Einmalige Anmeldung (SSO) in Quire Permalink

KI-übersetzt
· Auf Englisch ansehen

Einmalige Anmeldung (SSO) ist ausschließlich im Enterprise-Plan verfügbar. Weitere Informationen finden Sie auf unserer Preisseite.

Einmalige Anmeldung (SSO) in Quire ermöglicht es Mitgliedern, sich über einen zentralen Identity Provider (IdP) mit SAML 2.0 zu authentifizieren. Unterstützte Anbieter sind unter anderem Okta, OneLogin, Azure AD B2C sowie alle anderen SAML 2.0-kompatiblen IdPs.

SSO-Übersicht

SSO ermöglicht es Benutzern, sich bei Quire mit einem einzigen Satz von Anmeldedaten über ihren Identity Provider anzumelden, anstatt ein separates Quire-Passwort zu verwalten.

Wenn SSO für Ihre Quire-Organisation aktiviert ist:

  • Mitglieder melden sich über den Identity Provider ihres Unternehmens an
  • Es wird kein separates Quire-Passwort benötigt
  • Die Authentifizierung ist zentralisiert und sicherer
  • Die Anmeldeverwaltung wird für IT-Administratoren vereinfacht


Quire unterstützt SAML 2.0-Authentifizierung und funktioniert mit:

  • Okta
  • OneLogin
  • Azure AD B2C
  • Jedem IdP, der SAML 2.0 unterstützt


Sobald SSO aktiviert ist, melden sich Organisationsmitglieder über den IdP an, anstatt ein Quire-Passwort zu verwenden.

Identity Provider (IdP) konfigurieren

Bevor Sie SSO in Quire aktivieren, müssen Sie zunächst Ihren Identity Provider konfigurieren.

Schritt 1: SAML 2.0-Anwendung erstellen

  1. Melden Sie sich bei der Admin-Konsole Ihres Identity Providers an.
  2. Erstellen Sie eine neue SAML 2.0-Anwendung.
  3. Geben Sie die folgenden SAML-Konfigurationsdetails ein:
SAML-Attribut Ihrem Identity Provider zuordnen
https://quire.io/sso/login SAML Assertion Consumer Service (ACS)-URL der Anwendung
https://quire.io/sso/metadata SP-Entitäts-ID der Anwendung
E-Mail-Adresse des Mitglieds NameID-Format

Schritt 2: Erforderliche SAML-Details erfassen

Kopieren Sie nach dem Erstellen der Anwendung die folgenden Informationen:

  • URL des Identity Providers
  • Entitäts-ID
  • Base64-X.509-Zertifikat

Schritt 3: Benutzer im Identity Provider zuweisen

  1. Fügen Sie der neu erstellten Quire-SAML-Anwendung Benutzer oder Gruppen hinzu.
  2. Stellen Sie sicher, dass die entsprechenden Zugriffsberechtigungen zugewiesen sind.


Benutzer müssen im IdP zugewiesen sein, bevor sie sich per SSO authentifizieren können.

SSO in Quire konfigurieren

Schritt 1: Organisationseinstellungen öffnen

  1. Klicken Sie auf das Dropdown-Menü-Symbol neben Ihrem Organisationsnamen.
  2. Wählen Sie Optionen aus.

Organisationseinstellungen

Schritt 2: SAML-Authentifizierung aktivieren

  1. Wechseln Sie zur Registerkarte Sicherheit.
  2. Aktivieren Sie die SAML-Authentifizierung.

SAML-Authentifizierung aktivieren in den Quire-Organisationssicherheitseinstellungen

Schritt 3: SAML-Konfigurationsdetails eingeben

  1. Fügen Sie die URL des Identity Providers ein.
  2. Geben Sie die Entitäts-ID ein.
  3. Fügen Sie das Base64-X.509-Zertifikat ein.
  4. Klicken Sie auf SSO testen, um die Einrichtung zu überprüfen.
  5. Klicken Sie bei Erfolg auf Speichern.

SAML-Konfiguration

Pflicht oder optionales SSO

Sie können SSO wie folgt konfigurieren:

  • Pflicht – Alle Mitglieder müssen sich per SSO anmelden.
  • Optional – Mitglieder können sich entweder mit einem Passwort oder per SSO anmelden.

Hinweis: Organisationsadministratoren müssen sich immer mit ihrem Quire-Passwort anmelden.

Nach erfolgreicher Konfiguration benötigen Mitglieder kein separates Quire-Passwort mehr.

Azure AD B2C-Integration

Schritt 1: Azure AD B2C einrichten

  1. Melden Sie sich beim Azure-Portal an.
  2. Erstellen Sie benutzerdefinierte Richtlinien.
  3. Registrieren Sie eine SAML-Anwendung.
  4. Konfigurieren Sie Benutzerflows für die Authentifizierung.


Folgen Sie der offiziellen Microsoft-Dokumentation für detaillierte Einrichtungsanweisungen.

Schritt 2: NameID-Format konfigurieren

Quire erfordert, dass das NameID-Format wie folgt ist:

  • userPrincipalName oder
  • email


Verwenden Sie nicht objectId.

Bei Verwendung von userPrincipalName ändern Sie:

  • TrustFrameworkBase.xml
  • SignUpOrSigninSAML.xml


TrustFrameworkBase.xml-Beispiel:

<!-- The following technical profile is used to read data after user authenticates. -->
<TechnicalProfile Id="AAD-UserReadUsingObjectId">
  <Metadata>
    <Item Key="Operation">Read</Item>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
  </Metadata>
  <IncludeInSso>false</IncludeInSso>
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="objectId" Required="true" />
  </InputClaims>
  <OutputClaims>

    <!-- Optional claims -->
    <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" />
    <OutputClaim ClaimTypeReferenceId="displayName" />
    <OutputClaim ClaimTypeReferenceId="otherMails" />
    <OutputClaim ClaimTypeReferenceId="givenName" />
    <OutputClaim ClaimTypeReferenceId="surname" />
    <OutputClaim ClaimTypeReferenceId="userPrincipalName" /> <!-- add -->
  </OutputClaims>
  <IncludeTechnicalProfile ReferenceId="AAD-Common" />
</TechnicalProfile>


SignUpOrSigninSAML.xml-Beispiel:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="SAML2"/>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="objectId"/>
      <OutputClaim ClaimTypeReferenceId="userPrincipalName" PartnerClaimType="userPrincipalName"/> <!-- add -->
    </OutputClaims>
    <SubjectNamingInfo ClaimType="userPrincipalName" ExcludeAsClaim="true"/> <!-- modify -->
  </TechnicalProfile>
</RelyingParty>


Wenn Sie das Format auf email umstellen möchten, finden Sie in dieser Ressource zusätzliche Hinweise.

Schritt 3: Erforderliche Informationen aus Azure abrufen

Erfassen Sie nach der Einrichtung:

  • Metadaten-URL
  • URL des Identity Providers
  • Entitäts-ID
  • Base64-X.509-Zertifikat


Nachfolgend finden Sie Beispiele, wie diese Informationen aussehen können:

  • Metadaten: https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/metadata
  • URL des Identity Providers: https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/sso/login
  • Entitäts-ID: Sie haben diese in TrustFrameworkExtensions.xml definiert (<Item Key="IssuerUri">). Zum Beispiel: https://your-tenant.onmicrosoft.com/quire
  • Base64-X.509-Zertifikat: Aus den Metadaten unter <X509Certificate> extrahieren: MIIDizCCAnOgAwIBAgIUU9ndt…


Folgen Sie anschließend den Schritten unter SSO in Quire konfigurieren.

SSO-Fehlerbehebung

Wenn ein Mitglied seine E-Mail-Adresse in Quire ändert, kann es sich nicht mehr per SSO anmelden, bis die neue E-Mail-Adresse im Identity Provider aktualisiert wurde.

So beheben Sie das Problem:

  1. Aktualisieren Sie die E-Mail-Adresse des Mitglieds im Identity Provider.
  2. Stellen Sie sicher, dass die NameID mit der aktualisierten E-Mail-Adresse übereinstimmt.
  3. Bitten Sie das Mitglied, sich erneut anzumelden.

Lesen Sie mehr in unserem Blog über Single Sign-On mit Quire.

Häufig gestellte Fragen

Welche Identity Provider unterstützt Quire SSO?

Alle SAML 2.0-kompatiblen IdPs, einschließlich Okta, OneLogin und Azure AD B2C. SSO ist ausschließlich im Enterprise-Plan verfügbar.

Wie aktiviere ich SSO in Quire?

Konfigurieren Sie eine SAML 2.0-App in Ihrem IdP mit Quires ACS-URL (https://quire.io/sso/login) und Entitäts-ID (https://quire.io/sso/metadata), erfassen Sie die IdP-URL, Entitäts-ID und das Zertifikat, gehen Sie dann zu Organisationsoptionen > Registerkarte Sicherheit, aktivieren Sie die SAML-Authentifizierung, fügen Sie die Daten ein, klicken Sie auf SSO testen und speichern Sie.

Kann ich SSO für meine Quire-Organisation als Pflicht oder optional festlegen?

Ja. Pflicht zwingt alle Mitglieder, sich über den IdP anzumelden. Optional lässt Mitglieder zwischen ihrem Quire-Passwort und SSO wählen.

Müssen Organisationsadministratoren SSO in Quire verwenden?

Nein. Administratoren melden sich immer mit ihrem Quire-Passwort an, auch wenn SSO für andere Mitglieder als Pflicht festgelegt ist.

Was soll ich tun, wenn ein Mitglied sich nach einer E-Mail-Änderung nicht mehr per SSO anmelden kann?

Aktualisieren Sie die E-Mail-Adresse des Mitglieds im Identity Provider, damit die NameID mit der neuen Adresse übereinstimmt. Danach kann sich das Mitglied wieder per SSO anmelden.

Welches NameID-Format erfordert Quire für Azure AD B2C SSO?

Verwenden Sie userPrincipalName oder email. Verwenden Sie nicht objectId — dies führt zu Authentifizierungsfehlern.

Können Clients sich bei Quire mit Social-Media-Konten wie Facebook oder LinkedIn anmelden?

Ja, über die Azure AD B2C-Integration. Unterstützte Anbieter sind Facebook, X (ehemals Twitter), LinkedIn, Microsoft-Konten und lokale Identitätskonten.

Zuletzt aktualisiert:

Bitte kontaktieren Sie uns, wenn Sie weitere Hilfe benötigen.