Wie können wir dir helfen?

SAML Single Sign-on

Es ist endlich möglich, SAML SSO mit monday.com einzurichten! In diesem Artikel wird erklärt, wie das funktioniert! 3, 2, 1... los geht's!

 

Was ist SAML? 

Security Assertion Markup Language (SAML) bietet Benutzern Zugriff auf monday.com (SP) über einen Identitätsanbieter (IDP) deiner Wahl. Es funktioniert durch die Übertragung der Identität des Benutzers von einem Ort (dem Identitätsanbieter) an einen anderen (monday.com). Die Aktivierung von SAML über monday.com kann in wenigen einfachen Schritten durchgeführt werden!

 

Hinweis: SAML SSO ist nur für Enterprise-Kunden verfügbar. Google Single Sign-On ist für Pro- und Enterprise-Kunden verfügbar. Um mehr über Google Single Sign-On zu erfahren, klicke hier.

 

Schritt 1: Konfiguriere deinen Identitätsanbieter

Der erste Schritt ist die Einrichtung einer Verbindung für monday.com SSO – auch bekannt als Konnektor – mit deinem IDP. Wir arbeiten derzeit mit drei Hauptanbietern zusammen: OKTA, Azure AD und OneLogin, aber du hast auch die Möglichkeit, deinen eigenen Anbieter zu nutzen.

  • Um SAML mit OKTA zu aktivieren, klicke hier.
  • Um SAML mit OneLogin zu aktivieren, klicke hier.
  • Um SAML mit Azure AD zu aktivieren, klicke hier.
  • Um SAML mit Hilfe des benutzerdefinierten SAML 2.0 zu aktivieren, klicke hier .

Schritt 2: Einrichtung von SAML SSO für monday.com

Sobald du deinen Identitätsanbieter konfiguriert hast, musst du nur noch SAML in monday.com aktivieren. Klicke dazu auf dein Profilbild, und wähle „Admin“.

Frame_1_-_2021-02-24T101609.492.png

Im Admin-Bereich wählst du auf der linken Seite den Bereich „Sicherheit“. Klicke dann auf „Single Sign-On (SSO)“ auf der Registerkarte Login. In unserem Beispiel verwenden wir OKTA, aber du kannst auch eine der anderen Optionen wählen.

image_1__56_.png

 

Wähle deine IDP aus der Liste aus:

image_1__57_.png

Hinweis: Die Formate der Felder SAML SSO Url und Identity provider issuer sind in jedem IDP leicht unterschiedlich. Wenn du einen IDP aus der Liste auswählst, erhältst du einen Hinweis auf das erwartete Werteformat für diese Felder innerhalb des IDP.
Dein IDP erscheint nicht in der Liste? Keine Panik! Wähle einfach die Option Custom SAML 2.0 und übernimm die Felder SAML SSO Url und Identity provider issuer aus deinem IDP.

 

Fülle die Details aus deinem IDP aus

Fülle die folgenden Felder mit Daten aus deinem IDP aus:

  • SAML SSO Url
  • Herausgeber des Identitätsproviders
  • Öffentliches Zertifikat

Frame_1_-_2021-02-24T101048.901.png

Hinweis: Wenn deine Organisation verschlüsselte SAML-Antworten senden möchte, wähle „Monday Zertifikat aktivieren“. Dadurch erhältst du das öffentliche Verschlüsselungszertifikat, das du in den IDP eingeben musst, um sicherzustellen, dass monday.com die SAML-Antwort entschlüsseln kann.

 

Einschränkungs-Richtlinie auswählen

Beim Einrichten von SSO muss der Administrator die Richtlinienebene für Anmeldebeschränkungen auswählen, d. h. er muss definieren, wer für die Anmeldung die SSO-Authentifizierung verwenden muss oder ob sie optional ist.

Wichtiger Hinweis: Bei der Erstkonfiguration von SSO empfehlen wir, SSO optional (die dritte Option) zu machen, damit du dich im Falle von Fehlern mit dem Kennwort anmelden kannst. Wenn die Konfiguration erfolgreich abgeschlossen ist, kann die Auswahl aktualisiert werden.

image_1__58_.png

In diesem Abschnitt gibt es drei Optionen:

  • Option 1: Alle Benutzer (einschließlich Gäste) müssen die SSO-Authentifizierung verwenden, um sich bei monday.com anzumelden. Diese Option bedeutet, dass allen Benutzern der Zugriff auf monday.com innerhalb des Identity Providers ermöglicht wird, damit sie sich anmelden können.
  • Option 2: Alle Benutzer, ausgenommen Gäste, müssen sich über die SSO-Authentifizierung bei monday.com anmelden. Gäste hingegen können sich stattdessen mit einer E-Mail und einem Passwort anmelden.
    • Dies ist die am häufigsten verwendete Richtlinienoption, da es sich bei Gästen oft um externe Benutzer handelt, die nicht von der internen IT einer Organisation verwaltet werden.
  • Option 3: Die Verwendung der SSO-Authentifizierung ist für alle optional. Alle Benutzer und Gäste können sich entweder über SSO oder die E-Mail-Adresse anmelden.

Wenn dies auf die Sicherheitsrichtlinien deines Unternehmens zutrifft, empfehlen wir die Verwendung der Option „Alle Benutzer außer Gäste müssen die SAML-Authentifizierung verwenden“. Das bedeutet, dass jeder Benutzer des Kontos, abgesehen von Gästen, sich mit SSO anmelden muss. Gäste können zu gemeinsam nutzbaren Boards eingeladen werden und sich wie gewohnt mit einer E-Mail und einem Passwort anmelden. In diesem Fall müssen die Gast-E-Mails im IDP des Kontos nicht aktiv sein, um sich anmelden zu können.

 

Schritt 3: Bereitstellung

Standardmäßig verwendet monday.com Just-In-Time-Bereitstellung, d. h. der Benutzer wird bei der ersten Anmeldung in monday.com angelegt, wenn er nicht existiert.

Wenn du die SCIM-Bereitstellung aktivieren möchtest, generiere bitte das Token und folge deinen IDP-Anweisungen, um dies zu aktivieren. Monday.com unterstützt IDP Initiated Flow oder SP Initiated Flow. Wir haben eine offizielle monday.com-Anwendung im Okta-Anwendungskatalog. Um dies zu aktivieren, klicke hier.

Darüber hinaus haben wir eine offizielle App von monday.com im OneLogin-Anwendungskatalog. Zum Aktivieren klicke hier.

Zu guter Letzt haben wir eine offizielle App von monday.com im Azure AD-Anwendungskatalog. Zum Aktivieren klicke hier.

 

Hinweis: SCIM-Bereitstellung ist nur für Enterprise-Kunden verfügbar.

 

Was passiert, wenn dein SSO aktiviert ist?

Wenn du die Einrichtung deines SSO abgeschlossen hast, erhält jedes Mitglied eine E-Mail, in der es über die Änderung informiert wird (auch wenn die SSO-Einschränkungsrichtlinie auf optional eingestellt ist).


Hier ist ein Beispiel für die E-Mail:

mceclip3.png

 

In der E-Mail werden die Mitglieder aufgefordert, ihre Konten auf monday.com mit deinem Identitätsanbieter zu verbinden. Von nun an können sich alle Mitglieder mit ihrem Identitätsanbieter-Konto bei monday.com anmelden.

 

Häufige Fehler nach der Anmeldung bei deinem SSO-Provider

Einige Benutzer haben möglicherweise Schwierigkeiten und können SSO nicht verwenden. Nach der Eingabe der Anmeldeinformationen des Benutzers auf der Anmeldeseite des SSO-Anbieters wird der Benutzer beispielsweise nicht zur Seite monday.com zurückgeleitet, sondern erhält eine Fehlermeldung, die besagt, dass der angemeldete Benutzer „username@email.com“ keiner Rolle für die Anwendung zugewiesen ist (der Wortlaut kann je nach SSO-Anbieter leicht unterschiedlich sein). Das bedeutet, dass die Administratoren des Kontos zum SSO-Anbieter gehen sollten, den dein Team verwendet, und diesen Benutzer dem Konto monday.com zuweisen/hinzufügen. 

Ein weiteres häufiges Problem tritt auf, wenn ein Benutzer seine E-Mail-Adresse ändert, was zu einem Fehler bei der Anmeldung führt. Darauf gehen wir im folgenden Abschnitt ein!

 

Was passiert, wenn sich die E-Mail-Adresse eines Benutzers ändert?

Wenn sich ein Benutzer mit SSO bei monday.com anmeldet, wird eine Back-End-Verbindung zwischen dem Identitätsanbieter (IDP) und der Benutzer-ID in monday.com hergestellt. Die Verbindung, genannt UID (Benutzer-ID), verbindet die Identität einer Person im IDP (ihren Namen, ihre E-Mail-Adresse) mit der E-Mail-Adresse, die dem Benutzer in monday.com zugeordnet ist.

Wenn ein Benutzer seine E-Mail-Adresse ändert, kann er sich erst wieder bei monday.com anmelden, wenn seine UID (Benutzer-ID) zurückgesetzt wurde. Der Grund dafür ist, dass die UID mit der vorherigen E-Mail-Adresse des Benutzers verbunden ist. Wenn die E-Mail-Adresse aktualisiert wird, wird sie nicht automatisch mit der vorhandenen UID verbunden. Wenn die UID zurückgesetzt wird, kann die vorherige Verbindung unterbrochen werden und es wird ein neuer Link zwischen der UID und der neu geänderten E-Mail-Adresse erstellt.

 

Schritte, wenn sich die E-Mail eines Benutzers ändert

Wenn sich die E-Mail-Adresse eines Benutzers ändert, führe einfach die beiden folgenden Schritte aus, und der Benutzer sollte sich im Handumdrehen wieder anmelden können ⬇️

 

1. Ändere die E-Mail des Benutzers auf dem IDP und innerhalb von monday.com

Zuallererst ist es wichtig, dass die E-Mail-Adresse des Benutzers sowohl auf der Seite des Identitätsanbieters als auch auf monday.com geändert wird. Um seine E-Mail-Adresse in monday.com zu ändern, kann der betreffende Benutzer die Schritte in diesem Artikel befolgen.

Hinweis: Du kannst die E-Mail einer anderen Person nicht ändern, selbst wenn du ein Administrator bist. Jeder Benutzer kann seine E-Mail nur selbst ändern.

 

2. Zurücksetzen der UID des Benutzers 

Sobald die E-Mail eines Benutzers auf der IDP und innerhalb von monday.com geändert wurde, ist es an der Zeit, seine UID zurückzusetzen! Gehe dazu auf die Registerkarte Benutzerverwaltung im Admin-Bereich des Kontos. Suche dort den Benutzer, der seine E-Mail-Adresse geändert hat, drücke auf das Drei-Punkte-Menü ganz rechts und wähle „SSO UID zurücksetzen“ aus:

Screen_Shot_2021-03-10_at_17.32_1.png

Sobald dies erfolgt ist, sollte sich der Benutzer mit seiner neuen E-Mail-Adresse erfolgreich bei seinem Konto einloggen können!

 

Wenn du Fragen hast, wende dich einfach über das Kontaktformular an unser Team. Wir sind rund um die Uhr erreichbar und helfen gerne!🙂