Integration: SAML
Mit SAML (Security Assertion Markup Language) konfigurieren Sie Single Sign-On (SSO) für das eTASK-Portal. Benutzer melden sich einmal bei ihrem Identity Provider (z. B. Microsoft Entra ID, ForgeRock) an und erhalten Zugang zu eTASK ohne erneute Anmeldung.
Voraussetzungen
- Administratorrechte im eTASK-Portal
- Identity Provider (IdP), der SAML 2.0 unterstützt (z. B. Microsoft Entra ID, ForgeRock, ADFS)
- Metadaten-URL des Identity Providers
- Zertifikate für Signierung und ggf. Verschlüsselung (unter Globale Basisdaten → Zertifikate hinterlegt)
- HTTPS muss für das eTASK-Portal aktiv sein
Schritt 1: Lokaler Service Provider konfigurieren
Pfad zum Ausgangspunkt: Systemsteuerung → Portal-Optionen → Schnittstellen → Schnittstellenkonfiguration → SAML → Lokaler Service Provider
Verwaltung der lokalen Service Provider-Konfiguration für die SAML-basierte Authentifizierung. Sie können hier die Identität und technischen Parameter Ihrer eTASK-Instanz als Service Provider definieren, die für die sichere Kommunikation mit externen Identity Providern (z. B. Entra ID, ForgeRock) benötigt werden. Dies umfasst Organisationsdaten, Sicherheitszertifikate und Kontaktinformationen.
Infobereich „Service Provider"
Grundlegende Identifikations- und Organisationsdaten Ihres lokalen Service Providers sowie die für die SAML-Authentifizierung erforderlichen Sicherheitszertifikate und Kontaktpersonen.
| Feld | Beschreibung |
|---|---|
| Organisation | Offizieller Name Ihrer Organisation, der im SAML-Metadaten-Austausch verwendet wird. |
| Organisation (display name) | Anzeigename Ihrer Organisation für die Darstellung in Benutzeroberflächen und Anmeldemasken. |
| Organisation URL | Webadresse (URL) Ihrer Organisation, die im SAML-Metadaten-Dokument hinterlegt wird. |
| Zertifikat Authentifizierung | Digitales Zertifikat zum Signieren der ausgehenden SAML-Authentifizierungsanforderungen an den Identity Provider. |
| Zertifikat Verschlüsselung | Digitales Zertifikat zum Verschlüsseln der von Identity Providern empfangenen SAML-Antworten und Assertions. |
| Kontaktperson (Support) | Name der Support-Kontaktperson Ihrer Organisation für SAML-bezogene Anfragen. |
| Kontaktperson (Support) Email | E-Mail-Adresse der Support-Kontaktperson für SAML-bezogene Supportanfragen. |
| Kontaktperson (Technik) | Name der technischen Kontaktperson Ihrer Organisation für SAML-Konfiguration und -Integration. |
| Kontaktperson (Technik) Email | E-Mail-Adresse der technischen Kontaktperson für SAML-Integrations- und Konfigurationsfragen. |
Infobereich „Konfigurationsparameter"
Sicherheits- und Verhaltensparameter, die das SAML-Protokollverhalten Ihres Service Providers steuern – insbesondere die Anforderungen an digitale Signaturen für ausgehende Anfragen und eingehende Assertions.
| Feld | Beschreibung |
|---|---|
| AuthnReguestsSigned | Legt fest, ob alle von diesem Service Provider ausgehenden SAML-Authentifizierungsanforderungen (AuthnRequests) digital signiert werden müssen. |
| WantAssertionsSigned | Legt fest, ob alle von Identity Providern eingehenden SAML-Assertions digital signiert sein müssen, damit sie akzeptiert werden. |
Metadaten exportieren
Dieser Infobereich stellt Exportoptionen für die SAML-Konfiguration bereit. Über die Export-Funktion können Sie die SP-Metadaten als XML-Datei herunterladen. Diese Datei benötigen Sie für die Konfiguration beim Identity Provider.
Schritt 2: Identity Provider anlegen
Pfad zum Ausgangspunkt: Systemsteuerung → Portal-Optionen → Schnittstellen → Schnittstellenkonfiguration → SAML → Identity Provider
Verwalten Sie hier die Identity Provider für die SAML-basierte Anmeldung (z. B. Microsoft Entra ID, ForgeRock). Sie konfigurieren die Verbindungsparameter, Sicherheitseinstellungen und Authentifizierungsverhalten für jeden Provider. Diese Konfiguration ermöglicht es Ihren Benutzern, sich mit ihren Unternehmenskonten sicher am Portal anzumelden (Single Sign-On).
Über das ButtonMenü können Sie die aus Azure erzeugte Verbundmetadaten-XML importieren. Diese XML beinhaltet unter anderem auch die benötigten Zertifikate.
Infobereich „Provider"
Grundlegende Identifikations- und Verbindungsparameter Ihres Identity Providers. Legen Sie hier fest, welcher Provider aktiv ist, wie er angesprochen wird und ob eine automatische Anmeldung erfolgen soll. Die Metadaten-URL ermöglicht das automatische Einlesen der Provider-Konfiguration.
| Feld | Beschreibung |
|---|---|
| Code | Eindeutige Kurzbezeichnung zur Identifikation des Identity Providers in der Konfiguration (z. B. "ENTRA", "FORGEROCK", "OKTA"). |
| Aktiv | Aktivieren Sie diese Option, um den Identity Provider für die Anmeldung freizugeben. Nur aktive Provider können von Benutzern zur Authentifizierung verwendet werden. |
| AutoLogin | Aktivieren Sie diese Option, um Benutzer beim Aufruf der Portal-URL automatisch per SAML anzumelden. Schlägt die Authentifizierung fehl, wird keine Anmeldung durchgeführt und der Benutzer erhält eine Fehlermeldung. Nutzen Sie diese Funktion nur, wenn alle Benutzer diesen Identity Provider verwenden. |
| Aussteller | Aussteller-URL. Gibt Information darüber, welcher Anbieter die SAML-Identifizierung durchführt. |
| Anmelde URL | Anmelde-URL des SAML Providers. |
| MetaData URL | URL, von der die Metadaten-XML des Identity Providers automatisch abgerufen werden kann. Die Metadaten enthalten alle notwendigen technischen Parameter für die SAML-Konfiguration (Zertifikate, Endpunkte, Signierungs-Vorgaben). |
Infobereich „Parameter" (Anforderungsrichtlinien)
Sicherheits- und Protokollparameter für die SAML-Kommunikation zwischen Service Provider und Identity Provider. Definieren Sie hier detailliert, welche Sicherheitsanforderungen erfüllt sein müssen – von der Signierung der Anfragen und Antworten bis zur Verschlüsselung der Assertions. Diese Einstellungen steuern die technische Sicherheit des Single Sign-On-Prozesses.
| Feld | Beschreibung |
|---|---|
| NameIDFormat | Legen Sie hier das Format der NameID fest, mit der Benutzer in SAML-Assertions eindeutig identifiziert werden. Die Wahl des Formats beeinflusst Sicherheit und Datenschutz. Gängige Formate sind: emailAddress (E-Mail-Adresse), persistent (dauerhafte anonyme ID), transient (temporäre ID pro Sitzung), X509SubjectName, WindowsDomainQualifiedName, kerberos, entity oder unspecified. Stimmen Sie das Format mit Ihrem Identity Provider ab. |
| AuthnRequest signieren? | Aktivieren Sie diese Option, damit Ihre eTASK-Instanz ausgehende Authentifizierungsanfragen (AuthnRequest) digital signiert. Die Signierung erhöht die Sicherheit, da sie die Integrität und Authentizität der Anfrage gegenüber dem Identity Provider gewährleistet. Viele Identity Provider erwarten oder verlangen signierte Anfragen. |
| Signierter AuthnRequest erwartet? | Aktivieren Sie diese Option, wenn Ihr Identity Provider verlangt, dass Authentifizierungsanfragen digital signiert sein müssen. Ist diese Anforderung aktiv, werden nur signierte AuthnRequests vom Identity Provider akzeptiert. Dies entspricht den Sicherheitsrichtlinien vieler Unternehmen und erhöht die Integrität der Authentifizierung. |
| Flexible Signierung von Response oder Assertion zulässig? | Aktivieren Sie diese Option, wenn Sie verlangen, dass der Identity Provider entweder die Assertion oder die gesamte SAML-Response signiert. Diese flexible Einstellung erlaubt beide Signierungsarten und ist weniger restriktiv als die Vorgabe einer spezifischen Signierung. So können Sie mit verschiedenen Identity Provider-Konfigurationen kompatibel bleiben. |
| Signierte Assertions erwartet? | Aktivieren Sie diese Option, wenn Sie verlangen, dass der Identity Provider die Assertions digital signiert. Eine Assertion ist die Sicherheitsaussage mit den Authentifizierungsinformationen (Benutzer-ID, Attribute, Authentifizierungsstatus). Die Signierung stellt sicher, dass die Assertion nicht manipuliert wurde und tatsächlich vom Identity Provider stammt. Dies ist eine wichtige Sicherheitsanforderung. |
| Signierte SAML Response erwartet? | Aktivieren Sie diese Option, wenn Sie verlangen, dass der Identity Provider die gesamte SAML-Response (nicht nur die Assertion) digital signiert. Die Signierung der kompletten Response-Nachricht erhöht die Sicherheit, da sie die Integrität und Authentizität aller übermittelten Daten – einschließlich aller technischen Parameter – gewährleistet. |
| Signierter Logout Request erwartet? | Aktivieren Sie diese Option, wenn Ihr Identity Provider verlangt, dass Abmeldeanfragen (Logout Requests) vom Service Provider digital signiert werden müssen. Dies verhindert, dass unbefugte Dritte Benutzer aus dem System abmelden können, und gewährleistet die Integrität des Logout-Prozesses. |
| Signierte Logout Antworten erwartet? | Aktivieren Sie diese Option, wenn Sie verlangen, dass der Identity Provider seine Abmeldeantworten (Logout Responses) digital signiert. Die Signierung stellt sicher, dass die Abmeldebestätigung tatsächlich vom Identity Provider stammt und nicht von einem Angreifer vorgetäuscht wird. Dies schützt vor Session-Hijacking beim Logout. |
| Verschlüsselte Assertion erwartet? | Aktivieren Sie diese Option, wenn Sie verlangen, dass der Identity Provider die Assertions verschlüsselt übermittelt. Die Verschlüsselung schützt die Vertraulichkeit der Benutzerinformationen (Benutzer-ID, Attribute) während der Übertragung zusätzlich zur TLS-Verschlüsselung. Dies bietet einen zusätzlichen Schutz bei höchsten Sicherheitsanforderungen (z. B. für kritische Infrastrukturen). |
Infobereich „ID Attribut"
Zuordnung zwischen dem Benutzeridentifikationsmerkmal in eTASK (z. B. E-Mail, Personalnummer) und dem entsprechenden Attribut, das der Identity Provider in der SAML-Assertion bereitstellt. Diese Zuordnung ist entscheidend dafür, dass das System den angemeldeten Benutzer korrekt identifiziert und zuordnet.
| Feld | Beschreibung |
|---|---|
| Personal Feldname | Wählen Sie hier das Personal-Merkmal aus eTASK, gegen das die Identity-Provider-ID geprüft werden soll (z. B. E-Mail, Personalnummer, Benutzername). Dieses Feld muss im Personal-Stammsatz gefüllt sein, um die Zuordnung zu ermöglichen. |
| Provider Attribut Name | Geben Sie hier den Namen des Attributs an, das der Identity Provider zur Benutzeridentifikation verwendet (z. B. "mail", "email", "employeeID", "userPrincipalName"). In der Regel wird die E-Mail-Adresse genutzt. Prüfen Sie die Dokumentation Ihres Identity Providers für die verfügbaren Attribute. |
Infobereich „Anmelde-Grafik"
Laden Sie hier ein Logo des Identity Providers hoch, das auf der Anmeldeseite des eTASK-Portals angezeigt wird.
Infobereich „Federation Metadata"
Vollständige Metadaten-XML des Identity Providers. Diese Daten enthalten alle technischen Konfigurationsparameter für die SAML-Verbindung und können hier direkt eingefügt oder über die Metadaten-URL automatisch geladen werden. Die Metadaten werden in der Regel vom Identity Provider bereitgestellt.
Schritt 3: Attribut-Mapping konfigurieren
Pfad zum Ausgangspunkt: Systemsteuerung → Portal-Optionen → Schnittstellen → Schnittstellenkonfiguration → SAML → Identity Provider Mapping
Ordnen Sie hier die Personalmerkmale aus eTASK den entsprechenden Attributen Ihres Identity Providers zu. Diese Zuordnung steuert, welche Benutzerinformationen vom Identity Provider (z. B. Entra ID, ForgeRock) in welche eTASK-Personalfelder übernommen werden. Das korrekte Mapping ist entscheidend für die automatische Synchronisation der Benutzerdaten bei der SAML-Anmeldung.
Infobereich „Attribute-Mapping"
Definieren Sie die Zuordnung zwischen den eTASK-Personalfeldern und den Attributen Ihres Identity Providers. Jede Zeile verknüpft ein Merkmal aus eTASK mit dem entsprechenden Attributnamen, den Ihr Identity Provider bereitstellt.
| Feld | Beschreibung |
|---|---|
| Personal Feldname | Wählen Sie hier das eTASK-Personalfeld aus, in das die Daten vom Identity Provider übernommen werden sollen (z. B. Vorname, Nachname, E-Mail). |
| Provider Attribut | Geben Sie hier den exakten Attributnamen an, wie er vom Identity Provider bereitgestellt wird (z. B. 'givenName', 'surname', 'mail'). Die Schreibweise muss exakt mit den Angaben des Identity Providers übereinstimmen. |
Systemparameter
Pfad zum Ausgangspunkt: Systemsteuerung → Portal-Optionen → Konfigurationsparameter
Die folgenden Systemparameter sind für die SAML-Integration relevant. Sie steuern den CSRF-Schutz und die Zertifikatsbehandlung, die bei der Kommunikation mit externen Identity Providern eine Rolle spielen.
| Parameter | Beschreibung | Standardwert |
|---|---|---|
| ANTICROSSSITEREQUESTFORGERY | Aktiviert den CSRF-Schutz (Cross-Site Request Forgery) für das Portal. Bei aktivierter SAML-Anmeldung sollte dieser Parameter auf 1 gesetzt werden, damit nur Anfragen von vertrauenswürdigen Quellen akzeptiert werden. Stellen Sie sicher, dass die URL Ihres Identity Providers in ALLOWEDREFERERS hinterlegt ist. |
0 (deaktiviert) |
| ALLOWEDREFERERS | Kommagetrennte Liste vertrauenswürdiger Domains, die bei aktiviertem CSRF-Schutz erlaubt sind. Tragen Sie hier die URL Ihres Identity Providers ein (z. B. https://login.microsoftonline.com), damit die SAML-Anmeldung nicht durch den CSRF-Schutz blockiert wird. |
(leer) |
| ALLOWCERTIFICATEERROR | Steuert, ob SSL-Zertifikatfehler bei Verbindungen zu externen Diensten (z. B. Metadaten-URL des Identity Providers) toleriert werden. Wert 1 toleriert Fehler (nur für Testzwecke), Wert 0 erzwingt gültige Zertifikate (empfohlen für Produktionsumgebungen). |
0 (deaktiviert) |