Single Sign-On (SSO)-Authentifizierung

  • Aktualisiert
  • Aktualisiert
Avatar
Written by Charissa F.
  • Aktualisiert
Erforderlicher Plan:
Erforderlicher Plan:

Die Single Sign-On (SSO)-Authentifizierung ermöglicht es Ihnen, einen einzigen Identitätsanbieter (IdP) zu nutzen, um den Zugriff von Fahrern und Administratoren auf Samsara-Ressourcen zu verwalten. Im Gegensatz zur Standardauthentifizierung müssen sich Benutzer kein separates Passwort merken, um sich manuell bei Samsara anzumelden, und können stattdessen ihre Unternehmensanmeldedaten verwenden.

Da IT-Administratoren sensible Anmeldeinformationen über ein IdP-System verwalten, reduziert die Verwendung von SSO das Sicherheitsrisiko. Sie können die föderierte Identität entweder mit Google-Authentifizierung oder einem Drittanbieter-SSO-Anbieter verwalten (zum Beispiel Okta oder Azure).

Um SSO einzurichten, können Sie eine SSO-Konfiguration für Fahrer und Administratoren basierend auf den Metadaten erstellen, die mit Samsara und dem IdP verknüpft sind. Wenn Sie SSO sowohl für Fahrer als auch für Administratoren verwenden möchten, stellen Sie sicher, dass Sie separate Anwendungen für jeden Anwendungsfall im IdP einrichten.

Anmerkung

In regelmäßigen Abständen müssen Sie das X.509-Zertifikat erneuern. Um Zugriffsunterbrechungen aufgrund eines abgelaufenen Zertifikats zu vermeiden, wird empfohlen, das Zertifikat vor Ablauf zu generieren und zu ersetzen. Weitere Informationen finden Sie unter Erneuern Sie ein X.509-Zertifikat.

SSO für Fahrer einrichten

Wenn Sie möchten, dass Ihre Fahrer SSO verwenden, um sich bei der Samsara Driver App anzumelden, können Sie Metadaten mit dem Identitätsanbieter (IdP) austauschen. Richten Sie in Ihrem IdP eine separate Konfiguration für Fahrer ein und verwenden Sie nicht dieselbe IdP-Konfiguration wie für Administratoren.

  1. Domänen zur sicheren SSO-Authentifizierung verifizieren.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. Wählen Sie das Symbol „Einstellungen“ (gear icon) unten in Ihrem Flottenmenü, um die Dashboard-Einstellungen anzuzeigen.

  3. Wählen Sie in Organisation die Option Single Sign-on.

  4. Klicken Sie im Abschnitt Single Sign-on (SSO) für Fahrer-Login auf Hinzufügen.

  5. Klicken Sie neben der Samsara-Metadaten-URL auf Kopieren, um die URL für die Verwendung durch Ihren Identitätsanbieter aufzuzeichnen. Senden Sie diese URL an den Administrator für Ihren IdP.

    Wenn der IdP die Metadaten-URL nicht akzeptieren kann, können Sie die Details erweitern, um die Service Provider Entity ID, die Post-back/ACS-URL und das SAML-Attribut für den Benutzernamen des Fahrers abzurufen.

    • Name: fahrer_benutzername

    • Namespace: https://cloud.samsara.com/saml/attributes

    • Quellattribut

    Diese Informationen können auch verwendet werden, um die SSO-Konfiguration mit Ihrem IdP zu definieren.

  6. Rufen Sie die Metadaten vom IdP ab.

    Sie können entweder eine Metadaten-URL bereitstellen oder Sie können eine vom IdP bereitgestellte Metadatendatei aktualisieren.

  7. Speichern Sie Ihre Änderungen, wenn Sie fertig sind.

  8. Festlegen des Authentifizierungstyps für Benutzer.

SSO für Samsara-Administratoren einrichten

Wenn andere Administratoren SSO verwenden sollen, um sich beim Samsara-Dashboard anzumelden, können Sie Metadaten mit dem Identitätsanbieter (IdP) austauschen. Erstellen Sie in Ihrem IdP eine separate Konfiguration für Administratoren und verwenden Sie nicht dieselbe IdP-Konfiguration wie für Fahrer.

  1. Domänen zur sicheren SSO-Authentifizierung verifizieren.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. Wählen Sie das Symbol „Einstellungen“ (gear icon) unten in Ihrem Flottenmenü, um die Dashboard-Einstellungen anzuzeigen.

  3. Wählen Sie in Organisation die Option Single Sign-on.

  4. Im Abschnitt Single Sign-On (SSO) für Benutzeranmeldung, klicken Sie auf Hinzufügen.

  5. Klicken Sie neben der Samsara-Metadaten-URL auf Kopieren, um die URL für die Verwendung durch Ihren Identitätsanbieter aufzuzeichnen. Senden Sie diese URL an den Administrator für Ihren IdP.

    Wenn der IdP die Metadaten-URL nicht akzeptieren kann, können Sie die Details erweitern, um die Service Provider Entity ID, Post-back/ACS URL und SAML Attribute abzurufen. Diese Informationen können auch verwendet werden, um die SSO-Konfiguration mit Ihrem IdP zu definieren.

  6. Rufen Sie die Metadaten vom IdP ab.

    Sie können entweder eine Metadaten-URL bereitstellen oder Sie können eine vom IdP bereitgestellte Metadatendatei aktualisieren.

  7. Speichern Sie Ihre Änderungen, wenn Sie fertig sind.

Auf die neue SSO-Erfahrung migrieren

Anmerkung

Um eine schnelle Rückabwicklung im Falle von Problemen während der Migration zu erleichtern, empfehlen wir, eine neue SAML-Anwendung zu erstellen.

Aktualisieren Sie die bestehende Samsara-Anwendung in Ihrem IdP nicht.

Wenn Sie SSO mit der SAML-Erfahrung eingerichtet haben, die vor dem 20. November 2024 verfügbar war, müssen Sie zu den neuen SSO-Einstellungen migrieren.

Befolgen Sie den untenstehenden Workflow, um den Migrations- und Konvertierungsprozess abzuschließen.

  1. Wählen Sie das Symbol „Einstellungen“ (gear icon) unten in Ihrem Flottenmenü, um die Dashboard-Einstellungen anzuzeigen.

  2. Wählen Sie in Organisation die Option Single Sign-on.

  3. Klicken Sie auf Migrieren.

    migrate_button.png

  4. Teilen Sie die SAML-Felder mit Ihrem IdP-Admin und lassen Sie den IdP-Admin die Schritte zur Einrichtung von SSO für Administratoren und Fahrer in den Einstellungen durchführen.

    saml_field_share.png

  5. Wenn der IdP-Admin die Schritte zur Beschaffung der Metadaten für die SSO-Konfiguration durchführt, geben Sie die Metadaten-URL ein oder laden Sie die aus Ihrem IdP exportierte Metadaten-XML-Datei in Samsara hoch.

    input_idp_metadata.png

  6. Speichern Sie Ihre Änderungen.

  7. Testen Sie die Samsara-Anmeldung.

    Wenn Sie Probleme haben, sich bei Samsara anzumelden, kontaktieren Sie den Samsara Support.

  8. Festlegen des Authentifizierungstyps für Benutzer.

Festlegen des Authentifizierungstyps für Benutzer

Wenn Ihre Organisation derzeit Benutzer hat, die die grundlegende Authentifizierung verwenden, müssen Sie auch den Kontotyp konvertieren, um diesen Benutzern die Nutzung von SSO zu ermöglichen. Sie können aus einer von drei Methoden für diese Konvertierung auswählen: die Verwendung der direkten URL (später in diesem Dokument beschrieben), eine API-Methode, bei der Administratoren die Benutzerauthentifizierungstypen programmatisch aktualisieren, oder einen Massenvorgang mit einer CSV-Methode über die Seite Benutzer & Rollen.

Konvertieren Sie bestehende Benutzer, die sich mit der Basis-Authentifizierung anmelden, zur Nutzung von SSO mit einer der folgenden Methoden:

  • Direkte Anmeldung. Lassen Sie Benutzer sich beim IdP anmelden oder die direkte SSO-URL von Samsara verwenden.

    • https://cloud.samsara.com/signin/<orgid>

    • https://cloud.eu.samsara.com/signin/<orgid>

    Wo <orgid> die eindeutige ID für Ihre Organisation ist. Dieser Login wird die Authentifizierungsmethode eines Benutzers von der Basis-Authentifizierung auf Single Sign-on umstellen.

    Nachdem sich der Benutzer anmeldet, wird das Konto automatisch auf die Verwendung von SSO für zukünftige Authentifizierungsversuche umgestellt.

  • Samsara API. Verwenden Sie die Samsara API, um den Benutzerauthentifizierungstyp von Basic auf SAML zu aktualisieren. Konsultieren Sie die API-Dokumentation für den erforderlichen Endpunkt und die Parameter.

  • Massenvorgang importieren: Vom Samsara-Dashboard aus können Sie den Authentifizierungstyp für Ihre Benutzer aktualisieren, indem Sie eine CSV-Datei bearbeiten und importieren (siehe Administratoren im Massenvorgang bearbeiten). Dazu ändern Sie den authType von Basic zu SAML für die Benutzer und importieren dann die CSV-Datei.

Wählen Sie die Methode aus, die am besten zu Ihrem organisatorischen Workflow passt, um einen nahtlosen Übergang zu SSO für alle Benutzer sicherzustellen.

Integrieren Sie Microsoft Entra als Ihren IdP

Samsara unterstützt die Integration mit Microsoft Entra (früher bekannt als Azure). Anweisungen zur Integration von Azure als IdP finden Sie unter Lernprogramm: Microsoft Entra Single Sign-On (SSO)-Integration mit Samsara.

  1. Domänen zur sicheren SSO-Authentifizierung verifizieren.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. Konfigurieren Sie Ihre gewünschten SSO-Optionen:

  3. In Microsoft Entra, richten Sie eine neue SAML-Anwendung für Samsara in den Einstellungen ein.

    1. Navigieren Sie zu Identität > Anwendung > Enterprise-Anwendungen.

    2. Wählen Sie + Neue Anwendung.

    3. Wählen Sie + Ihre eigene Anwendung erstellen.

      1. Geben Sie den Namen der Anwendung ein Samsara.

      2. Wählen Sie Integrieren Sie jede andere Anwendung, die Sie nicht in der Galerie finden (Nicht-Galerie).

      3. Erstellen Sie die App.

    4. Weisen Sie Benutzer und Gruppen zu.

      1. Klicken Sie auf + Benutzer/Gruppe hinzufügen.

      2. Unter Benutzer, klicken Sie auf Keine ausgewählt.

      3. Wählen Sie die Benutzer aus, die Sie hinzufügen möchten, und klicken Sie dann auf Auswählen.

      4. Klicken Sie auf Zuweisen.

    5. Konfigurieren Sie SAML.

      1. Wählen Sie in der Seiten-Navigation Übersicht aus.

      2. Klicken Sie auf Loslegen im Bereich Single Sign-On einrichten.

      3. Klicken Sie auf SAML.

      4. Wählen Sie Bearbeiten in der Grundlegenden SAML-Konfiguration, um die von Ihrem Samsara-Admin bereitgestellten SAML-Felder hinzuzufügen.

        Kopieren Sie den Link aus Service Provider Entity ID in das Feld Kennung (Entity ID).

        Kopieren Sie den Link von Post-back/ACS URL in das Feld Antwort-URL (Assertion Consumer Service URL).

      5. Speichern Sie Ihre Änderungen.

    6. Fügen Sie Ansprüche für zwei Samsara-Attribute hinzu: E-Mail-Adresse und Name.

      Ansprüche werden verwendet, um bestimmte Eigenschaften oder Merkmale des Benutzers während des Authentifizierungsprozesses zu behaupten. Sie müssen Ansprüche sowohl für die E-Mail-Adresse des Benutzers als auch für den Namen des Benutzers definieren. Für jeden Anspruch definieren Sie die folgenden Informationen:

      • Name: E-Mail-Adresse oder Name

      • Namespace: https://cloud.samsara.com/saml/attributes

      • Quellattribut

      sso-entra-idp-manage-claim.png

      Um den Anspruch zu definieren, wählen Sie Bearbeiten im Abschnitt Attribute & Ansprüche und Fügen Sie einen neuen Anspruch hinzu für jedes der Samsara Benutzerattribute.

      • Name Attribut: Wir empfehlen Ihnen, das Quell-Attribut für name auf den Wert zu konfigurieren, den Sie auf Samsaras Namen abbilden möchten. Zum Beispiel können Sie user.displayname als Ihr Quell-Attribut verwenden.

      • E-Mail-Adresse Attribut: Wir empfehlen Ihnen, das Quellattribut für E-Mail-Adresse auf den Wert zu konfigurieren, den Sie auf Samsaras Namen abbilden möchten. Zum Beispiel können Sie user.mail als Ihr Quellattribut verwenden.

      Dann, Speichern Sie Ihre Änderungen.

    7. In SAML-Zertifikaten kopieren und teilen Sie die App Federation Metadata Url oder laden Sie die Federation Metadata XML-Datei herunter und teilen Sie sie mit Ihrem Samsara-Admin.

  4. Tauschen Sie die Metadateninformationen von Samsara mit dem IdP aus, um die Konfiguration abzuschließen.

Integrieren Sie Okta als Ihren IdP in Samsara

Wenn Sie Okta als Ihren IdP verwenden, können Sie die Authentifizierung in Samsara so konfigurieren, dass Ihre Okta-Benutzerkonten verwendet werden. Um die Einrichtung abzuschließen, benötigen Sie Zugriff auf sowohl den Samsara-Dashboard als auch auf Ihre Okta Admin-Konsole.

  1. Domänen zur sicheren SSO-Authentifizierung verifizieren.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. Konfigurieren Sie Ihre gewünschten SSO-Optionen:

  3. Beginnen Sie in Ihrer Okta-Administratorkonsole mit der Einrichtung einer internen App-Integration, die SAML 2.0 als Anmeldemethode verwendet.

    Eine vollständige Anleitung finden Sie in der Okta-Dokumentation.

    okta-sso-app-settings.png

    Während der Konfiguration müssen Sie Folgendes tun:

    • Konfigurieren Sie die folgenden Informationen:

      • Single Sign-on URL: Kopieren Sie die Post-back/ACS URL (Assertion Consumer Service) aus den SSO Verbindungseinstellungen aus dem Samsara-Dashboard.

      • Audience-URI: Kopieren Sie die Service Provider Entity ID aus den SSO-Verbindungs-Einstellungen im Samsara-Dashboard.

    • Konfigurieren Sie SAML-Attribute.

      Name

      Wert

      https://cloud.samsara.com/saml/attributes/email

      user.email

      https://cloud.samsara.com/saml/attributes/name

      user.firstName+" "+user.lastName

      Anmerkung

      Wenn Sie den Namen als Attribut verwenden, bietet das Dropdown-Menü nicht die Möglichkeit, den vollständigen Namen als Wert anzugeben. Verwenden Sie in diesem Fall Regex, um den Vornamen und den Nachnamen darzustellen.

      Bei Bedarf können Sie auch andere SAML-Attribute verwenden.

  4. Tauschen Sie die Metadateninformationen von Samsara mit dem IdP aus, um die Konfiguration abzuschließen.

Andere IdPs

Während Samsara offiziell Microsoft Entra und Okta als IdPs unterstützt, können Sie auch viele andere Identitätsanbieter verwenden, die das SAML 2.0 Protokoll unterstützen. Da andere IdPs noch nicht getestet wurden, kann Samsara derzeit keine vollständige Kompatibilität gewährleisten. Um einen IdP selbst zu testen, erstellen Sie eine SAML-Verbindung über das Samsara-Dashboard.

  1. Domänen zur sicheren SSO-Authentifizierung verifizieren.

    Sie müssen die Domänenverifizierung abschließen, bevor Sie SSO aktivieren. Nur Benutzer mit verifizierten Domänen können auf die Organisation zugreifen.

  2. Konfigurieren Sie Ihre gewünschten SSO-Optionen:

    Samsara empfiehlt, dass Sie die Samsara-Metadaten-SAML-Konfiguration importieren, anstatt sie manuell zu konfigurieren, wenn Sie dies für Ihren IdP tun können.

  3. Konfigurieren Sie SAML-Attribute.

    Name

    Wert

    https://cloud.samsara.com/saml/attributes/email

    Benutzer-E-Mail-Adresse

    https://cloud.samsara.com/saml/attributes/name

    Benutzername

  4. Fügen Sie den Samsara Admin als Benutzer zur neuen Anwendung hinzu.

  5. Tauschen Sie die Metadateninformationen von Samsara mit dem IdP aus, um die Konfiguration abzuschließen.

Samsara JIT-Bereitstellung

Just-in-Time (JIT) Bereitstellung nutzt das SAML-Protokoll, um die Erstellung von Benutzerkonten für verschiedene Webanwendungen zu automatisieren. Es funktioniert, indem Benutzerinformationen von einem Identitätsanbieter (IdP), wie Okta oder Microsoft Entra, übermittelt werden. Wenn sich ein neuer Benutzer zum ersten Mal bei einer autorisierten Anwendung anmeldet, wie zum Beispiel das Samsara-Dashboard, sendet der IdP die notwendigen Details an die Anwendung, wodurch das Benutzerkonto automatisch erstellt wird—und die Notwendigkeit einer manuellen Administratorintervention entfällt.

Samsara unterstützt JIT-Bereitstellung für zwei Arten von Konten:

  • Samsara-Dashboard-Benutzer: Wenn sich ein neuer Administrator zum ersten Mal über Single Sign-On (SSO) über Ihren IdP anmeldet, erstellt das Samsara-Dashboard automatisch ein Konto mit der am wenigsten privilegierten Rolle – der Wartungsrolle. Dieses Konto erhält standardmäßig Gruppe-Zugriff auf die gesamte Organisation. Falls der Administrator eine andere Rolle oder spezifischen Gruppe-Zugriff benötigt, wird empfohlen, den Administrator über CSV mit der entsprechenden Rolle und dem passenden Gruppe-Zugriff hinzuzufügen oder zu aktualisieren.

  • Fahrer: Samsara unterstützt auch die JIT-Bereitstellung für Fahrer-SSO. Wenn sich ein Fahrer zum ersten Mal mit SSO anmeldet, wird sein Konto automatisch im Dashboard erstellt. Das System ordnet den Benutzernamen des Fahrers dem Wert des driver_username-Attributs in Ihrem IdP zu, um einen nahtlosen Zugriff ohne manuelle Bereitstellung zu gewährleisten.

Bei der Implementierung von JIT-Bereitstellung mit SSO sollten Sie beachten, dass die Bereitstellung möglicherweise nicht wie erwartet funktioniert, wenn die E-Mail-Adresse eines Benutzers mit mehreren Organisationen verknüpft ist. Die JIT-Bereitstellung erstellt oder aktualisiert in der Regel Benutzerkonten basierend auf eindeutigen E-Mail-Identifikatoren. Wenn eine E-Mail-Adresse mit mehreren Organisationen verknüpft ist, können Konflikte auftreten, die zu Bereitstellungsfehlern oder Zugriffsproblemen führen.

Um diese Probleme zu vermeiden, stellen Sie sicher, dass die E-Mail-Adresse jedes Benutzers innerhalb der Domain Ihrer Organisation einzigartig ist. Wenn Benutzer Zugriff auf mehrere Organisationen benötigen, sollten Sie in Betracht ziehen, unterschiedliche E-Mail-Aliase zu verwenden oder mit Ihrem IdP zu koordinieren, um den Zugriff auf mehrere Organisationen effektiv zu verwalten.

Entfernen einer SSO-Konfiguration

Wenn Sie eine bestehende SSO-Konfiguration aus Ihrem Samsara-Dashboard löschen müssen, wenden Sie sich bitte an den Samsara Support für Unterstützung.

Derzeit unterstützt das Dashboard keine Selbstbedienungslöschung von SSO-Konfigurationen, um die Sicherheit und Integrität der Authentifizierungs-Integration Ihrer Organisation zu gewährleisten. Unser Support-Team wird Sie durch den Prozess führen, um die SSO-Konfiguration bei Bedarf sicher zu entfernen.

Feedback

War dieser Beitrag hilfreich?
9 von 12 fanden dies hilfreich
Möchten Sie uns noch mehr mitteilen? Wir wollen es gerne hören!
Have more questions? Submit a request
Zurück an den Anfang

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

Verwandte Beiträge

Beiträge in diesem Abschnitt

©2024 Samsara Inc.

Chatten Sie mit uns