Security Assertion Markup Language (SAML) bietet Benutzern Zugriff auf monday.com (SP) über einen Identitätsanbieter (IDP) deiner Wahl. Es funktioniert durch die Übertragung der Identität des Benutzers von einem Ort (dem Identitätsanbieter) an einen anderen (monday.com). Die Aktivierung von SAML über monday.com kann in wenigen einfachen Schritten durchgeführt werden!
Konfigurieren deines Identitätsanbieters
Bevor die SAML SSO in monday.com eingerichtet werden kann, ist es wichtig, dass zunächst eine Verbindung für die monday.com SSO — auch als Connector — mit IDP eingerichtet wird. Wir arbeiten derzeit mit drei Hauptanbietern zusammen: OKTA, Entra ID (ehemals Azure AD) und OneLogin. Du hast jedoch auch die Option, deinen eigenen Anbieter zu nutzen.
- Um SAML mit OKTA zu aktivieren, klicke hier.
- Um SAML mit OneLogin zu aktivieren, klicke hier.
- Entra-ID (ehemals Azure AD), bitte hier klicken.
- Um SAML mit Hilfe des benutzerdefinierten SAML 2.0 zu aktivieren, klicke hier .
Nachdem du diesen Schritt abgeschlossen hast, ist es nun an der Zeit, dein monday.com Konto zu öffnen, um mit der Einrichtung von SAML SSO fortzufahren! Folge den nachstehenden Schritten, um fortzufahren. ⬇️
Schritt 1: Einrichtung von SAML SSO für monday.com
Sobald du deinen Identitätsanbieter konfiguriert hast, musst du nur noch SAML in monday.com aktivieren. Klicke dazu auf dein Profilbild in der oberen rechten Ecke deines Bildschirms und wähle „Verwaltung“.
Sobald du dich im Admin-Bereich befindest, wähle auf der linken Seite den Bereich „Sicherheit“ aus. Klicke dann auf „Single Sign-On (SSO)“, das auf dem Tab „Anmeldung“ aufgeführt ist. Klicke dann auf „SSO-Anbieter hinzufügen“. In unserem Beispiel verwenden wir OKTA, aber du kannst jede der anderen Optionen auswählen.
Wähle deine IDP aus der Liste aus:
Dein IDP erscheint nicht auf der Liste? Keine Bange! Wähle einfach die Option Benutzerdefiniertes SAML 2.0 aus und hole dir die SAML-SSO-URL- und Identitätsanbieter-Ausstellerfelder von deinem IDP.
Fülle die Details aus deinem IDP aus
Fülle die folgenden Felder mit Daten aus deinem IDP aus:
- SAML SSO Url
- Herausgeber des Identitätsproviders
- Öffentliches Zertifikat
Schritt 2: SSO-Verbindung prüfen
Sobald du alle erforderlichen Details für deinen SSO-Anbieter ausgefüllt hast, ist es an der Zeit, deine Verbindung zu testen! Beachte, dass dieser Schritt obligatorisch ist, um SAML für dein Konto zu aktivieren, oder bevor du andere Änderungen vornimmst.
Hierzu musst du einfach auf „SSO-Verbindung testen“ klicken, wie unten dargestellt:
Schritt 3: Einschränkungs- und Passwort-Richtlinie auswählen
Beim Einrichten von SSO muss der Administrator die Richtlinienebene für Anmeldebeschränkungen auswählen, d. h. er muss definieren, wer für die Anmeldung die SSO-Authentifizierung verwenden muss oder ob sie optional ist.
In diesem Abschnitt gibt es drei Optionen:
- Option 1: Alle Benutzer (einschließlich Gäste) müssen die SSO-Authentifizierung verwenden, um sich bei monday.com anzumelden. Diese Option bedeutet, dass allen Benutzern der Zugriff auf monday.com innerhalb des Identity Providers ermöglicht wird, damit sie sich anmelden können.
-
Option 2: Alle Benutzer, ausgenommen Gäste, müssen sich über die SSO-Authentifizierung bei monday.com anmelden. Gäste hingegen können sich stattdessen mit einer E-Mail und einem Passwort anmelden.
- Dies ist die am häufigsten verwendete Richtlinienoption, da es sich bei Gästen oft um externe Benutzer handelt, die nicht von der internen IT einer Organisation verwaltet werden.
- Option 3: Die Verwendung der SSO-Authentifizierung ist für alle optional. Alle Benutzer und Gäste können sich entweder über SSO oder die E-Mail-Adresse anmelden.
Wenn dies auf die Sicherheitsrichtlinien deines Unternehmens zutrifft, empfehlen wir die Verwendung der Option „Alle Benutzer außer Gäste müssen die SAML-Authentifizierung verwenden“. Das bedeutet, dass jeder Benutzer des Kontos, abgesehen von Gästen, sich mit SSO anmelden muss. Gäste können zu gemeinsam nutzbaren Boards eingeladen werden und sich wie gewohnt mit einer E-Mail und einem Passwort anmelden. In diesem Fall müssen die Gast-E-Mails im IDP des Kontos nicht aktiv sein, um sich anmelden zu können.
Beachte bitte: Die Passwortkonfiguration auf dem SSO-Bildschirm ist nicht nur für Gäste gedacht. Sie gilt für alle Kontomitglieder, die sich per E-Mail und Passwort anmelden, also auch für Mitglieder und Betrachter, wenn SSO als optional definiert ist.
Änderungen an der Passwortrichtlinie gelten nur für neue Passwörter und betreffen neue Benutzer, die sich anmelden, oder bestehende Benutzer, die ihre Passwörter geändert haben.
Schritt 4: SSO-Anbieter aktivieren
Nachdem du die oben aufgeführten Schritte 1 bis 3 erfolgreich durchgeführt hast, ist es an der Zeit, deinen SSO-Anbieter zu aktivieren! Jetzt musst du nur noch auf den Button „Aktivieren“ klicken und schon erhalten alle monday.com Benutzer eine E-Mail, in der erklärt wird, wie man sich mit dem ausgewählten SSO-Anbieter anmeldet, und schon kann es losgehen! 🙌
Bereitstellung
Standardmäßig verwendet monday.com Just-In-Time-Bereitstellung, d. h. der Benutzer wird bei der ersten Anmeldung in monday.com angelegt, wenn er nicht existiert.
Wenn du die SCIM-Bereitstellung aktivieren möchtest, generiere bitte das Token und folge deinen IDP-Anweisungen, um dies zu aktivieren. Monday.com unterstützt IDP Initiated Flow oder SP Initiated Flow. Wir haben eine offizielle monday.com-Anwendung im Okta-Anwendungskatalog. Um dies zu aktivieren, klicke hier.
Darüber hinaus haben wir eine offizielle App von monday.com im OneLogin-Anwendungskatalog. Zum Aktivieren klicke hier.
Zu guter Letzt haben wir eine offizielle App von monday.com im Anwendungskatalog von Entra ID. Zum Aktivieren klicke hier.
Was passiert, wenn dein SSO aktiviert ist?
Wenn du die Einrichtung deines SSO abgeschlossen hast, erhält jedes Mitglied eine E-Mail, in der es über die Änderung informiert wird (auch wenn die SSO-Einschränkungsrichtlinie auf optional eingestellt ist).
Hier ist ein Beispiel für die E-Mail:
Die E-Mail fordert die Mitglieder auf, ihre monday.com Konten mit deinem Identitätsanbieter zu verbinden.Ab sofort können sich alle Mitglieder mit ihrem Identitätsanbieterkonto bei monday.com anmelden.
Häufige Fehler nach der Anmeldung bei deinem SSO-Provider
Einige Benutzer haben möglicherweise Schwierigkeiten und können SSO nicht verwenden. Nach der Eingabe der Anmeldeinformationen des Benutzers auf der Anmeldeseite des SSO-Anbieters wird der Benutzer beispielsweise nicht zur Seite monday.com zurückgeleitet, sondern erhält eine Fehlermeldung, die besagt, dass der angemeldete Benutzer „username@email.com“ keiner Rolle für die Anwendung zugewiesen ist (der Wortlaut kann je nach SSO-Anbieter leicht unterschiedlich sein). Das bedeutet, dass die Administratoren des Kontos zum SSO-Anbieter gehen sollten, den dein Team verwendet, und diesen Benutzer dem Konto monday.com zuweisen/hinzufügen.
Ein weiteres häufiges Problem tritt auf, wenn ein Benutzer seine E-Mail-Adresse ändert, was zu einem Fehler bei der Anmeldung führt. Darauf gehen wir im folgenden Abschnitt ein!
Was passiert, wenn sich die E-Mail-Adresse eines Benutzers ändert?
Wenn sich ein Benutzer mit SSO bei monday.com anmeldet, wird eine Back-End-Verbindung zwischen dem Identitätsanbieter (IDP) und der Benutzer-ID in monday.com hergestellt. Die als UID (Benutzer-ID) bezeichnete Verbindung verbindet die Identität einer Person im IDP (Name, E-Mail-Adresse) mit der E-Mail-Adresse, die dem Benutzer in monday.com zugeordnet ist
Wenn also ein Benutzer seine E-Mail-Adresse ändert, kann er sich nicht mehr bei monday.com anmelden, bis seine UID (Benutzer-ID) zurückgesetzt wird. Der Grund dafür ist, dass die UID mit der vorherigen E-Mail-Adresse des Benutzers verbunden ist und bei einer Aktualisierung der E-Mail nicht automatisch mit der bestehenden UID verbunden wird. Daher ermöglicht das Zurücksetzen der UID das "Unterbrechen" der vorherigen Verbindung und erstellt eine neue Verknüpfung zwischen der UID und der neu geänderten E-Mail-Adresse.
Schritte, wenn sich die E-Mail eines Benutzers ändert
Wenn sich die E-Mail-Adresse eines Benutzers ändert, führe die beiden folgenden Schritte aus. Der Benutzer sollte sich dann im Handumdrehen wieder bei seinem Konto anmelden können. ⬇️
1. Ändere die E-Mail des Benutzers auf dem IDP und innerhalb von monday.com
Zuallererst ist es wichtig, dass die E-Mail-Adresse des Benutzers sowohl auf der Seite des Identitätsanbieters als auch auf monday.com geändert wird. Um seine E-Mail-Adresse in monday.com zu ändern, kann der betreffende Benutzer die Schritte in diesem Artikel befolgen.
Hinweis: Wenn ein Admin die E-Mail-Adresse eines Benutzers ändert, muss der Benutzer seine neue E-Mail-Adresse bestätigen.
2. Zurücksetzen der UID des Benutzers
Sobald die E-Mail eines Benutzers auf dem IDP und innerhalb von monday.com geändert wurde, ist es an der Zeit, seine UID zurückzusetzen. Rufe dazu den Tab Benutzerverwaltung im Admin-Bereich des Kontos auf. Suche von dort aus den Benutzer, der seine E-Mail-Adresse geändert hat, drücke auf das Drei-Punkte-Menü ganz rechts und wähle „SSO-UID zurücksetzen“ wie folgt:
Sobald dies erfolgt ist, sollte sich der Benutzer mit seiner neuen E-Mail-Adresse erfolgreich bei seinem Konto einloggen können!
Gleichzeitige Bearbeitung der E-Mail-Domain mehrerer Benutzer
Als Admin kannst du die E-Mail-Domain nur von mehreren Benutzern zusammen aktualisieren und auch die SSO-UID dieser Benutzer direkt zurücksetzen lassen. Öffne dazu zunächst den Bereich Benutzerverwaltung deines Kontos. Wähle dann die betreffenden Benutzer aus, indem du das Feld links neben ihren Symbolen anklickst, und klicke auf „E-Mail-Domain ändern“ im unteren Fensterbereich.
Gib dann die neue E-Mail-Domain ein und klicke auf „E-Mail-Domain ändern“. Mit der Aktualisierung der E-Mail-Domain wird auch die SSO-UID für diese Benutzer zurückgesetzt.
Sobald die ausgewählten Benutzer die Änderung ihrer aktuellen E-Mail-Adresse bestätigen, ist alles bereit!
Hinweis: Durch diese Aktion wird das Präfix der E-Mails (das, was vor dem @ steht) nicht geändert.
Wenn du Fragen hast, wende dich einfach hier an unser Team. Wir sind rund um die Uhr erreichbar und helfen gerne!
Kommentare