Einführung
Unmind nutzt Auth0 von Okta, um Single Sign-on SSO mit dem SAML 2.0 Protokoll zu ermöglichen.
Auth0 entspricht den Anforderungen der DSGVO, HIPAA und HITECH, CSA STAR, ISO 27001/27018, PCI DSS und SOC2.
Benutzerkonten werden mit Unmind auf einer Just-in-Time-Basis über SAML SSO bereitgestellt.
Unmind unterstützt die SCIM-Provisionierung nicht. Die Deprovisionierung erfolgt über eine separate HRIS-Verbindung.
Einrichtungsanforderungen
Bitte stelle Unmind die folgenden Informationen zur Verfügung:
- Die direkten Kontaktdaten des Teams/der Person, die für die Verwaltung und Konfiguration von Verbindungen in deinem SSO-Anbieter (z. B. Okta, OneLogin, Microsoft Azure Active Directory) zuständig ist.
- Der zu verwendende eindeutige Bezeichner - wir unterstützen die Möglichkeit, eine E-Mail-Adresse oder eine Mitarbeiter-ID als eindeutigen Bezeichner für Benutzerkonten zu verwenden (in der Regel ist dies eine E-Mail-Adresse).
- Ob du den vom Identitätsanbieter initiierten IdP-Fluss als Teil der SSO-Einrichtung aktivieren möchtest.
SSO SAML-Konfigurationsprozess
1. Unmind stellt eine SAML-Metadaten-Datei zur Verfügung, die Folgendes von uns enthält:
- SP Entity ID/Audience URI
- X509-Verifizierungszertifikate
- Protokollendpunkte Assertion Consumer Service URL
2. Bitte konfiguriere eine SSO-Verbindung in deinem SSO-Anbieter (z. B. Okta/MS Azure) unter Verwendung der bereitgestellten Metadaten-Datei.
3. Bitte stelle sicher, dass die Verbindung so konfiguriert ist, dass die folgenden Attribute an Unmind gesendet werden, mit einem Namensformat "Basic";
- Vorname
- Nachname
- E-Mail-Adresse (wenn eine E-Mail-Adresse als eindeutiger Bezeichner verwendet wird)
- Mitarbeiter-ID (wenn eine Mitarbeiter-ID als eindeutiger Bezeichner verwendet wird)
4. Sobald die SSO-Verbindung eingerichtet ist, sende bitte deine Metadaten-Datei an Unmind.
5. Unmind konfiguriert dann die SSO-Verbindung in den Unmind-Systemen.
6. Wenn du die Aktivierung des IdP-Flusses angefordert hast, stellt Unmind auch einen aktualisierten Wert für das Konfigurationsfeld "Single Sign-on" in deinem SSO-Anbieter bereit, um den IdP-Fluss zu aktivieren.
Testen der SSO-Verbindung
Sobald die Konfiguration abgeschlossen ist, stellt Unmind eine URL bereit, von der aus du die Anmeldung mit Service-Provider-Initiated SSO testen kannst.
Wenn du beantragt hast, dass der IdP-Flow aktiviert wird, bitten wir dich auch darum, dies zu testen.
Für einen erfolgreichen Test:
- Neue Benutzer werden, sobald sie sich über SSO angemeldet haben, um ihre Zustimmung zum Erhalt von E-Mails von Unmind und zur Angabe einiger zusätzlicher demografischer Informationen gebeten, bevor sie auf die "Heute"-Seite von Unmind weitergeleitet werden.
- Bestehende Benutzer, die bereits ein Unmind-Konto erstellt haben, bevor SSO aktiviert wurde, werden auf die "Heute"-Seite von Unmind weitergeleitet. Hinweis: Wenn die Mitarbeiter-ID als eindeutiger Bezeichner verwendet wird, werden die Mitarbeiter aus Sicherheitsgründen aufgefordert, ihr ursprüngliches Unmind-Passwort einzugeben. Die Mitarbeiter müssen dies nur bei der ersten Anmeldung mit SSO tun. Danach werden die Mitarbeiter direkt auf die "Heute"-Seite von Unmind weitergeleitet.
Sollte der Test nicht erfolgreich sein, sende bitte einen vollständigen Screenshot der Seite, auf der du landest, an Unmind, um die Fehlerbehebung zu erleichtern.
Einführung von SSO
Nach erfolgreichem Test arbeitet Unmind mit dir zusammen, um SSO als primäre Anmeldemethode auf deiner Unmind.com Subdomain zu aktivieren.