Einführung
Die Benutzer können sich entweder über das integrierte Authentifizierungssystem von Domo oder die einmalige Anmeldelösung (Single Sign-On, SSO) eines unterstützten Anbieters unter Verwendung der Security Assertion Markup Language(SAML)-Authentifizierung bei Domo anmelden. (Die Systeme können nicht gemischt werden.)
Mithilfe von SAML können Administratoren die einmalige Anmeldefunktion aktivieren. Sobald das einmalige Anmelden aktiviert wurde, werden neue Benutzer automatisch vom LDAP bereitgestellt und LDAP-Gruppen können von einem vorhandenen Identitätsanbieter importiert werden.
Um SAML verwenden zu können, müssen Sie über einen Cloud Identity Provider (IDP) oder einen Verbundservice verfügen, der die Authentifizierung über SAML 2.0 unterstützt. Weitere Informationen über SAML 2.0 finden Sie unter http://en.m.wikipedia.org/wiki/SAML_2.0
Dieses Thema beschreibt die Komponenten der Registerkarte für das einmalige Anmelden in der Benutzeroberfläche in Domo. Danach finden Sie schrittweise Anleitungen, die Ihnen die Konfiguration der SSO beim IDP und in Domo erklären.
Hinweise:
-
Durch die Aktivierung von SSO wird die traditionelle Anmeldung bei Domo aufgehoben. Um Störungen zu vermeiden, sollten die Benutzer der Anwendung beim IDP vor der Aktivierung zugeordnet sein.
-
Nachdem SSO aktiviert wurde, müssen neu eingeladene Benutzer beim Identitätsanbieter eventuell Domo zugewiesen werden, bevor sie sich anmelden können (abhängig von den IDP-Richtlinien des Unternehmens).
-
Wenn SSO aktiviert ist, Sie aber nicht in der Lage sind, sich anzumelden, können Sie sich auch mithilfe Ihrer früheren Domo-Anmeldeinformationen anmelden. Verwenden Sie dazu den folgenden Link: https://<subdomain>.domo.com/auth/index?domoManualLogin=true. Sie müssen über die Sicherheitsrolle eines „Administrators“ verfügen, um diese manuelle Anmeldung verwenden zu können. Weitere Informationen über Sicherheitsrollen finden Sie unter Sicherheitsrollenreferenz.
-
Sie können SSO jederzeit wieder deaktivieren. Dadurch wird die traditionelle Anmeldung mithilfe von E-Mail und Kennwort wieder aktiviert. Benutzer, die bereits vorhandene Anmeldeinformationen besitzen, können ihre alten Kennwörter verwenden oder ihre Kennwörter über die Anmeldeseite zurücksetzen. Benutzer mit Administratorsicherheitsrollen können für die jeweilige Person das Kennwort auch manuell über die Administratoreinstellungen auf der Registerkarte Personen zurücksetzen. Dazu müssen Sie auf Kennwort zurücksetzen klicken.
-
Benutzer der Domo Mobile-Anwendung können sich bei Domo über die Unterdomäne Ihres Unternehmens anmelden. Sie müssen dazu den IDP-Benutzernamen und das -Kennwort in der Webansicht eingeben. Damit SSO mit der Mobile App verwendet werden kann, ist eine vom Dienstanbieter initiierte Authentifizierung notwendig.
Um sich bei Workbench anzumelden, während SSO aktiviert ist, müssen Sie ein Domo-Administrator sein. Workbench verwendet Ihre E-Mail-Adresse und Ihr Kennwort, das Sie vor der Aktivierung von SSO in Domo erstellt hatten. Falls Sie Ihr Kennwort zurücksetzen müssen, gehen Sie zu https://<subdomain>.domo.com/auth/index?domoManualLogin=true, klicken Sie auf Kennwort vergessen und folgen Sie den Anweisungen.
Bestandteile der Registerkarte „Einmaliges Anmelden“
Die folgende Tabelle listet die verschiedenen Komponenten der Registerkarte Administrationseinstellungen > Sicherheit > Einmaliges Anmeldenbei Domo auf und beschreibt diese:
Komponente |
Beschreibung |
---|---|
Identitätsanbieter-Endpunkt-URL |
Die URL, an die Ihre SAML-Anforderung gesendet wurde. Diese URL wird von Ihrem IDP oder Verbunddienst bereitgestellt. |
Entitäts-ID |
Der eindeutige Bezeichner der Domo-Instanz, der die SAML-Anforderung stellt. Dieser Bezeichner wird manchmal vom IDP als „Aussteller-ID“ oder „Identitäts-ID“ bereitgestellt und hat normalerweise das Format einer URL. Dieser Wert wird auch als „Entitäts-ID des Dienstanbieters“ bezeichnet. Dieses Feld wird nicht unbedingt für alle Konfigurationen benötigt. In diesem Fall kann das Feld leer bleiben. |
X.509-Zertifikat |
Das Zertifikat ist vom Identitätsanbieter signiert und schafft Vertrauen zwischen Domo und dem IDP. Dieses Zertifikat wird immer vom IDP ausgestellt und in Domo hochgeladen. Hinweis: Wenn Sie Google Chrome verwenden, muss das Zertifikat im .PEM-Format ausgestellt sein. Wenn Sie ein Zertifikat im .CERT-Format haben, benennen Sie die Datei um, sodass sie eine .PEM-Erweiterung hat, und laden Sie sie anschließend hoch.
|
Gruppen vom Identitätsanbieter importieren |
Ermöglicht es Domo, Daten über die Gruppenzugehörigkeit aus der SAML-Assertion nach Domo zu importieren. Diese importierten Gruppen erscheinen auf Ihrer „Gruppen“-Seite als „Verzeichnisgruppen“ und können genau wie die in Domo erstellten Gruppen verwendet werden. Da diese Gruppen von Ihrem IDP bereitgestellt werden, können sie nicht in Domo bearbeitet werden. Damit diese Funktion verwendet werden kann, muss Ihr IDP „Gruppe“ als Attribut übertragen. |
Nur eingeladene Personen können auf Domo zugreifen |
Beschränkt den Zugriff auf Domo auf Personen, die zur Teilnahme an Domo eingeladen wurden. |
SAML-Assertion-Endpunkt-URL |
Der Endpunkt, an den der IDP die SAML-Anforderung sendet. Sie müssen diese URL beim Identitätsanbieter kopieren und einfügen, um die Einrichtung abzuschließen. In manchen Fällen müssen Sie bei Ihrem IDP nur Ihre Unterdomäne (beispielsweise „acmecorp“) eingeben. |
Konfigurieren der einmaligen Anmeldefunktion
Um das einmalige Anmelden mit SAML ordnungsgemäß in Domo zu implementieren, müssen Sie die SSO sowohl in Ihrem Identitätsanbieter als auch auf der Registerkarte Administratoreinstellungen > Sicherheit > Einmaliges Anmelden in Domo konfigurieren.
So konfigurieren Sie die einmalige Anmeldefunktion:
-
Konfigurieren Sie das einmalige Anmelden für Domo in Ihrem IDP.
Da Anwendungen in den verschiedenen IDPs unterschiedlich konfiguriert werden, schlagen Sie die Einrichtung am besten in der Dokumentation Ihres IDPs nach. In der folgenden Liste werden jedoch bestimmte SSO-Komponenten beschrieben, die bei den meisten IDPs zu finden sind.Komponente
Anweisungen
Integrationstyp
Wählen Sie SAML 2.0 als Integrationstyp aus.
Anwendungslogo
Wenn Sie aufgefordert werden, ein Anwendungslogo bereitzustellen, gehen Sie wie folgt vor:
SSO-URL für Identitätsanbieter
Die URL, an die Domo die SAML-Anforderung sendet. Kopieren Sie diese URL vom Feld SAML-Assertion-Endpunkt-URL in Administrator > Sicherheit > Einmaliges Anmelden in Domo ein.
Zielgruppen-URI (Entitäts-ID des Dienstanbieters)
Geben Sie die URL für die gewünschte Zielgruppe ein.
Standardmäßiger Relaiszustand
Lassen Sie dieses Feld leer, da Domo es während der App-Konfiguration nicht verwendet.
Benutzername für die Anwendung
Geben Sie die E-Mail-Adresse des Benutzers als Benutzernamen ein.
SAML-Attribute
Wenn festgelegt werden soll, welche Attribute an Domo übertragen werden, verwenden Sie die folgenden Namen für die jeweiligen Attribute. (Alle Attributnamen sollten kleingeschrieben werden, mit Ausnahme von SAML_SUBJECT. Die Attribute „email“ und „name“ sind erforderlich, alle anderen sind optional.)
Attributname
Beschreibung
Format
SAML_SUBJECT
E-Mail
someone@acme.com
email
E-Mail
someone@acme.com
group
Verzeichnisgruppen
CN = Some Group, OU = Some Org, DC = Acme
title
Berufsbezeichnung
Produktmanager
phone
Telefonnummer
Jedes Format
name
Vollständiger Name
Jon Smith
Zertifikat
Laden Sie das vom IDP ausgestellte Zertifikat herunter. Sie werden dieses Zertifikat nach Domo hochladen, wenn Sie SSO in Domo konfigurieren.
-
Stellen Sie sicher, dass innerhalb des IDP nur angemessene Benutzer Zugriff auf Domo haben.
-
Wählen Sie in Domo
> Administrator aus.
Die Administratoreinstellungen werden geöffnet. -
Wählen Sie Sicherheit > Einmaliges Anmelden aus.
-
Klicken Sie auf Einmalanwendung aktivieren.
-
Geben Sie im Feld Identitätsanbieter-Endpunkt-URL die URL ein, an die die SAML-Anforderung gesendet werden soll.
-
Geben Sie im Feld Entitäts-ID den Bezeichner der Domo-Instanz ein, die die SAML-Anforderung stellt. Dies sollte mit dem „Zielgruppen-URI“, den Sie im IDP eingegeben haben, übereinstimmen.
-
Laden Sie das X.509-Zertifikat hoch, indem Sie auf
klicken, zum Zertifikat auf Ihrer Festplatte navigieren und auf Öffnen klicken.
-
(Optional) Wenn Sie von Ihrem IDP automatisch Gruppen importieren möchten, aktivieren Sie das Feld Gruppen vom Identitätsanbieter importieren.
-
Falls Sie das noch nicht getan haben, kopieren Sie die URL vom Feld SAML-Assertion-Endpunkt-URL in die SSO-URL des Identitätsanbieters im IDP.
-
Klicken Sie auf Verbindung testen, um sicherzustellen, das alles ordnungsgemäß konfiguriert ist.
-
Durch das Klicken auf Verbindung testen, wird eine tatsächliche Anmeldung mit Ihren Anmeldeinformationen simuliert und überprüft, ob die SAML-Assertion wie erwartet zurückgesendet wurde.
Hinweis: Der Verbindungstest funktioniert nur, wenn Sie sich selbst im IDP Zugriff auf Domo eingerichtet haben.
-
(Optional) Wenn Sie die zurückgegebenen Attribute sehen möchten, klicken Sie auf Details anzeigen.
-
Klicken Sie auf Änderungen speichern, um SSO zu aktivieren.
Dadurch wird verifiziert, dass die Testverbindung erfolgreich war, und SSO ist nun für Ihre Umgebung aktiviert. -
Melden Sie sich aus Domo ab, schließen Sie Ihren Browser und löschen Sie die Browsercookies (oder öffnen Sie einen anderen Browser).
Wenn Sie sich ab- und gleich wieder anmelden, ohne die Cookies zu löschen, führt das zu einem Problem mit dem Sitzungstoken und verursacht einen Fehler.
Übergang zur einmaligen Anmeldefunktion
Beachten Sie die folgenden Aspekte beim Übergang vom integrierten Authentifizierungssystem in Domo zum einmaligen Anmelden:
-
Überprüfen Sie vor der Implementierung der einmalige Anmeldefunktion, dass die E-Mail-Adressen für Konten in Domo mit den E-Mail-Adressen für Konten in Ihrem System übereinstimmen.
-
Domo kann die Benutzer bei der Anmeldung nur aufgrund der vorhandenen E-Mail-Adressen identifizieren.
-
Wenn sich ein Benutzer über die einmalige Anmeldefunktion anmeldet und die E-Mail-Adresse stimmt nicht mit einem bereits vorhandenen Konto überein, erstellt Domo ein neues Konto. Für dieses Konto müssen Sie Gruppenzugehörigkeit und Inhaltszugriff konfigurieren.
Verwenden der einmaligen Anmeldefunktion in Domo
Wenn sich Benutzer über das einmalige Anmelden (Single Sign-On, SSO) in Domo anmelden, erfolgt das An- und Abmelden auf anderem Weg als bei Verwendung des integrierten Authentifizierungssystems von Domo.
Anmelden bei Domo mithilfe der einmaligen Anmeldefunktion
-
Wenn sie von ihrem System authentifiziert wurden, können sich Benutzer unter Verwendung ihrer bereits vorhandenen Anmeldeinformationen mit Domo verbinden.
Abhängig vom Verzeichnistyp, dem Betriebssystem und dem Webbrowser müssen Benutzer ihre Anmeldeinformationen eventuell nicht angeben, sondern werden nahtlos angemeldet. -
Wenn die Benutzer eine Verbindung zu Domo herstellen möchten, aber von ihrem System noch nicht authentifiziert wurden, wird ihnen ein einfacher Anmeldevorgang für ihr System vorgelegt, bevor die Verbindung zu Domo hergestellt wird.
Anmelden bei Domo über Workbench mithilfe der einmaligen Anmeldefunktion
Workbench verwendet jetzt Zugriffstoken für die Authentifizierung. Workbench-Instanzen können nicht mehr länger mithilfe des einmaligen Anmeldens erfolgen.
Abmelden bei Domo mithilfe der einmaligen Anmeldefunktion
Um sich vollständig abzumelden, müssen Sie sich bei Domo abmelden und den Webbrowser schließen.
So melden Sie sich bei Domo mithilfe der einmaligen Anmeldefunktion ab:
-
Bewegen Sie die Maus über das Benutzermenü
und wählen Sie Abmelden aus.
Nachdem Sie sich abgemeldet haben, erscheint eine Anmeldeseite. -
Schließen Sie den Webbrowser.
Um den Abmeldevorgang vollständig abzuschließen, müssen Sie den Webbrowser schließen.
Verwenden von Domo mit der einmaligen Anmeldefunktion
Die folgenden Funktionen stehen Ihnen nicht zur Verfügung, wenn Sie Domo mit der einmaligen Anmeldefunktion verwenden:
-
Zusenden einer E-Mail aufgrund eines vergessenen Kennworts
-
Änderung des Kennworts im Profil
-
Weitere Informationen über die Einstellung der Kennwortanforderungen finden Sie unter der Registerkarte Sicherheit.
-
Weitere Informationen zu Benutzern, die noch nicht bei Domo angemeldet sind, finden Sie unter Benutzer.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.