weiterhin standardmäßig mit SSO anmelden, wenn ihre E-Mail-Adresse mit Ihrem externen IdP verknüpft ist. Alle Benutzer haben jedoch die Möglichkeit, sich beim Megaport Portal mit einer beliebigen genehmigten Authentifizierungsmethode anzumelden, einschließlich über Google, direkt mit Benutzername und Passwort oder mit SSO.
Hinweis
Die Einstellung als optional „OFF“ (AUS) ist die Standardeinstellung für SSO, aber möglicherweise wurde SSO in Ihrer Firma irgendwann einmal erzwungen. Bei dieser Aufgabe wird davon ausgegangen, dass SSO derzeit erzwungen wird („ON“) und Sie die Einstellung wieder in optional („OFF“) ändern möchten.
So legen Sie SSO für Benutzer als optional fest
-
Besuchen Sie das Megaport Portal und melden Sie sich an.
-
Wählen Sie „Company“ (Firma) > „Security Settings“ (Sicherheitseinstellungen).
-
Setzen Sie den Schieberegler auf OFF (AUS).
Es wird eine Meldung angezeigt, die besagt, dass Benutzer nach dem Deaktivieren der SSO-Erzwingung verschiedene Authentifizierungsmethoden für die Anmeldung verwenden können, einschließlich Benutzername und Passwort, Google oder SSO. -
Klicken Sie auf Save (Speichern).
Das Erzwingen von SSO ist jetzt auf „OFF“ (AUS) gesetzt.
Überprüfung der SSO-Details für Ihre Firma
Als Firmen-Admin können Sie die SSO-Konfigurationsdetails für Ihre Firma anzeigen. So können Sie beispielsweise überprüfen und bestätigen, dass die für Ihr Konto eingerichteten SSO-IdP-Details korrekt sind, bevor Sie SSO erzwingen.
Folgende SSO-Details werden angezeigt:
-
Provider Name (Anbietername) – Der benutzerdefinierte Name der IdP-Verbindung, die konfiguriert wurde.
-
Domains (Domänen) – Die spezifischen Domänen, für die SSO konfiguriert wurden. Es können mehrere Domänen durch Komma getrennt angegeben werden. Beispiel: megaport.com,gmail.com
-
Metadata URL – Die zum Herunterladen der IdP-Metadaten-Datei verwendete URL. Die Metadaten-Datei ist ein XML-Dokument, das Informationen enthält, die für die Interaktion mit dem IdP erforderlich sind, z. B. Identifikatoren, Endpunkt-URLs und öffentliche Schlüssel.
-
Attribute mapping details (Attribut-Zuordnungsdetails)- Attribute oder Felder, die vom IdP zu Megaport zugeordnet wurden.
So überprüfen Sie die SSO-Details für Ihre Firma
-
Besuchen Sie das Megaport Portal und melden Sie sich an.
-
Wählen Sie „Company“ (Firma) > „Security Settings“ (Sicherheitseinstellungen).
Die Spalte Provider Identity (Provider-Identität) zeigt den benutzerdefinierten Namen der konfigurierten IdP-Verbindung an, die Spalte Type (Typ) zeigt den konfigurierten SSO-Typ an, und die Spalte „Actions“ (Aktionen) zeigt die mit Ihrer Rolle verbundenen gültigen Aktionen an.
Hinweis
- Es wird nur SAML-basiertes SSO unterstützt.
- Derzeit kann in Megaport nur genau eine IdP-Verbindung konfiguriert werden.
- Diese Seite kann nur von Firmen-Admins angezeigt werden.
-
Klicken Sie auf Edit (Bearbeiten), um die für Ihre Firma konfigurierten SSO-Details zu überprüfen.
Überprüfen des SSO-Status der Benutzer
Als Firmen-Admin können Sie den aktuellen Status des Erzwingens von SSO-Anmeldedaten für Ihre Benutzer anzeigen, die Zugriff auf die Anmeldung beim Megaport Portal haben. So können Sie das Sicherheitsrisikoprofil für Benutzer mit Zugang zu Megaport-Diensten verwalten.
Folgende Symbole werden angezeigt, wenn SSO konfiguriert ist:
Symbol | Beschreibung |
---|---|
Die E-Mail-Domäne des Benutzers ist mit einer SSO-Domäne verknüpft, und der Benutzer verwendet bei der Anmeldung beim Megaport Portal standardmäßig SSO. | |
Die E-Mail-Domäne des Benutzers ist nicht mit einer SSO-Domäne verknüpft, der Benutzer kann sich beim Megaport Portal jedoch mit anderen Authentifizierungsmethoden anmelden. Das heißt, mit Benutzername und Passwort oder über Google. | |
SSO wird für die Firma erzwungen, und der Benutzer ist nicht SSO-kompatibel. Der Zugriff ist untersagt, und der Benutzer kann sich nicht beim Megaport Portal anmelden. |
So überprüfen Sie den SSO-Status der Benutzer
-
Besuchen Sie das Megaport Portal und melden Sie sich an.
-
Wählen Sie „Company > Manage Users“ (Unternehmen > Benutzer verwalten).
-
Die Spalte Role zeigt die Rolle, die der Benutzer innerhalb der Firma innehat, und die Spalte SSO Compatibility (SSO-Kompatibilität) zeigt den SSO-Status des Benutzerkontos. Klicken Sie auf die Auf- und Abwärtspfeile neben dem Spaltennamen, um nach Benutzerrolle oder SSO-Status oder nach einer anderen verfügbaren Spalte zu sortieren.