SSO-Konfiguration (Azure AD, OIDC, SAML2)
Aktivieren Sie die Unternehmensauthentifizierung mit Ihrem Identitätsanbieter
KaliaOps unterstützt Single Sign-On (SSO) über OAuth2/OIDC- und SAML2-Protokolle, sodass Ihre Benutzer sich mit ihren Unternehmensanmeldedaten von Azure AD, Okta, Auth0, Keycloak, Google Workspace oder einem SAML2-kompatiblen Identitätsanbieter authentifizieren können. Die Konfiguration dauert weniger als 15 Minuten.
Übersicht
Single Sign-On (SSO) ermöglicht Ihren Benutzern den Zugriff auf KaliaOps mit ihren Unternehmensanmeldedaten, wodurch separate Passwörter überflüssig werden. KaliaOps unterstützt zwei Authentifizierungsprotokolle:
- OAuth2/OIDC: Verwendet von Azure AD, Okta, Auth0, Keycloak, Google Workspace
- SAML2: Verwendet von ADFS, Ping Identity, OneLogin und älteren Unternehmens-IdPs
Warum SSO statt LDAP?
Als Cloud-SaaS-Plattform kann KaliaOps keine direkte Verbindung zu Ihren lokalen LDAP/AD-Servern herstellen (die typischerweise hinter Firewalls liegen). SSO-Protokolle sind speziell für internetbasierte Authentifizierung konzipiert und sind der Standard für Cloud-Unternehmensanwendungen.
Azure AD-Konfiguration
App-Registrierung erstellen
Gehen Sie im Azure-Portal zu App-Registrierungen und klicken Sie auf Neue Registrierung:
- Name: KaliaOps SSO
- Unterstützte Kontotypen: Nur Konten in diesem Organisationsverzeichnis
- Umleitungs-URI: Kopieren Sie die in KaliaOps Einstellungen > SSO angezeigte URI
Client-ID und Mandanten-ID abrufen
Nach dem Erstellen der App-Registrierung kopieren Sie die folgenden Werte:
- Anwendungs-ID (Client): Dies ist Ihre Client-ID
- Verzeichnis-ID (Mandant): Dies ist Ihre Azure-Mandanten-ID
Client-Geheimnis erstellen
Gehen Sie zu Zertifikate und Geheimnisse, klicken Sie auf Neues Clientgeheimnis und kopieren Sie den Wert sofort (er wird nicht erneut angezeigt).
API-Berechtigungen konfigurieren
Gehen Sie zu API-Berechtigungen und fügen Sie Microsoft Graph delegierte Berechtigungen hinzu:
- openid
- profile
- User.Read
Klicken Sie auf Administratorzustimmung erteilen, um diese Berechtigungen zu genehmigen.
KaliaOps konfigurieren
Gehen Sie in KaliaOps zu Einstellungen > Single Sign-On und geben Sie ein:
- Anbieter: Azure AD
- Client-ID: Ihre Anwendungs-ID
- Client-Geheimnis: Ihr Geheimniswert
- Azure-Mandanten-ID: Ihre Verzeichnis-ID
Klicken Sie auf Speichern und verwenden Sie die Schaltfläche Verbindung testen zur Überprüfung.
Generische OIDC-Konfiguration
Für andere Identitätsanbieter (Okta, Auth0, Keycloak, Google Workspace) verwenden Sie die generische OIDC-Konfiguration.
Erforderliche Informationen
- Client-ID: Anwendungskennung von Ihrem IdP
- Client-Geheimnis: Geheimer Schlüssel von Ihrem IdP
- Aussteller-URL: OIDC-Aussteller-URL Ihres IdP
Beispiele für Aussteller-URLs
- Okta: https://ihre-org.okta.com
- Auth0: https://ihr-tenant.auth0.com
- Keycloak: https://keycloak.example.com/realms/ihr-realm
- Google Workspace: https://accounts.google.com
Stellen Sie sicher, dass Sie die Umleitungs-URI in Ihrem IdP konfigurieren: Kopieren Sie sie aus KaliaOps Einstellungen > SSO.
SAML2-Konfiguration
Für SAML2-basierte Identitätsanbieter (ADFS, Ping Identity, OneLogin) müssen Sie Metadaten zwischen KaliaOps und Ihrem IdP austauschen.
Informationen von Ihrem IdP
- IdP Entity ID: Eindeutige Kennung Ihres Identitätsanbieters
- IdP SSO URL: URL, zu der Benutzer zur Authentifizierung weitergeleitet werden
- IdP-Zertifikat: X.509-Zertifikat zur Signaturvalidierung (PEM-Format)
Informationen für Ihren IdP
- SP Entity ID: https://kaliaops.com/{tenant}/auth/saml2/metadata
- ACS URL: https://kaliaops.com/{tenant}/auth/saml2/acs
- NameID-Format: E-Mail-Adresse
Attributzuordnung
Konfigurieren Sie Ihren IdP so, dass folgende SAML-Attribute gesendet werden:
- E-Mail (erforderlich)
- Vorname und Nachname (optional, für automatische Bereitstellung)
- Gruppen (optional, für Zugangskontrolle)
Benutzerbereitstellung
KaliaOps kann automatisch Benutzerkonten erstellen, wenn sich Mitarbeiter zum ersten Mal über SSO anmelden.
Benutzer automatisch erstellen
Wenn aktiviert, werden neue Benutzer automatisch mit ihren Informationen vom Identitätsanbieter erstellt. Sie können eine Standardrolle für diese Benutzer festlegen.
Mit Mitarbeitern verknüpfen
Wenn aktiviert, versucht KaliaOps, neue SSO-Benutzer mit bestehenden Mitarbeitern in Ihrer CMDB per E-Mail oder Name abzugleichen. Dies verknüpft das Benutzerkonto automatisch mit dem Mitarbeiterdatensatz.
Zugangskontrolle nach Sicherheitsgruppe
Sie können den SSO-Zugriff auf Mitglieder einer bestimmten Sicherheitsgruppe beschränken. Nur Benutzer, die dieser Gruppe angehören, können sich anmelden. Andere sehen eine Meldung «Zugriff verweigert».
Tests und Fehlerbehebung
Verwenden Sie nach der SSO-Konfiguration die Schaltfläche Verbindung testen, um zu überprüfen, ob KaliaOps mit Ihrem Identitätsanbieter kommunizieren kann.
Häufige Probleme
- Ungültiger State-Parameter
- Dies deutet auf ein CSRF-Schutzproblem hin. Stellen Sie sicher, dass Cookies aktiviert sind und die Umleitungs-URI korrekt konfiguriert ist.
- Gruppenzugriff verweigert
- Der Benutzer ist kein Mitglied der erlaubten Sicherheitsgruppe. Überprüfen Sie die Gruppenmitgliedschaft in Ihrem IdP.
- Ungültige OIDC-Discovery-Antwort
- Die Aussteller-URL ist falsch. Überprüfen Sie, ob Sie auf {issuer}/.well-known/openid-configuration zugreifen können.
- Signaturvalidierung fehlgeschlagen (SAML2)
- Das IdP-Zertifikat ist falsch oder abgelaufen. Laden Sie das aktuelle Zertifikat von Ihrem IdP herunter.
- Unterstützung für Azure AD, Okta, Auth0, Keycloak, Google Workspace
- OAuth2/OIDC- und SAML2-Protokolle
- Automatische Benutzerbereitstellung bei der ersten Anmeldung
- Zugangskontrolle basierend auf Sicherheitsgruppen
- Optionale 2FA zusätzlich zur SSO-Authentifizierung