SAML Single Sign-On (SSO)

Übersicht über die SAML-Integration

SAML (Security Assertion Markup Language) ist ein Standard für die Anmeldung von Nutzerinnen und Nutzern bei Anwendungen auf Basis ihrer Sitzung in einem anderen Kontext. SAML ermöglicht Single Sign-On (SSO), wodurch sich Nutzerinnen und Nutzer mit einem einzigen Satz an Anmeldedaten bei mehreren Anwendungen anmelden können.

Diese Methode hat erhebliche Vorteile gegenüber der Anmeldung mit Nutzernamen und Passwort. Mit dieser Methode müssen die Nutzerinnen und Nutzer keine Anmeldedaten eingeben, sich keine Passwörter merken oder diese aktualisieren und sich keine Sorgen über schwache Passwörter machen. Die meisten Organisationen kennen bereits die Identität der Nutzerinnen und Nutzer, da sie in ihrer Active Directory-Domain oder im Intranet angemeldet sind. Es liegt nahe, diese Informationen zu nutzen, um Nutzerinnen und Nutzer auch bei anderen Anwendungen anzumelden, z. B. bei webbasierten Anwendungen. Hierfür kann SAML verwendet werden. 

Weitere Informationen zu SAML finden Sie in den nachfolgenden Abschnitten.

So funktioniert SAML/SSO

Beim SAML Single Sign-On (SSO) wird die Identität von Nutzerinnen und Nutzern vom Identitätsanbieter an den Dienstanbieter übermittelt. Dabei werden digital signierte XML-Dokumente ausgetauscht. Stellen Sie sich folgendes Szenario vor: Eine Nutzerin oder ein Nutzer ist bei einem System angemeldet, das als Identitätsanbieter fungiert. Die Nutzerin oder der Nutzer möchte sich bei einer Remote-Anwendung anmelden, z. B. im KnowBe4-Nutzerbereich oder bei einem anderen Dienstanbieter.

In diesem Szenario laufen die folgenden Schritte ab:

  1. Die Nutzerin oder der Nutzer klickt über das Intranet des Unternehmens, ein Lesezeichen oder eine ähnliche Option auf den Link zur Anwendung. Dann wird die Anwendung geladen.
  2. Die Anwendung identifiziert die Herkunft der Nutzerin oder des Nutzers und leitet sie bzw. ihn zurück zum Identitätsanbieter, indem die Authentifizierung angefordert wird. Um die Herkunft der Nutzerin oder des Nutzers zu ermitteln, verwendet die Anwendung die Subdomain der Anwendung, die IP-Adresse der Nutzerin oder des Nutzers oder ähnliche Informationen. Hierbei handelt es sich um eine Authentifizierungsanfrage.
  3. Die Nutzerin oder der Nutzer befindet sich entweder bereits in einer Sitzung mit dem Identitätsanbieter oder es wird eine Sitzung durch die Anmeldung beim Identitätsanbieter gestartet.
  4. Der Identitätsanbieter erstellt die Authentifizierungsantwort in Form eines XML-Dokuments, das den Nutzernamen oder die E-Mail-Adresse der Nutzerin oder des Nutzers enthält. Anschließend signiert der Identitätsanbieter das Dokument mit einem X.509-Zertifikat und übermittelt diese Informationen an den Dienstanbieter.
  5. Der Dienstanbieter ruft die Authentifizierungsantwort ab und validiert sie anhand des Zertifikat-Fingerabdrucks. Der Dienstanbieter kennt den Identitätsanbieter bereits und verfügt über einen Zertifikat-Fingerabdruck. Die Identität der Nutzerin oder des Nutzers wird festgestellt.

Eine visuelle Hilfe für diesen Ablauf finden Sie auf dem folgenden Screenshot:

Weitere Informationen zur grundlegenden Funktionsweise von SAML und SSO finden Sie im Artikel Was ist SAML und wie funktioniert die SAML-Authentifizierung? von auth0.

So funktioniert SAML für den Nutzerbereich

KnowBe4 unterstützt SAML 2.0. SAML für den KnowBe4-Nutzerbereich funktioniert auf die gleiche Weise wie für alle anderen Dienstanbieter. Normalerweise wird die Nutzerauthentifizierung einer Organisation durch das gewählte Authentifizierungssystem verwaltet, z. B. Active Directory (AD) oder LDAP (Lightweight Directory Access Protocol). Diese Authentifizierungssysteme werden als Identitätsanbieter bezeichnet.

Der Dienstanbieter, in diesem Fall der Nutzerbereich, erlaubt dem Identitätsanbieter, Nutzerinnen und Nutzer zu authentifizieren und sie dann bei ihrem Nutzerbereich anzumelden. Mit anderen Worten: Die Nutzerinnen und Nutzer können sich auf ihrem Arbeitsgerät anmelden und haben automatisch Zugriff auf die Anwendungen ihrer Organisation, z. B. auf ihre E-Mails oder das CRM-System (Customer Relationship Management), ohne sich separat bei diesen Diensten anmelden zu müssen. Dies ist nicht nur bequem für die Nutzerinnen und Nutzer. Die gesamte Nutzerauthentifizierung wird intern von einem einzigen System abgewickelt, über das Sie die volle Kontrolle haben.

Nachdem Sie SAML als SSO-Typ (Single Sign-On) für den Nutzerbereich aktiviert haben, werden Nutzerinnen und Nutzer, die sich beim Nutzerbereich anmelden möchten, zur Authentifizierung an Ihren SAML-Server weitergeleitet. Die Identitäten Ihrer Nutzerinnen und Nutzer können entweder auf dem SAML-Server gespeichert oder durch ein Identitätsverzeichnis wie Microsoft Active Directory oder LDAP (Lightweight Directory Access Protocol) validiert werden. Nach der Authentifizierung werden die Nutzerinnen und Nutzer zurück zu ihrem Nutzerbereich weitergeleitet und automatisch angemeldet.

Hinweis: Stellen Sie sicher, dass die E-Mail-Adresse, die Ihre Nutzerinnen und Nutzer für die Authentifizierung über SAML verwenden, entweder in das Feld E-Mail oder in das Feld E-Mail-Aliasse des jeweiligen Nutzerprofils eingegeben wird. E-Mails zu Trainingsbenachrichtigungen werden jedoch nur an die im Feld E-Mail aufgeführte E-Mail-Adresse gesendet. Weitere Informationen zum Hinzufügen von Informationen zu Nutzerprofilen finden Sie in unserem Nutzerprofil-Leitfaden.

Einrichten von SAML/SSO für Ihre Organisation

KnowBe4 unterstützt SAML 2.0. Wenn Sie die SAML-Integration in Ihrer KSAT-Konsole aktivieren möchten, lesen Sie unseren Artikel So aktivieren Sie die einmalige SAML-Anmeldung für Ihren SSO-Anbieter.

Wenn Ihr SAML-Anbieter nicht aufgeführt ist und Sie Hilfe benötigen, wenden Sie sich an unser Support-Team.

Sie finden nicht, wonach Sie suchen?

Support kontaktieren