Single Sign-on (SSO) mit Microsoft: Einrichtung

Diese Neuigkeit betrifft Administratoren von Firmenzugängen mit mindestens zwei Benutzern.

Um Ihren Benutzern die Anmeldung bei portatour® mit dem Microsoft Konto Ihres Unternehmens zu ermöglichen, sind zwei Schritte notwendig: Einrichtung von Microsoft als Single Sign-on Provider in portatour® und die Zuordnung von Microsoft Benutzern zu portatour® Benutzern.

Einrichtung von Microsoft als Single Sign-on Provider

  1. Öffnen Sie im „Arbeitsbereich Firma“ die „Optionen“.
  2. Klicken Sie im Abschnitt „Sicherheit“ auf „Single Sign-on Provider > Hinzufügen > Microsoft“. Es erscheint folgendes Fenster:
  3. Sind Sie selbst Entra ID Administrator Ihres Microsoft Mandaten?
    • Wenn ja:
      1. Klicken Sie auf „Login mit Microsoft“.
      2. Melden sich mit Ihrem Microsoft Konto an.
      3. Bestätigen Sie die angeforderten Berechtigungen mit „Akzeptieren“.
    • Wenn nein:
      1. Klicken Sie auf „Mandanten-ID manuell eingeben“.
      2. Klicken Sie „Link kopieren“ und teilen Sie Ihrem Entra ID Administrator diesen Link mit, um damit die ‚portatour® single sign-on‘ Unternehmensanwendung zu installieren und die angeforderten Berechtigungen zu akzeptieren. Dabei erhält Ihr Administrator die Mandanten-ID.
      3. Tragen Sie die mitgeteilte Mandanten-ID ein.
  4. Tragen Sie im Feld „Name“ den Namen Ihres Microsoft Mandaten ein. Typischerweise ist das Ihr Firmenname. Es findet keine Überprüfung statt. Der Name dient Ihnen und Ihren Benutzern dazu, das korrekte Microsoft Konto zu identifizieren, wenn Sie mehrere Microsoft Mandaten haben.
  5. Klicken Sie „Speichern“.

Zuordnung von Microsoft Benutzern zu portatour® Benutzern

Es stehen Ihnen vier Möglichkeiten zur Verfügung, Microsoft Benutzer zu portatour® Benutzern zuzuordnen: Mittels einzelner Einladungsmails, mittels massenweiser Einladungsmails, mittels manueller Eingabe der Microsoft Objekt-IDs oder mittels Imports der Microsoft Objekt-IDs.

Zuordnung mittels Einladungsmail

  1. Öffnen Sie im „Arbeitsbereich Firma“ den Menüpunkt „Benutzer“.
  2. Klicken Sie auf den gewünschten Benutzer, um die Detailansicht des Benutzers zu öffnen.
  3. Klicken Sie im Abschnitt „Anmeldung mit SSO mit Microsoft“ auf „Einladung senden“.
  4. Der Benutzer erhält eine E-Mail mit einem Einladungslink. Dieser Einladungslink ist 30 Tage lang gültig.
  5. Nach Klick auf den Einladungslink meldet sich der Benutzer bei seinem Microsoft Konto an.
  6. Nach Anmeldung ist die Zuordnung erfolgreich erstellt. Sie erkennen dies, wenn auf der Benutzerdetailseite auch der Microsoft Benutzername (UPN) angezeigt wird.

Hinweise:

  • Damit die Zuordnung mittels Einladung funktioniert, muss aus Sicherheitsgründen die E-Mail-Adresse des Microsoft Benutzerkontos mit der des portatour® Benutzers übereinstimmen. Nach erfolgreicher Zuordnung können die E-Mail-Adressen auf beiden Seiten geändert werden, ohne dass die Zuordnung beeinträchtigt wird.
  • Um eine Einladung vorzeitig für ungültig zu erklären, klicken Sie auf das Papierkorb-Symbol.
  • Um eine neue Einladung zu senden, klicken Sie auf „Neue Einladung senden“. Die ursprüngliche Einladung wird damit ungültig.

 Zuordnung mittels massenweiser Einladungsmails

  1. Öffnen Sie im „Arbeitsbereich Firma“ den Menüpunkt „Benutzer“.
  2. Am Ende der Benutzerliste klicken Sie auf „Alle X bearbeiten“.
  3. Klicken Sie in der Spalte „Anmeldung mit SSO mit Microsoft“ im Abschnitt „X Benutzer haben weder eine Zuordnung zu einem Microsoft Benutzer noch eine Einladung“ auf „Einladungen senden“.

Hinweise:

  • Nutzen Sie in der Benutzerliste den Markiermodus oder die erweiterte Suche, um die betroffenen Benutzer dieses Vorgangs gezielt einzuschränken.
  • Es gelten die Hinweise für die einzelne Einladungsmail hier analog.

Zuordnung mittels Eingabe der Microsoft Objekt-ID

Für diese Vorgangsweise müssen Sie die Microsoft Objekt-ID des Benutzers kennen. Als Administrator Ihres Microsoft Mandanten finden Sie diese in der Benutzerverwaltung des Microsoft Entra Admin Centers.

  1. Öffnen Sie im „Arbeitsbereich Firma“ den Menüpunkt „Benutzer“.
  2. Klicken Sie auf den gewünschten Benutzer, um die Detailansicht des Benutzers zu öffnen.
  3. Klicken Sie im Abschnitt „Anmeldung mit SSO mit Microsoft“ auf „Microsoft Objekt-ID eingeben“
  4. Geben Sie die Microsoft Objekt-ID des Benutzers ein – am besten mittels Kopieren & Einfügen aus dem Microsoft Entra Admin Center.
  5. Klicken Sie „Speichern“.
  6. Der Benutzer kann sich danach sofort mittels SSO bei portatour® anmelden.
  7. Optional klicken Sie auf „Zugangslink senden“, damit der Benutzer via Mail den Link zur SSO-Login-Seite von portatour® erhält.
  8. Eine erfolgreiche Anmeldung durch den Benutzer erkennen Sie, wenn auf der Benutzerdetailseite auch der Microsoft Benutzername (UPN) angezeigt wird.

Hinweise:

  • Gehen Sie sorgfältig vor. Bei der Eingabe der Microsoft Objekt-ID findet keine Überprüfung statt, ob der Benutzer in Ihrem Microsoft Mandat existiert oder ob es sich um den gewünschten Benutzer handelt.
  • Eine Übereinstimmung der E-Mail-Adressen des Benutzers in portatour® und Microsoft ist in diesem Fall nicht erforderlich.

Zuordnung mittels Imports der Microsoft Objekt-IDs

Wenn Ihnen die Microsoft Objekt-IDs Ihrer Benutzer als Datei vorliegen, nutzen Sie den Benutzerimport, um bestehenden oder neuen Benutzern diese zuzuordnen.

Im Importassistenten ordnen Sie dem Feld „SSO Microsoft Objekt-IDs“ die entsprechende Spalte in Ihrer Datei zu und führen Sie dann in gewohnter Weise den Import durch.

Hinweise:

  • Es gelten die Hinweise für die Eingabe der Microsoft Objekt-ID hier analog.
  • Wenn das Feld „SSO Microsoft Objekt-IDs“ fehlt, haben Sie in portatour® Microsoft noch nicht als SSO Provider eingerichtet.
  • Der Name des Feldes enthält zusätzlich den von Ihnen festgelegten Namen des SSO Providers.
  • Falls Sie einem portatour® Benutzer mehrere Microsoft Benutzer zuordnen wollen, trennen Sie die Objekt-IDs mit einem Semikolon ‚;‘.

Deaktivieren von Single Sign-on

Automatische Sperre eines Benutzers

Wenn ein Benutzerkonto beim SSO Provider gesperrt oder gelöscht wird, kann sich der zugeordnete Benutzer in portatour® spätestens nach einer Stunde auch nicht mehr mittels SSO anmelden. Sie müssen dafür in portatour® nichts unternehmen. Sollte der Benutzer bereits mittels SSO angemeldet gewesen sein, wird er automatisch abgemeldet.

SSO-Anmeldung für einen Benutzer entfernen

Wenn Sie bei einem konkreten Benutzer keine SSO-Anmeldung mehr gestatten wollen, löschen Sie in der Benutzerdetailansicht die SSO-Zuordnung durch Klick auf das entsprechende Papierkorb-Symbol. Alternativ entfernen Sie beim Benutzerimport die Microsoft Objekt-ID aus der entsprechenden Zeile.

SSO-Provider deaktivieren oder löschen

Wenn Sie für alle Benutzer die SSO-Anmeldung deaktivieren wollen, deaktivieren Sie in den Firmenoptionen den entsprechenden Single Sign-on Provider.

Danach können Sie den SSO-Provider auch löschen. Es werden dabei sämtliche SSO-Zuordnungen der Benutzer gelöscht.

Sonstige Hinweise zu Single Sign-on

SSO-Anmeldung und Anmeldung mit Benutzername & Passwort

portatour® ermöglicht es, dass sich Benutzer sowohl mit Benutzername & Passwort als auch mittels SSO anmelden können. Wenn Sie SSO einführen, erfolgt dies für bestehende Benutzer unterbrechungsfrei und ohne Notwendigkeit strikter zeitlicher Abstimmung.

Beide Anmeldemöglichkeiten eines Benutzers sehen Sie in der Benutzerliste und verwalten diese in der Benutzerdetailansicht oder mittels Massenbearbeitung von Benutzern.

Anmeldung mit Benutzername & Passwort deaktivieren

Wenn Sie SSO erfolgreich eingeführt haben, können Sie auf Wunsch die Anmeldung mittels Benutzername & Passwort deaktivieren.

Klicken Sie in der Benutzerdetailansicht im Abschnitt „Anmeldung mit Benutzername & Passwort“ auf „Anmeldung deaktivieren“.

Alternativ nutzen Sie die Massenbearbeitung in der Benutzerliste. Stellen Sie jedenfalls vorher sicher, dass sich die betroffenen Benutzer schon erfolgreich mit SSO angemeldet haben, z.B. mittel „Suche > Erweitert > Anmeldung mittels SSO > möglich (Zuordnung genutzt)“

Mehrere SSO-Provider

portatour® ermöglicht Ihnen die Einrichtung mehrerer SSO-Provider. Dadurch werden u.a. folgende Szenarien unterstützt:

  • In portatour® arbeiten Benutzer aus unterschiedlichen Organisationen (Länder, Subunternehmen, Intern/Extern), wobei jede Organisation in einem separaten Microsoft Mandant verwaltet wird.
  • Sie wollen den SSO-Provider wechseln. Der Übergang erfolgt für die Benutzer unterbrechungsfrei, da beide Provider parallel funktionieren.

Vergeben Sie jedem SSO-Provider einen eindeutigen Namen. In der Benutzerdetailansicht und in der Benutzermassenbearbeitung sind die jeweiligen SSO-Provider in eigenen Abschnitten zu finden, beim Benutzerexport/-import in eigenen Spalten.

Mehrere SSO-Zuordnungen pro Benutzer

Bei einem Benutzer in portatour® können mehrere SSO-Zuordnungen hinterlegt werden. Dies ist für das oben angeführte Szenario des SSO-Providerwechsels nützlich.

Ebenso können unterschiedliche portatour® Benutzer demselben Benutzer eines SSO-Providers zugeordnet werden. Die portatour®-Benutzer dürfen sich dabei auch in unterschiedlichen portatour® Firmenzugängen befinden. Der Benutzer wird in solchen Fällen nach der SSO-Anmeldung aufgefordert, den gewünschten portatour® Benutzer auszuwählen, mit dem er weiterarbeiten möchte.

Dies ist zum Beispiel für jenes Szenario hilfreich, wo ein Administrator mehrere portatour® Firmenzugänge administriert und deshalb in jedem portatour® Firmenzugang ein separates Konto hat.

SSO in Verbindung mit Microsoft Dynamics CRM

Wenn Sie Microsoft Dynamics CRM als Datenquellsystem nutzen, ist SSO derzeit noch nicht möglich. Wir arbeiten bereits an einem Update, um SSO zu unterstützen.