Die Single Sign-On (SSO)-Authentifizierung ermöglicht es Ihnen, einen einzigen Identitätsanbieter (IdP) zu nutzen, um den Zugriff von Fahrern und Administratoren auf Samsara-Ressourcen zu verwalten. Im Gegensatz zur Standardauthentifizierung müssen sich Benutzer kein separates Passwort merken, um sich manuell bei Samsara anzumelden, und können stattdessen ihre Unternehmensanmeldedaten verwenden.
Da IT-Administratoren sensible Anmeldeinformationen über ein IdP-System verwalten, reduziert die Verwendung von SSO das Sicherheitsrisiko. Sie können die föderierte Identität entweder mit Google-Authentifizierung oder einem Drittanbieter-SSO-Anbieter verwalten (zum Beispiel Okta oder Azure).
Um SSO einzurichten, können Sie eine SSO-Konfiguration für Fahrer und Administratoren basierend auf den Metadaten erstellen, die mit Samsara und dem IdP verknüpft sind. Wenn Sie SSO sowohl für Fahrer als auch für Administratoren verwenden möchten, stellen Sie sicher, dass Sie separate Anwendungen für jeden Anwendungsfall im IdP einrichten.
Anmerkung
In regelmäßigen Abständen müssen Sie das X.509-Zertifikat erneuern. Um Zugriffsunterbrechungen aufgrund eines abgelaufenen Zertifikats zu vermeiden, wird empfohlen, das Zertifikat vor Ablauf zu generieren und zu ersetzen. Weitere Informationen finden Sie unter Erneuern Sie ein X.509-Zertifikat.
Wenn Sie möchten, dass Ihre Fahrer SSO verwenden, um sich bei der Samsara Driver App anzumelden, können Sie Metadaten mit dem Identitätsanbieter (IdP) austauschen. Richten Sie in Ihrem IdP eine separate Konfiguration für Fahrer ein und verwenden Sie nicht dieselbe IdP-Konfiguration wie für Administratoren.
-
Domänen zur sicheren SSO-Authentifizierung verifizieren.
Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.
-
Wählen Sie das Symbol „Einstellungen“ () unten in Ihrem Flottenmenü, um die Dashboard-Einstellungen anzuzeigen.
-
Wählen Sie in Organisation die Option Single Sign-on.
-
Klicken Sie im Abschnitt Single Sign-on (SSO) für Fahrer-Login auf Hinzufügen.
-
Klicken Sie neben der Samsara-Metadaten-URL auf Kopieren, um die URL für die Verwendung durch Ihren Identitätsanbieter aufzuzeichnen. Senden Sie diese URL an den Administrator für Ihren IdP.
Wenn der IdP die Metadaten-URL nicht akzeptieren kann, können Sie die Details erweitern, um die Service Provider Entity ID, die Post-back/ACS-URL und das SAML-Attribut für den Benutzernamen des Fahrers abzurufen.
-
Name:
fahrer_benutzername
-
Namespace:
https://cloud.samsara.com/saml/attributes
-
Quellattribut
Diese Informationen können auch verwendet werden, um die SSO-Konfiguration mit Ihrem IdP zu definieren.
-
-
Rufen Sie die Metadaten vom IdP ab.
Sie können entweder eine Metadaten-URL bereitstellen oder Sie können eine vom IdP bereitgestellte Metadatendatei aktualisieren.
-
Speichern Sie Ihre Änderungen, wenn Sie fertig sind.
Wenn andere Administratoren SSO verwenden sollen, um sich beim Samsara-Dashboard anzumelden, können Sie Metadaten mit dem Identitätsanbieter (IdP) austauschen. Erstellen Sie in Ihrem IdP eine separate Konfiguration für Administratoren und verwenden Sie nicht dieselbe IdP-Konfiguration wie für Fahrer.
-
Domänen zur sicheren SSO-Authentifizierung verifizieren.
Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.
-
Wählen Sie das Symbol „Einstellungen“ () unten in Ihrem Flottenmenü, um die Dashboard-Einstellungen anzuzeigen.
-
Wählen Sie in Organisation die Option Single Sign-on.
-
Im Abschnitt Single Sign-On (SSO) für Benutzeranmeldung, klicken Sie auf Hinzufügen.
-
Klicken Sie neben der Samsara-Metadaten-URL auf Kopieren, um die URL für die Verwendung durch Ihren Identitätsanbieter aufzuzeichnen. Senden Sie diese URL an den Administrator für Ihren IdP.
Wenn der IdP die Metadaten-URL nicht akzeptieren kann, können Sie die Details erweitern, um die Service Provider Entity ID, Post-back/ACS URL und SAML Attribute abzurufen. Diese Informationen können auch verwendet werden, um die SSO-Konfiguration mit Ihrem IdP zu definieren.
-
Rufen Sie die Metadaten vom IdP ab.
Sie können entweder eine Metadaten-URL bereitstellen oder Sie können eine vom IdP bereitgestellte Metadatendatei aktualisieren.
-
Speichern Sie Ihre Änderungen, wenn Sie fertig sind.
Wenn Sie SSO mit der SAML-Erfahrung eingerichtet haben, die vor dem 20. November 2024 verfügbar war, müssen Sie zur neuen SSO-Erfahrung migrieren. Um Ihre Einstellungen zu migrieren, führen Sie den folgenden Workflow aus:
-
Wählen Sie das Symbol „Einstellungen“ () unten in Ihrem Flottenmenü, um die Dashboard-Einstellungen anzuzeigen.
-
Wählen Sie in Organisation die Option Single Sign-on.
-
Klicken Sie auf Migrieren.
-
Teilen Sie die SAML-Felder mit Ihrem IdP-Admin und lassen Sie den IdP-Admin die Schritte zur Einrichtung von SSO für Administratoren und Fahrer in den Einstellungen durchführen.
-
Wenn der IdP-Admin die Schritte zur Beschaffung der Metadaten für die SSO-Konfiguration durchführt, geben Sie die Metadaten-URL ein oder laden Sie die aus Ihrem IdP exportierte Metadaten-XML-Datei in Samsara hoch.
-
Speichern Sie Ihre Änderungen.
-
Testen Sie die Samsara Anmeldung von der IdP-Anwendung.
Testen Sie das Samsara Anmelden von cloud.samsara.com (oder cloud.eu.samsara.com,wenn Sie in Europa tätig sind).
Wenn Sie Probleme haben, sich bei Samsara anzumelden, kontaktieren Sie den Samsara Support.
Samsara unterstützt die Integration mit Microsoft Entra (früher bekannt als Azure). Anweisungen zur Integration von Azure als IdP finden Sie unter Lernprogramm: Microsoft Entra Single Sign-On (SSO)-Integration mit Samsara.
-
Domänen zur sicheren SSO-Authentifizierung verifizieren.
Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.
-
Konfigurieren Sie Ihre gewünschten SSO-Optionen:
-
Richten Sie in Okta eine neue SAML-Anwendung für Samsara in den Einstellungen ein.
-
Navigieren Sie zu Identität > Anwendung > Enterprise-Anwendungen.
-
Wählen Sie + Neue Anwendung.
-
Wählen Sie + Ihre eigene Anwendung erstellen.
-
Geben Sie den Namen der Anwendung ein
Samsara
. -
Wählen Sie Integrieren Sie jede andere Anwendung, die Sie nicht in der Galerie finden (Nicht-Galerie).
-
Erstellen Sie die App.
-
-
Weisen Sie Benutzer und Gruppen zu.
-
Konfigurieren Sie SAML.
-
Wählen Sie in der Seiten-Navigation Übersicht aus.
-
Klicken Sie auf Loslegen im Bereich Single Sign-On einrichten.
-
Klicken Sie auf SAML.
-
Wählen Sie Bearbeiten in der Grundlegenden SAML-Konfiguration, um die von Ihrem Samsara-Admin bereitgestellten SAML-Felder hinzuzufügen.
Kopieren Sie den Link aus Service Provider Entity ID in das Feld Kennung (Entity ID).
Kopieren Sie den Link von Post-back/ACS URL in das Feld Antwort-URL (Assertion Consumer Service URL).
-
Speichern Sie Ihre Änderungen.
-
-
Fügen Sie Ansprüche für zwei Samsara-Attribute hinzu:
E-Mail-Adresse
undName
.Ansprüche werden verwendet, um bestimmte Eigenschaften oder Merkmale des Benutzers während des Authentifizierungsprozesses zu behaupten. Sie müssen Ansprüche sowohl für die E-Mail-Adresse des Benutzers als auch für den Namen des Benutzers definieren. Für jeden Anspruch definieren Sie die folgenden Informationen:
-
Name:
E-Mail-Adresse
oderName
-
Namespace:
https://cloud.samsara.com/saml/attributes
-
Quellattribut
Um den Anspruch zu definieren, wählen Sie Bearbeiten im Abschnitt Attribute & Ansprüche und Fügen Sie einen neuen Anspruch hinzu für jedes der Samsara Benutzerattribute.
-
Name Attribut: Wir empfehlen Ihnen, das Quell-Attribut für
name
auf den Wert zu konfigurieren, den Sie auf Samsaras Namen abbilden möchten. Zum Beispiel können Sieuser.displayname
als Ihr Quell-Attribut verwenden. -
E-Mail-Adresse Attribut: Wir empfehlen Ihnen, das Quellattribut für
E-Mail-Adresse
auf den Wert zu konfigurieren, den Sie auf Samsaras Namen abbilden möchten. Zum Beispiel können Sieuser.mail
als Ihr Quellattribut verwenden.
Dann, Speichern Sie Ihre Änderungen.
-
-
In SAML-Zertifikaten kopieren und teilen Sie die App Federation Metadata Url oder laden Sie die Federation Metadata XML-Datei herunter und teilen Sie sie mit Ihrem Samsara-Admin.
-
-
Tauschen Sie die Metadateninformationen von Samsara mit dem IdP aus, um die Konfiguration abzuschließen.
Wenn Sie Okta als Ihren IdP verwenden, können Sie die Authentifizierung in Samsara so konfigurieren, dass Ihre Okta-Benutzerkonten verwendet werden. Um die Einrichtung abzuschließen, benötigen Sie Zugriff auf sowohl den Samsara-Dashboard als auch auf Ihre Okta Admin-Konsole.
-
Domänen zur sicheren SSO-Authentifizierung verifizieren.
Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.
-
Konfigurieren Sie Ihre gewünschten SSO-Optionen:
-
Beginnen Sie in Ihrer Okta-Administratorkonsole mit der Einrichtung einer internen App-Integration, die SAML 2.0 als Anmeldemethode verwendet.
Eine vollständige Anleitung finden Sie in der Okta-Dokumentation.
Während der Konfiguration müssen Sie Folgendes tun:
-
Konfigurieren Sie die folgenden Informationen:
-
Single Sign-on URL: Kopieren Sie die Post-back/ACS URL (Assertion Consumer Service) aus den SSO Verbindungseinstellungen aus dem Samsara-Dashboard.
-
Audience-URI: Kopieren Sie die Service Provider Entity ID aus den SSO-Verbindungs-Einstellungen im Samsara-Dashboard.
-
-
Konfigurieren Sie SAML-Attribute.
Name
Wert
https://cloud.samsara.com/saml/attributes/email
user.email
https://cloud.samsara.com/saml/attributes/name
user.firstName+" "+user.lastName
Anmerkung
Wenn Sie den Namen als Attribut verwenden, bietet das Dropdown-Menü nicht die Möglichkeit, den vollständigen Namen als Wert anzugeben. Verwenden Sie in diesem Fall Regex, um den Vornamen und den Nachnamen darzustellen.
Bei Bedarf können Sie auch andere SAML-Attribute verwenden.
-
-
Tauschen Sie die Metadateninformationen von Samsara mit dem IdP aus, um die Konfiguration abzuschließen.
Während Samsara offiziell Microsoft Entra und Okta als IdPs unterstützt, können Sie auch viele andere Identitätsanbieter verwenden, die das SAML 2.0 Protokoll unterstützen. Da andere IdPs noch nicht getestet wurden, kann Samsara derzeit keine vollständige Kompatibilität gewährleisten. Um einen IdP selbst zu testen, erstellen Sie eine SAML-Verbindung über das Samsara-Dashboard.
-
Domänen zur sicheren SSO-Authentifizierung verifizieren.
Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.
-
Konfigurieren Sie Ihre gewünschten SSO-Optionen:
Samsara empfiehlt, dass Sie die Samsara-Metadaten-SAML-Konfiguration importieren, anstatt sie manuell zu konfigurieren, wenn Sie dies für Ihren IdP tun können.
-
Konfigurieren Sie SAML-Attribute.
Name
Wert
https://cloud.samsara.com/saml/attributes/email
Benutzer-E-Mail-Adresse
https://cloud.samsara.com/saml/attributes/name
Benutzername
-
Fügen Sie den Samsara Admin als Benutzer zur neuen Anwendung hinzu.
-
Tauschen Sie die Metadateninformationen von Samsara mit dem IdP aus, um die Konfiguration abzuschließen.
Just-in-Time (JIT) Bereitstellung verwendet das SAML-Protokoll, um Informationen von einem IdP, wie Okta oder Microsoft Entra, zu übertragen, als eine Möglichkeit, die Erstellung von Benutzerkonten für verschiedene Webanwendungen zu automatisieren. Wenn ein neuer Benutzer sich zum ersten Mal in einer autorisierten Anwendung, wie dem Samsara-Dashboard, anmeldet, löst der Benutzer einen Informationsfluss vom IdP zur autorisierten App aus, um automatisch ihr Konto zu erstellen, anstatt dass ein Admin ein Konto für sie erstellen muss.
Wenn sich neue Administratoren, die für den Zugriff auf das Samsara-Dashboard über Ihren IdP eingerichtet wurden, erstmals über SSO anmelden, erstellt das Samsara-Dashboard automatisch ein Konto mit der am wenigsten privilegierten Rolle (Wartungsrolle) und Tag-Zugriff auf die gesamte Organisation. Falls der Administrator eine andere Rolle oder spezifischen Tag-Zugriff erhalten soll, wird empfohlen, den neuen Administrator über eine CSV-Datei mit der korrekten Rolle und den entsprechenden Tag-Zugriffsrechten hinzuzufügen oder zu bearbeiten.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.