Single Sign-On (SSO)-Authentifizierung

  • Aktualisiert
  • Aktualisiert
Avatar
Written by Charissa F.
  • Aktualisiert
Erfordert eine der folgenden Lizenzen:

Wichtig

Wenn Sie SSO mit der SAML-Erfahrung eingerichtet haben, die vor dem 20. November 2024 verfügbar war, müssen Sie bis zum 7. November 2025 zur neuen SSO-Erfahrung migrieren, um Anmeldeunterbrechungen zu vermeiden.

ist für alle Benutzer mit erhöhtem Zugriff erforderlich. Für andere Benutzer können Sie Single Sign-On (SSO) einrichten, damit sie sich mit Unternehmensanmeldedaten anstelle separater Samsara-Passwörter anmelden.Multi-Faktor-Authentifizierung (MFA)

SSO zentralisiert das Anmeldemanagement über Ihren Identitätsanbieter (IdP) und reduziert Sicherheitsrisiken. Samsara unterstützt Google Authentication und Drittanbieter wie Okta oder Microsoft Entra.

Um SSO zu aktivieren, erstellen Sie Konfigurationen sowohl für Fahrer als auch für Administratoren. Wenn Sie beide Gruppen abdecken möchten, richten Sie eine separate SAML-App für jede ein.

SSO für Fahrer einrichten

Wenn Sie möchten, dass Ihre Fahrer SSO verwenden, um sich bei der Samsara Driver App anzumelden, richten Sie eine separate SAML-App in Ihrem IdP ein, indem Sie den folgenden Workflow verwenden:

  1. Verifizieren Sie Ihre Domain für eine sichere SSO-Authentifizierung.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. Wählen Sie das Symbol Einstellungen (gear icon) unten in Ihrem Flottenmenü, um die Dashboard-Einstellungen anzuzeigen.

  3. Wählen Sie in Organisation die Option Single Sign-on.

  4. Klicken Sie im Abschnitt Single Sign-on (SSO) für Fahrer-Login auf Hinzufügen.

  5. Klicken Sie auf Kopieren neben der Samsara-Metadaten-URL und teilen Sie sie mit Ihrem IdP-Administrator.

    Wenn Ihr IdP die Metadaten-URL nicht akzeptiert, erweitern Sie die Details, um die Service Provider Entity ID, die Post-back/ACS-URL und das SAML-Attribut für den Benutzernamen des Fahrers abzurufen und die SSO-Konfiguration in Ihrem IdP zu definieren.

    • Name: fahrer_benutzername

    • Namespace: https://cloud.samsara.com/saml/attributes

    • Quellattribut

    Diese Informationen können auch verwendet werden, um die SSO-Konfiguration mit Ihrem IdP zu definieren.

  6. Geben Sie entweder die Metadaten-URL an oder laden Sie eine Metadatendatei von Ihrem IdP hoch.

    Anmerkung

    Das im IdP-Metadaten enthaltene x.509-Zertifikat wird ablaufen. Um Zugriffsunterbrechungen zu vermeiden, erneuern Sie das Zertifikat in Ihrem IdP und aktualisieren Sie die Samsara-Metadaten, bevor es abläuft. Für weitere Informationen siehe Erneuern Sie ein X.509-Zertifikat.

  7. Speichern Sie Ihre Änderungen, wenn Sie fertig sind.

SSO für Samsara-Administratoren einrichten

Wenn Sie möchten, dass Ihre Administratoren SSO zur Anmeldung am Samsara-Dashboard verwenden, richten Sie eine separate SAML-Anwendung in Ihrem IdP anhand des folgenden Workflows ein:

  1. Verifizieren Sie Ihre Domain für eine sichere SSO-Authentifizierung.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. Wählen Sie das Symbol Einstellungen (gear icon) unten in Ihrem Flottenmenü, um die Dashboard-Einstellungen anzuzeigen.

  3. Wählen Sie in Organisation die Option Single Sign-on.

  4. Klicken Sie im Abschnitt Single Sign-On (SSO) für Benutzeranmeldung auf Aktualisieren.

  5. Klicken Sie neben der Samsara-Metadaten-URL auf Kopieren, um die URL für die Verwendung durch Ihren Identitätsanbieter aufzuzeichnen. Senden Sie diese URL an den Administrator für Ihren IdP.

    Wenn Ihr IdP die Metadaten-URL nicht akzeptiert, können Sie die Details erweitern, um die Service Provider Entity ID, die Post-back/ACS-URL und die SAML-Attribute für die Benutzeridentifikation abzurufen und die SSO-Konfiguration in Ihrem IdP zu definieren.

  6. Rufen Sie die Metadaten vom IdP ab.

    Sie können entweder eine Metadaten-URL bereitstellen oder Sie können eine vom IdP bereitgestellte Metadatendatei aktualisieren.

  7. Speichern Sie Ihre Änderungen, wenn Sie fertig sind.

Festlegen des Authentifizierungstyps für Benutzer

Wenn Benutzer noch die grundlegende Authentifizierung verwenden, müssen Sie ihre Konten konvertieren, um SSO zu aktivieren. Sie können dies entweder über eine direkte URL (später erklärt) oder durch die Verwendung der API tun, um Benutzerauthentifizierungstypen programmgesteuert zu aktualisieren.

Konvertieren Sie bestehende Benutzer, die sich mit der Basis-Authentifizierung anmelden, zur Nutzung von SSO mit einer der folgenden Methoden:

  • Direkte Anmeldung: Lassen Sie Benutzer sich beim IdP anmelden oder die direkte SSO-URL von Samsara verwenden.

    • https://cloud.samsara.com/signin/<orgid>

    • https://cloud.eu.samsara.com/signin/<orgid>

    Wo <orgid> die eindeutige ID für Ihre Organisation ist. Dieser Login wird die Authentifizierungsmethode eines Benutzers von der Basis-Authentifizierung auf Single Sign-on umstellen.

    Nachdem sich der Benutzer anmeldet, wird das Konto automatisch auf die Verwendung von SSO für zukünftige Authentifizierungsversuche umgestellt.

  • Samsara API: Verwenden Sie die Samsara API, um den Benutzerauthentifizierungstyp von Basic auf SAML zu aktualisieren. Konsultieren Sie die API-Dokumentation für den erforderlichen Endpunkt und die Parameter.

  • Massenvorgang importieren: Vom Samsara-Dashboard aus können Sie den Authentifizierungstyp für Ihre Benutzer aktualisieren, indem Sie eine CSV-Datei bearbeiten und importieren (siehe Administratoren im Massenvorgang bearbeiten). Dazu ändern Sie den authType von Basic zu SAML für die Benutzer und importieren dann die CSV-Datei.

Wählen Sie die Methode aus, die am besten zu Ihrem organisatorischen Workflow passt, um einen nahtlosen Übergang zu SSO für alle Benutzer sicherzustellen.

Integrieren Sie Microsoft Entra als Ihren IdP

Samsara unterstützt die Integration mit Microsoft Entra (ehemals bekannt als Azure). Für detaillierte Anweisungen zur Erstellung einer SAML-Integration siehe Tutorial: Microsoft Entra Single Sign-on (SSO) Integration mit Samsara.

Stellen Sie vor der Konfiguration der Authentifizierung sicher, dass Sie Zugriff sowohl auf das Samsara-Dashboard als auch auf das Microsoft Entra Admin Center haben. Verwenden Sie den folgenden Workflow, um SSO mit Microsoft Entra einzurichten:

  1. Verifizieren Sie Ihre Domain für eine sichere SSO-Authentifizierung.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. In Samsara erstellen Sie eine separate SSO-Konfiguration für Administratoren, Fahrer oder beide:

  3. In Microsoft Entra, richten Sie eine neue SAML-Anwendung für Samsara in den Einstellungen ein.

    1. Navigieren Sie zu Identität > Anwendung > Enterprise-Anwendungen.

    2. Wählen Sie + Neue Anwendung.

    3. + Eigene Anwendung erstellen.

      1. Geben Sie den Namen der Anwendung ein Samsara.

      2. Wählen Sie Integrieren Sie jede andere Anwendung, die Sie nicht in der Galerie finden (Nicht-Galerie).

      3. Erstellen Sie die App.

    4. Weisen Sie Benutzer und Gruppen zu.

      1. Klicken Sie auf + Benutzer/Gruppe hinzufügen.

      2. Unter Benutzer, klicken Sie auf Keine ausgewählt.

      3. Wählen Sie die Benutzer aus, die Sie hinzufügen möchten, und klicken Sie dann auf Auswählen.

      4. Klicken Sie auf Zuweisen.

    5. Konfigurieren Sie SAML.

      1. Wählen Sie in der Seiten-Navigation Übersicht aus.

      2. Klicken Sie auf Loslegen im Bereich Single Sign-On einrichten.

      3. Klicken Sie auf SAML.

      4. Wählen Sie Bearbeiten in der Grundlegenden SAML-Konfiguration, um die von Ihrem Samsara-Admin bereitgestellten SAML-Felder hinzuzufügen.

        Kopieren Sie den Link aus Service Provider Entity ID in das Feld Kennung (Entity ID).

        Kopieren Sie den Link von Post-back/ACS URL in das Feld Antwort-URL (Assertion Consumer Service URL).

      5. Speichern Sie Ihre Änderungen.

    6. Fügen Sie Ansprüche für die erforderlichen Samsara-Benutzerattribute hinzu.

      sso-entra-idp-manage-claim.png

      Um Benutzerdetails während der Authentifizierung zu übermitteln, definieren Sie Ansprüche für die E-Mail-Adresse und den Namen des Benutzers. Um Rollen oder Gruppen beim Anmelden zuzuweisen, fügen Sie auch Ansprüche für diese Werte hinzu.

      1. Wählen Sie Bearbeiten im Abschnitt Attribute und Ansprüche.

      2. Klicken Sie auf Einen neuen Anspruch hinzufügen.

      3. Um den Anspruch zu definieren, wählen Sie Bearbeiten im Abschnitt Attribute & Ansprüche und Fügen Sie einen neuen Anspruch hinzu für jedes der Samsara Benutzerattribute.

        • Name Attribut: Wir empfehlen Ihnen, das Quell-Attribut für name auf den Wert zu konfigurieren, den Sie auf Samsaras Namen abbilden möchten. Zum Beispiel können Sie user.displayname als Ihr Quell-Attribut verwenden.

        • E-Mail-Adresse Attribut: Wir empfehlen Ihnen, das Quellattribut für E-Mail-Adresse auf den Wert zu konfigurieren, den Sie auf Samsaras Namen abbilden möchten. Zum Beispiel können Sie user.mail als Ihr Quellattribut verwenden.

      4. (Optional) Um Rollen oder Gruppen während der Anmeldung zuzuweisen, definieren Sie zusätzliche Ansprüche in Microsoft Entra und ordnen Sie diese den richtigen Werten mithilfe von Anspruchsbedingungen zu. Verwenden Sie den folgenden Workflow, um das Anspruchsverhalten zu konfigurieren:

        1. Im Abschnitt Benutzerattribute und Ansprüche fügen Sie die folgenden Ansprüche hinzu:

          • https://cloud.samsara.com/saml/attributes/role_name

          • https://cloud.samsara.com/saml/attributes/role_tags

        2. Für jeden role_name- und role_tags-Anspruch:

          1. Setzen Sie den Benutzertyp auf Mitglieder.

          2. Klicken Sie auf Gruppen auswählen und wählen Sie die Gruppe oder Gruppen aus, auf die der Anspruch angewendet werden soll.

            Um die Konfiguration und zukünftige Wartung zu vereinfachen, empfehlen wir die Verwendung einer einheitlichen Namenskonvention für Gruppennamen.

          3. Setzen Sie Quelle auf Attribut.

          4. Geben Sie die Rollen- oder Gruppennamen im Wertfeld ein.

            Anführungszeichen werden automatisch hinzugefügt.

          5. Klicken Sie auf Speichern, um die Erstellung des Anspruchs abzuschließen.

      5. Klicken Sie auf Speichern, um die vollständige SAML-Konfiguration anzuwenden.

  4. Um die Verbindung zwischen Microsoft Entra und Samsara abzuschließen, hochladen Sie die IdP-Metadaten in die entsprechende SSO-Konfiguration im Samsara-Dashboard.

    1. In Microsoft Entra kopieren Sie die App-Föderations-Metadaten-URL oder laden Sie die Metadaten-XML-Datei herunter.

    2. Im Samsara-Dashboard öffnen Sie die relevante SSO-Konfiguration (Administrator oder Fahrer).

    3. Fügen Sie die Metadaten-URL ein oder laden Sie die Datei hoch.

    4. Klicken Sie auf Speichern, um die Änderungen anzuwenden.

Integrieren Sie Okta als Ihren IdP in Samsara

Stellen Sie vor der Konfiguration der Authentifizierung sicher, dass Sie Zugriff sowohl auf das Samsara-Dashboard als auch auf Ihre Okta-Administrationskonsole haben, und richten Sie dann SSO mit Okta anhand des folgenden Workflows ein:

  1. Verifizieren Sie Ihre Domain für eine sichere SSO-Authentifizierung.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. In Samsara erstellen Sie eine separate SSO-Konfiguration für Administratoren, Fahrer oder beide:

  3. Für jede im vorherigen Schritt eingerichtete Konfiguration kopieren Sie die folgenden SSO-Verbindungseinstellungen zur Verwendung in Okta:

    • Single Sign-on URL: Post-back/ACS-URL (Assertion Consumer Service)

    • Zielgruppen-URI: Dienstanbieter-Entitäts-ID

  4. Erstellen Sie in Ihrer Okta-Administrator-Konsole eine SAML 2.0 interne App-Integration unter Verwendung der Einstellungen, die aus dem vorherigen Schritt kopiert wurden.

    Eine vollständige Anleitung finden Sie in der Okta-Dokumentation.

    okta-sso-app-settings.png

  5. Konfigurieren Sie die folgenden Attribute, um eine ordnungsgemäße Authentifizierung für jeden Benutzertyp sicherzustellen:

    • Für Administratoren:

      • https://cloud.samsara.com/saml/attributes/email: user.mail

      • https://cloud.samsara.com/saml/attributes/name: user.displayName

        Wenn Ihr IdP kein vollständiges Namensfeld unterstützt, können Sie eines mit user.firstName+" "+user.lastName erstellen. In einigen Fällen müssen Sie möglicherweise Regex-Formatierung oder die Okta-Ausdruckssprache verwenden, um den Wert korrekt zu formatieren.

    • Für Fahrer:

      • https://cloud.samsara.com/saml/attributes/driver_username: Ihr Fahrer-Login-Identifikatorfeld

  6. (Optional) Um Rollen oder Gruppen während der Anmeldung zuzuweisen, definieren Sie benutzerdefinierte Attribute in Okta und ordnen Sie sie den richtigen Werten zu. Verwenden Sie den folgenden Workflow, um die Weitergabe von SAML-Attributen zu konfigurieren:

    1. Fügen Sie die folgenden SAML-Attribute zu Ihrer Okta-App-Integration hinzu:

      Diese Attribute sind in der SAML-Assertion enthalten und werden von Samsara verwendet, um Rollen und Gruppen während des Logins zuzuweisen.

      • https://cloud.samsara.com/saml/attributes/role_name: appuser.samsaraRole

      • https://cloud.samsara.com/saml/attributes/role_tags: appuser.samsaraRoleTags

    2. Definieren Sie das benutzerdefinierte Attribut in Okta, um appuser.samsaraRole zu unterstützen:

      1. Klicken Sie in der Registerkarte Anmelden der App auf Profilzuordnung konfigurieren.

      2. Wenn ein Modal mit vorhandenen Zuordnungen erscheint, schließen Sie es, um auf den Profil-Editor zuzugreifen.

      3. Im Profil-Editor auf + Attribut hinzufügen klicken.

      4. Geben Sie die folgenden Werte ein:

        • Datentyp: Zeichenkette

        • Anzeigename: Samsara Rolle

        • Variablenname: samsaraRole

        • Enum: Aktiviert; fügen Sie die Namen der Samsara-Rollen hinzu, die Sie zuweisen möchten

        • Attribut erforderlich: Ja

        • Umfang: Benutzer persönlich aktivieren

  7. Um die Verbindung zwischen Okta und Samsara abzuschließen, laden Sie die IdP-Metadaten in die entsprechende SSO-Konfiguration im Samsara-Dashboard hoch:

    1. In Okta kopieren Sie die App Federation Metadata URL oder laden Sie die Metadaten-XML-Datei herunter.

    2. Im Samsara-Dashboard öffnen Sie die relevante SSO-Konfiguration (Administrator oder Fahrer).

    3. Fügen Sie die Metadaten-URL ein oder laden Sie die Datei hoch.

    4. Klicken Sie auf Speichern, um die Änderungen anzuwenden.

Andere IdPs

Während Samsara offiziell Microsoft Entra und Okta als IdPs unterstützt, können Sie auch viele andere Identitätsanbieter verwenden, die das SAML 2.0-Protokoll unterstützen.

Da andere IdPs noch nicht getestet wurden, kann Samsara derzeit keine vollständige Kompatibilität gewährleisten. Um einen IdP selbst zu testen, erstellen Sie eine SAML-Verbindung von der Samsara-Dashboard.

  1. Domänen zur sicheren SSO-Authentifizierung verifizieren.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. Konfigurieren Sie Ihre gewünschten SSO-Optionen:

    Samsara empfiehlt, dass Sie die Samsara-Metadaten-SAML-Konfiguration importieren, anstatt sie manuell zu konfigurieren, wenn Sie dies für Ihren IdP tun können.

  3. Konfigurieren Sie SAML-Attribute.

    Name

    Wert

    https://cloud.samsara.com/saml/attributes/email

    Benutzer-E-Mail-Adresse

    https://cloud.samsara.com/saml/attributes/name

    Benutzername

  4. Fügen Sie den Samsara Admin als Benutzer zur neuen Anwendung hinzu.

  5. Tauschen Sie die Metadateninformationen von Samsara mit dem IdP aus, um die Konfiguration abzuschließen.

Samsara JIT-Bereitstellung

Just-in-Time (JIT) Bereitstellung verwendet das SAML-Protokoll, um Benutzerkonten automatisch zu erstellen. Wenn sich ein neuer Benutzer zum ersten Mal über einen Identitätsanbieter (IdP) wie Okta oder Microsoft Entra anmeldet, sendet der IdP deren Details an die App (zum Beispiel die Samsara-Dashboard) und das Konto wird ohne Administrator-Einrichtung erstellt.

Samsara unterstützt JIT-Bereitstellung für zwei Arten von Konten:

  • Benutzer: Wenn sich ein neuer Administrator zum ersten Mal mit SSO anmeldet, erstellt die automatisch ein Konto mit der Wartungsrolle und Zugriff auf die gesamte Organisation. Wenn der Administrator eine andere Rolle oder Gruppen-Zugriff benötigt, fügen Sie ihr Konto hinzu oder aktualisieren Sie es mithilfe des CSV-Uploads und weisen Sie den entsprechenden Gruppen-Zugriff zu.Samsara-DashboardSamsara-Dashboard#UUID-e6b85048-a14f-a419-a29c-2ac21a63e5c1_UUID-d064bafc-4742-98d6-3d63-96db17fc03fb#UUID-cba27a79-4208-2fe6-6d78-11413b882d61_UUID-598cf564-7ee5-40eb-5911-7df881d1834d

  • Fahrer: Samsara unterstützt JIT-Bereitstellung für Fahrer-SSO. Wenn sich ein Fahrer zum ersten Mal mit SSO anmeldet, wird sein Konto automatisch im Dashboard erstellt. Das System verwendet das driver_username-Attribut von Ihrem IdP, um das Konto zuzuordnen, wodurch die Notwendigkeit einer manuellen Einrichtung entfällt.

Wenn Sie JIT-Bereitstellung mit SSO verwenden, können Probleme auftreten, wenn die E-Mail-Adresse eines Benutzers mit mehreren Organisationen verknüpft ist. Da JIT auf eindeutigen E-Mail-Identifikatoren basiert, können doppelte E-Mails Fehler oder Zugriffsprobleme verursachen.

Um dies zu vermeiden, stellen Sie sicher, dass jeder Benutzer eine eindeutige E-Mail-Adresse in Ihrer Domain hat. Für Benutzer, die Zugriff auf mehrere Organisationen benötigen, verwenden Sie separate E-Mail-Aliase oder arbeiten Sie mit Ihrem IdP zusammen, um den Zugriff zu verwalten.

Entfernen einer SSO-Konfiguration

Um eine SSO-Konfiguration zu löschen, kontaktieren Sie Samsara Support. Die Samsara-Dashboard erlaubt keine Selbstlöschung, um die Authentifizierungseinrichtung Ihrer Organisation zu schützen. Der Support wird Ihnen helfen, die Konfiguration sicher zu entfernen.

Feedback

War dieser Beitrag hilfreich?
11 von 22 fanden dies hilfreich
Möchten Sie uns noch mehr mitteilen? Wir wollen es gerne hören!
Have more questions? Submit a request
Zurück an den Anfang

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

Verwandte Beiträge

Beiträge in diesem Abschnitt

©2024 Samsara Inc.

Chatten Sie mit uns