Anleitung zur Konfiguration der Single Sign-On (SSO) Anmeldung in der Labordatenbank mit Identitätsanbieter wie z.B. Microsoft Entra ID / Azure AD, Okta, Keycloak, Google,... via OAuth.
Wichtig: Bei vielen SSO Identitätsanbieter läuft das OAuth Client Secret automatisch nach einem Jahr ab und muss dann neu generiert werden.
D.h. empfehlen wir bei der Aktivierung von SSO, dass es zumindest einen Labordatenbank Account gibt, für den die Anmeldung ohne SSO freigeschaltet ist und der über die Zugriffsrechte verfügt um die SSO Einstellungen zu bearbeiten.
Die Anmeldung mit Single Sign-On (SSO) ist Teil der Labordatenbank Enterprise Cloud und kann in den Systemeinstellungen unter folgendem Link aktiviert werden:
https://labordatenbank.com/demo/configs/index/login
Zum Aktivieren von SSO in der Labordatenbank benötigen Sie eine
OAuth Client ID und ein
OAuth Client Secret von Ihrem Identitätsanbieter (z.B. Microsoft Azure AD, Okta, Google, ...), welche Sie dort für die Labordatenbank generieren können.
Nun müssen Sie den OAuth Redirect Link von der Labordatenbank
https://labordatenbank.com/demo/employees/dooauth auf dem Authentifizierungsserver von Ihrem Identitätsanbieter hinterlegen.
Wir zeigen das nachfolgend anhand von
Microsoft Azure AD es sind aber auch andere SSO Provider möglich, die eine Anmeldung mit OAuth 2.0 ermöglichen.
In der Azure Verwaltungsebene kann man den Labordatenbank Redirect Link eintragen, dieser wird Ihnen in den Labordatenbank-Systemeinstellungen angezeigt und ist spezifisch für die jeweilige Instanz, es können auch mehrere Instanz-Links bei Ihrem Identitätsanbieter hinterlegt werden, zum Beispiel je ein Link zu Ihrem Labordatenbank Produktivsystem und Ihrem Labordatenbank-Testsystem.
Nach dem Hinzufügen müssen Sie als Nächstes ein neues Client Secret erstellen und die Gültigkeitsdauer definieren.
Wichtig!: Behalten Sie die Gültigkeitsdauer im Auge, sollte der Zeitraum abgelaufen sein, können sich die Nutzer nicht mehr in der Labordatenbank anmelden (Sie können sich hierzu auch einen Task in der Labordatenbank anlegen).
In der Labordatenbank werden nun die
OAuth Client ID und das
OAuth Client Secret eingegeben.
Jetzt können sich die Nutzer der Labordatenbank mit Ihrem SSO Account in der Labordatenbank anmelden.
Bei der ersten Anmeldung in der Labordatenbank mit SSO kann es sein, dass der Nutzer aufgefordert wird, eine Rückfrage für die Freigabe an den Admin zu stellen. Nach Versendung der Rückfrage wird der Admin des SSO Systems über den Anmeldeversuch informiert und muss die Anmeldung in der Labordatenbank einmalig freigeben.
Nutzer, die keinen SSO Account haben, können mit einer Checkbox aus dem SSO Login herausgenommen werden. Dadurch erhalten Sie zusätzlich zum SSO die Möglichkeit, sich ganz normal in der Labordatenbank mit Passwort und ggf. 2FA anzumelden.
F&Q zu SSO
Frage:
Welche Identitätsanbieter werden von der Labordatenbank unterstützt?
Antwort:
Wir unterstützen alle gängigen OAuth 2.0 Anbieter wie z.B. Microsoft Entra ID / Azure AD, Okta, Keycloak, Google,...
Frage:
Verwendet die Labordatenbank AD-Gruppen, oder geht es nur um die Authentifizierung?
Antwort:
Die Labordatenbank verwendet SSO nur für die Anmeldung (Authentifizierung).
Frage:
Welche Parameter werden für die Einrichtung benötigt?
Antwort:
1.) Name des Identitätsanbieters (z.B. Microsoft Azure AD)
2) OAuth Client ID
3) OAuth Client Secret
Frage:
Gibt es eine Testinstanz, auf der die Einrichtung im Vorfeld getestet werden kann?
Antwort:
Ja, die SSO Anmeldung kann vorab auf Ihrem Labordatenbank-Testsystem getestet werden.
Frage:
Welche Protokolle unterstützt das Labordatenbank SSO System?
Antwort:
OAuth 2.0
