Page tree
Skip to end of metadata
Go to start of metadata

Das Add-on für Single-Sign-On ermöglicht den Zugriff aus dem TecArt CRM auf eine Fremdanwendung bzw. umgekehrt ohne erneut Benutzername und Passwort eingeben zu müssen. Der Fachbegriff SAML steht dabei für Security Assertion Markup Language und ist ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Sie stellt Funktionen bereit, um sicherheitsbezogene Informationen zu beschreiben und zu übertragen.


1. Voraussetzungen und Einstellungen

Add-onFür wen?Fachwissen

ADMINISTRATOR

FACHWISSEN

1.1. Voraussetzungen

  • TecArt CRM ab Version 5.0
  • Ein passendes Add-on/Makro für die Anwendung, welche damit verbunden werden soll

1.2. Einstellungen Add-on

Die Einrichtung besteht aus zwei Teilen. Hierzu wird im ersten Schritt TecArt als Identity Provider eingerichtet. Im zweiten Schritt erfolgt die Einrichtung der jeweiligen Service-Anbieter im TecArt System.

1.2.1. Einrichtung Add-on-Backend

TecArtModulMenü

Administration

Add-ons
Add-ons verwalten

Nach der Installation des Add-ons wird zunächst dieses eingestellt. Hierzu gehen Sie auf Administration > Add-ons > Add-ons verwalten . Wählen Sie das Add-on SAML aus.

  • Im Abschnitt Berechtigte Gruppen sollten möglichst Alle Gruppen Zugriff erhalten. Einschränkungen können zu Fehlverhalten führen und werden an der Stelle auch nicht benötigt.
  • Im folgenden Abschnitt Allgemein tragen Sie in die Felder  Private Key (X509 Certifikate) und  Public Key (X509 Certifikate) die erzeugten privaten und öffentlichen Schlüssel Ihres SSL-Zertifikates ein.

  • Als nächstes wird der  IDP Entity ID / Issuer festgelegt. Diese Bezeichnung kann beliebig gewählt werden. Es kann eine URL oder eine Bezeichnung, wie https://anwendung.meine-url.de oder auch TecArt_CRM sein, welche später beim Service-Provider in der Fremdanwendung angegeben werden muss.
  • Der  Debug-Modus ist in der Regel nicht erforderlich, liefert Ihnen jedoch bei Verbindungsproblemen differenziertere Informationen in der Ereignisanzeige Ihres Systems.


  • Im Abschnitt Externer Zugriff wird der Zugang und Austausch zwischen Ihrem System und der Fremdanwendung über einen Zugangstoken individualisiert. Der  Token wird durch das TecArt CRM automatisch erzeugt und kann über das Icon  neu erzeugt werden. Danach ändert sich auch die entsprechende URL, welche beim Service-Provider wieder angegeben werden muss.

    Wechseln Sie den Token über das Add-on oder ändern Sie Ihre Systemadresse, müssen Sie diese Änderung auch in Ihren Fremdanwendungen eintragen.

  • Die Angabe eines  Benutzer des TecArt´s ist wichtig für die grundlegende Ermittlung von Feldern, welche Später für den Service-Provider benötigt werden. Es spielt dabei keine Rolle, welcher Benutzer gewählt wird. Empfehlung ist jedoch hier einen Administrator zu verwenden.

  • Das Feld  URL zeigt die beim Service-Provider einzutragende Single-Sign-On-URL vollständig inkl. dem Token an. Bei einer Aktualisierung des Token wird diese erst nach dem Speichern angepasst.

1.2.2. Einrichtung Add-on-Anwendung

TecArtModulMenü

Administration

Add-ons
SAML Single-Sign-On

Nachfolgend werden für die Einrichtung der Anwendung auch Informationen aus Ihrer Drittanwendung benötigt. Die Einrichtung ist daher eine wechselseitige Einrichtung.

Sobald die Vorbereitungen für das Add-on abgeschlossen sind, kann mit der Einrichtung der Anwendungen begonnen werden. Hierzu gehen Sie über   Administration > Add-ons auf SAML Single-Sign-On . Sollte nach der Installation der Menüeintrag fehlen, ist eine Aktualisierung des TecArt CRM mittels F5 notwendig.

  • Nun wird die Seite des Service-Providers eingerichtet und Angaben aus der Fremdanwendung benötigt. Für eine neue Anwendung klicken Sie zunächst auf den Button Neu .
  • Die Vergabe eines Namens Name ist dabei nur die Bezeichnung der Anwendung und wird später auf der linken Seite des Fensters angezeigt.
  • Ihr Service-Provider stellt die  Entity ID / Issuer zur Verfügung. Auch hier kann das eine Bezeichnung oder eine URL sein.
  • Im Feld  Authentication URL (SSO) wird die vorgesehene URL des Service-Providers eingetragen. Diese kann auch mit ACS URL abgekürzt sein.
  • Die Audience URI des Service-Providers wird in das gleichnamige Feld  Audience URI eingetragen. Dies kann unter Umständen auch die SP Entity ID / Issuer sein.
  • Der Service-Provider (Drittanwendung) stellt darüber hinaus noch einen öffentlichen Schlüssel für das Zertifikat aus, welchen Sie in das Feld   Public Key (X509 Certicate) eintragen.
  • Abschließend sind die Angaben durch  Speichern abzuschließen.

Nun sind die Einstellungen auf TecArt-Seite abgeschlossen und die Einstellungen auf Seiten des Service-Providers können vorgenommen werden.

2. Einrichtung der Fremdanwendung

2.1. Confluence und Jira am Beispiel miniOrange SAML SSO

2.1.1. Einrichtung der Drittanwendung

Es wird bereits davon ausgegangen, dass das Makro in Confluence bzw. Jira installiert wurde, denn sonnst hätten Sie die Angaben unter Einrichtung Add-on-Anwendung nicht fertigstellen können. Die nachfolgenden Bilder geben eine Beispielkonfiguration wieder und sind nicht als verbindlich anzusehen.

  • Konfigurieren Sie im ersten Schritt eine neue Identität Add New IDP. In unserem Beispiel hat diese den Namen TecArt erhalten. Sie werden anhand des Assistenten durch die Konfiguration geführt, können die Einstellungen auch jederzeit manuell ausführen bzw. ändern.

    Die Beispiele in den Screenshots sind auch als solche zu verstehen und geben einen groben Überblick. Bitte passen Sie die Einstellungen an Ihre speziellen Anforderungen und Bedürfnisse an. Sie sind daher nicht als abschließend zu betrachten.

  • Die SSO Endpoints in der Einrichtung liefern die Angaben für die Einstellungen des Identity-Providers im TecArt-Add-on
  • Für die weitere Konfiguration sind 2 verschiedene Browser zu empfehlen, damit man die vorgenommenen Einstellungen direkt überprüfen kann.
  • So wie im Add-on auch, sind hier in Ihrer Drittanwendung Angaben für die TecArt-Seite notwendig. Dabei wird im Feld IDP Name (IDP = Identity-Provider) ein Name des IDP angegeben. Wichtiger ist das Feld IDP Entity ID / Issuer. Dies ist der im Feld  IDP Entity ID / Issuer festgelegte Name.
  • Das Feld Single Sign On URL erhält die URL inkl. Token aus dem Feld  URL
  • In das Feld IDP Signing Certificate tragen Sie den öffentlichen Schlüssel des Zertifkates aus dem Feld Public Key (X509 Certifikate) ein.
  • Nach dem Speichern (Save) kann dann bereits der Test der Konfiguration (Test Configuration) durchgeführt werden, welcher weitere wichtige Informationen liefert. Der Test wird ggf. noch kein gültiges Login liefern.

  • Der Test liefert für den Schritt User Profile die Informationen zum Befüllen der Felder
  • Dabei kann festgelegt werden, ob wahlweise im Feld Login Confluence user account by der Login mittels username oder email erfolgen soll. Die entsprechenden Attribute des Tests sind generell in die dafür vorgesehenen Felder Username, Email und Full Name Attribute einzutragen. Derzeit werden nicht mehr Attribute aus dem TecArt CRM bereitgestellt. Dies würde eine Erweiterung des Add-ons erfordern. Wenn Sie sich bei Bedarf bitte an unseren Vertrieb.
  • Nach dem Speichern können Sie im Schritt SSO Endpoints erneut den Test durchführen. Dieser sollte jetzt ein Test Successful oder die Startseite Ihres TecArt CRM zurück liefern.

  • Über User Groups legen Sie fest, welche Berechtigungen Sie neuen Mitgliedern nach dem ersten Login bereitstellen wollen.

  • Weitere Einstellungen, u.a. die, ob neue Benutzer automatisch oder nicht automatisch angelegt werden dürfen. Allow User Creation schaltet an dieser Stelle das automatische Anlegen ein. Bitte beachten Sie bei automatischer Neuanlage auf eine ausreichende Anzahl von Lizenzen.


  • Über den Abschnitt SSO Setting haben Sie die Möglichkeit weitere Einstellungen vorzunehmen und auch einen eigenen Login Button Text festzulegen. Darüber hinaus können Sie in den anderen Teilen weitere Individualisierungen einstellen.

2.1.2. Test des Zugangs zur Drittanwendung

Für den Test wird nun der Zugang zwischen der Drittanwendung über Ihren TecArt-Zugang überprüft.

Für den Test sollten Sie unbedingt einen anderer Browser verwenden. Durch verschiedene Einstellungen können Sie andernfalls aus der derzeitigen Administration abgemeldet werden. Nur über einen anderen Browser bleiben Sie in der aktuellen Administration eingeloggt und können noch Korrekturen durchführen.

Rufen Sie Ihre jeweilige Seite Ihres Confluence bzw. Jira auf

Statt der Eingabe eines Benutzernamens und Passwortes, nutzen Sie nun den 2. Button - in diesem Fall TecArt-CRM Login. Sie werden zur Login-Seite Ihres TecArt CRM weitergeleitet.

Geben Sie nun Ihren Benutzernamen und das Passwort zu Ihrem TecArt System ein.

Ist der Login erfolgreich, kehren Sie automatisch zu Jira bzw. Confluence zurück und Sie sind eingeloggt.

2.1.3. Button im TecArt CRM erstellen

Selbstverständlich können Sie Ihrem TecArt CRM einen Button zur Anwendung, wie Jira oder Confluence einrichten, welcher Ihre URL aufruft. Damit Sie die Vorteile von Single-Sign-On aber richtig auskosten können, sollten Sie einen angepassten Button in Ihrem TecArt CRM einrichten.

Wechseln Sie in Ihrer Drittanwendung und den Einstellungen zu SSO Endpoints und kopieren Sie sich aus dem Feld die dort angezeigte URL.

Beispiel: https://confluence.meine-domain.de/plugins/servlet/saml/auth?idp=0815d7e0-3a8b-45b2-7444-d2d2ea6b2438

Erweitern Sie die URL zwischen ...auth? und idp... um Ihre Seite, welche ggf. nach dem Login automatisch aufgerufen werden soll mit dem Attribut return_to=https://meine-zielseite.meine-domain.de&

Beispiel: https://confluence.meine-domain.de/plugins/servlet/saml/auth?return_to=https://meine-zielseite.meine-domain.de&idp=0815d7e0-3a8b-45b2-7444-d2d2ea6b2438

Rufen Sie nun im TecArt CRM über Administration > Module > Hauptmenü die Konfiguration Ihres Hauptmenüs auf.

Erstellen Sie einen neuen Eintrag für Ihre Anwendung über  Neu . Füllen Sie die erforderlichen Felder aus und nehmen Sie die erforderlichen Einstellungen vor. In das Feld  Link tragen Sie dabei Ihre URL ein.

Testen Sie Ihren neuen Hauptmenüeintrag. Dieser sollte Sie jetzt direkt in Ihre Drittanwendung führen ohne eine weitere Loginseite. Sofern der Eintrag noch nicht sichtbar ist, aktualisieren Sie die Anwendung über  F5 .