In diesem Artikel erfährst du alles über die Möglichkeiten einer SAML Anbindung an presono.
presono unterstützt die Single-Sign-On (SSO-) Anmeldung über SAML. Dazu gibt es eine Schnittstelle zu presono, die eingerichtet werden muss. Die SAML Schnittstelle wird in presono ausschließlich zur User- und Rechteverwaltung eingesetzt.
Über diese Schnittstelle werden die User bei jedem Login den entsprechenden Usergruppen in presono zugewiesen. Es gibt also im SAML Usergruppen und in presono. Über die Schnittstelle werden diese einander zugewiesen. Wenn ein User also im SAML einer Usergruppe zugewiesen wurde, die in presono ebenfalls zugewiesen sind, kann sich der User über SAML in presono einloggen und bekommt automatisch die Rechte der jeweiligen Gruppe zugewiesen. Dabei kann eine Usergruppe auch an mehrere Gruppen in presono verweisen und anders herum.
Somit müssen User nicht mehr in presono angelegt werden, sondern werden automatisch angelegt und den entsprechenden Berechtigungsgruppen in presono zugewiesen, sobald die User sich über SAML in presono einloggen, sofern sie im SAML Gruppen dafür haben. Die User erscheinen dann im presono-UI auch erst, wenn sie sich einmal eingeloggt haben, da erst dann der User angelegt wird.
Es kann außerdem konfiguriert werden, ob die User, die über SAML ins Tool gebracht werden, einen eigenen Arbeitsbereich bekommen sollen oder nicht.
Wenn SAML bereits vom Kunden genutzt wird, kann die Schnittstelle auf beiden Seiten genutzt werden und die Anbindung kann individuell durchgeführt werden. Dies geschieht natürlich in Zusammenarbeit mit dem presono Team.
Wurde die Anmeldung über SAML eingerichtet, so erscheint statt dem presono-Login Screen (URL: https://my.presono.com) der SAML Login. Die User können sich nicht über die presono Anmeldemaske anmelden, es wird daher auch direkt auf die SAML Seite weitergeleitet.
Wenn gewünscht können aber natürlich noch einzelne User normal weiter über presono eingeladen und verwaltet werden. Diese können sich auch weiterhin über den presono-Anmeldescreen einloggen. Dieser ist im Web unter https://my.presono.com/login erreichbar und in der Desktop App muss beim SAML-Loginscreen Strg+L gedrückt werden. Dann erfolgt eine Weiterleitung zum presono-Anmeldescreen.
Auch die Rechtevergabe in presono selbst bleibt unverändert - manche oder alle Gruppen sind dann nur mit SAML Gruppen verbunden.
Technischer Hintergrund
Wir verwenden für unsere Authentisierungsmechanismen Auth0 (auth0.com) als Service. Auth0 übernimmt in der ADFS Konfiguration die Vermittlung zwischen dem Active Directory des Kunden und presono.
Die bisherigen Integrationen wurden über ADFS (Active Directory Federation Services) implementiert. Dazu wird unser Auth0 Tenant als Relying Party angelegt und dann die folgenden Claims mitgegeben:
- E-Mail-Address
- Display-Name
- User-Principal-Name
- Given-Name
- Surname
- Groups (oder custom roles)
Auth0 übernimmt bei erfolgreicher Authentisierung dann auch die Weiterleitung zu presono.
Verwaltung in presono
Um die SAML Einstellungen in presono verwalten zu können, muss das Gruppenrecht dafür gesetzt werden:
Wenn die SAML Schnittstelle eingerichtet ist, können die Referenzen bei den Gruppen in presono eingetragen werden. Es erscheint bei der Gruppenverwaltung ein neuer Reiter ganz rechts mit "SAML Referenzen". Dort können diverse Referenzen eingetragen werden. Somit werden dann die SAML Gruppen mit den presono Gruppen gemapt.
In den Konfigurationen kann dann noch für die gesamte Plattform eingestellt werden, ob die Nutzer, die über SAML angelegt werden, einen persönlichen Arbeitsbereich haben sollen oder nicht.