HELP FILE

Einrichten einer benutzerdefinierten Enterprise Sign-In-Konfiguration

Eine der Optionen für die Implementierung von Enterprise Sign-In (SSO) besteht darin, eine benutzerdefinierte Konfiguration über die Registerkarte "Identitätsanbieter" im Organization Center einzurichten. Dies wird am häufigsten von Unternehmen verwendet, die einen Drittanbieter verwenden, der kein vorkonfiguriertes Single Sign-On-Paket anbietet, oder die einen benutzerdefinierten SAML-Identitätsanbieter benötigen.

LogMeIn bietet Enterprise Sign-In, eine SAML-basierte Single Sign-On (SSO)-Option, die es Benutzern ermöglicht, sich mit ihrem firmeneigenen Benutzernamen und Kennwort bei ihren LogMeIn-Produkten anzumelden, d. h. mit den gleichen Zugangsdaten, die sie beim Zugriff auf andere Systeme und Tools innerhalb des Unternehmens verwenden (z. B. Firmen-E-Mail, Firmencomputer usw.). Dies bietet den Benutzern eine vereinfachte Anmeldeerfahrung und ermöglicht ihnen gleichzeitig eine sichere Authentifizierung mit den ihnen bekannten Anmeldeinformationen. Weitere Informationen.

Die Registerkarte "Identitätsanbieter" im Organization Center unterstützt verschiedene Konfigurationen. IT-Administratoren können die Konfiguration automatisch über eine Metadaten-URL oder das Hochladen einer SAML-Metadatendatei vornehmen oder manuell mit Anmelde- und Abmelde-URLs, einer Identitätsanbieter-ID und einem hochgeladenen Verifizierungszertifikat konfigurieren.

Übersicht über die allgemeinen Einstellungen des Identitätsanbieters

Eine Vertrauensstellung zwischen zwei vertrauenden Seiten besteht, wenn jede Seite die erforderlichen Metadaten über den Partner zur Ausführung eines SAML-Single-Sign-On bezogen hat. Bei jeder vertrauenden Seite können die Konfigurationsinformationen manuell oder dynamisch eingegeben werden, je nach IdP-Schnittstelle.

Wenn die Metadaten des LogMeIn-SAML-Diensts beim Identitätsanbieter eingeführt werden, besteht u. U. die Möglichkeit, einen neuen Dienstanbieter über Metadaten hinzuzufügen. In diesem Fall können Sie in das Metadaten-URL-Feld einfach Folgendes eingeben:

https://authentication.logmeininc.com/saml/sp

Falls Ihr Identitätsanbieter manuelle Eingaben benötigt, müssen Sie die Metadaten manuell eingeben. Je nach Identitätsanbieter werden möglicherweise andere Informationen angefordert oder die Bezeichnungen der Felder lauten anders. Nachfolgend finden Sie einige Konfigurationswerte, die möglicherweise vom Identitätsanbieter benötigt werden. Je nachdem, ob der IdP die Funktion "RelayState" unterstützt, sind weitere Werte einzugeben.

  • EntityID: Beim LogMeIn-SAML-Dienst ist dies die Metadaten-URL. Bei manchen IdP wird auch die Bezeichnung "IssuerID" oder "AppID" verwendet.
           https://authentication.logmeininc.com/saml/sp
  • Audience: Dies ist die EntityID des GoTo SAML-Diensts. Bei manchen Identitätsanbietern wird auch der Begriff "Audience Restriction" verwendet. Dies sollte wie folgt festgelegt werden:
            https://authentication.logmeininc.com/saml/sp
  • Single Logout URL: Das Ziel einer Abmeldeanforderung oder Abmeldeantwort vom Identitätsanbieter:
            https://authentication.logmeininc.com/saml/SingleLogout
  • NameID format - TDer Typ der Betreffs-ID, der in der Assertion zurückgegeben werden soll. Vom LogMeIn SAML-Dienst wird Folgendes erwartet:
              EmailAddress

Beim Zugriff auf die Produkte über eine Identitätsanbieter-geführte Anmeldung bieten einige Identitätsanbieter die Funktion "RelayState", mit der Sie die Benutzer direkt an das gewünschte LogMeIn-Produkt leiten können. Hierzu müssen Sie die folgenden Felder gemäß der Konfigurationsanforderung Ihres Identitätsanbieters festlegen. Je nach Identitätsanbieter tragen die Felder u. U. andere Bezeichnungen. Soweit möglich, haben wir die alternativen Bezeichnungen ebenfalls aufgeführt.

  • Assertion Consumer Service URL: Die URL, unter der die Authentifizierungsantworten (mit Assertionen) zurückgegeben werden. Alternative Bezeichnungen: ACS URL, Post Back URL, Reply URL oder Single Sign On URL.
  • Empfänger
  • Ziel

Wenn die Funktion "RelayState" von Ihrem Identitätsanbieter unterstützt wird, müssen alle oben aufgeführten Felder (je nach Identitätsanbieter verschieden) wie folgt ausgefüllt werden:
             https://authentication.logmeininc.com/saml/acs

Sie können dann "RelayState" produktabhängig einrichten und so die Weiterleitung an verschiedene Produkte Ihres Identitätsanbieter-Anwendungskatalogs realisieren. Nachfolgend sind die RelayState-Werte aufgeführt, die für LogMeIn-Produkte einzustellen sind:

  • GoToMeeting
             https://global.gotomeeting.com
  • GoToWebinar
             https://global.gotowebinar.com
  • GoToTraining
             https://global.gototraining.com
  • OpenVoice
              https://global.openvoice.com
  • GoToAssist (Remote Support)
              https://up.gotoassist.com
  • GoToAssist (Service Desk)
              https://desk.gotoassist.com
  • RescueAssist
              https://console.gotoassist.com
  • Jive
              https://my.jive.com

Wenn die RelayState-Funktion von Ihrem Identitätsanbieter nicht unterstützt wird, wird kein RelayState-Wert festgelegt. Richten Sie stattdessen die ACS-Werte oben (ACS URL, Recipien, Destination) auf die folgenden Werte pro Produkt ein:

  • GoToMeeting
              https://authentication.logmeininc.com/saml/global.gotomeeting.com/acs
  • GoToWebinar
              https://authentication.logmeininc.com/saml/global.gotowebinar.com/acs
  • GoToTraining
              https://authentication.logmeininc.com/saml/global.gototraining.com/acs
  • OpenVoice
               https://authentication.logmeininc.com/saml/global.openvoice.com/acs
  • GoToAssist (Remote Support)
               https://authentication.logmeininc.com/saml/up.gotoassist.com/acs
  • GoToAssist (Service Desk)
               https://authentication.logmeininc.com/saml/desk.gotoassist.com/acs
  • RescueAssist
               https://authentication.logmeininc.com/saml/console.gotoassist.com/acs
  • Jive
               https://authentication.logmeininc.com/saml/my.jive.com/acs

Während der manuellen Konfiguration des LogMeIn-SAML-Diensts beim Identitätsanbieter müssen Sie möglicherweise zusätzliche Optionen einstellen. Die nachfolgende Liste zeigt, welche Optionen evtl. angezeigt werden, und wie Sie diese einstellen müssen.

  • Assertion oder Antwort signieren
    • Aktivieren Sie diese Option; der LogMeIn-SAML-Dienst erfordert die Identitätsanbietersignatur in der Antwort.
  • Assertion oder Antwort verschlüsseln
    • Deaktivieren Sie diese Option; der SAML-Dienst verarbeitet derzeit keine verschlüsselten Assertionen.
  • SAML-Bedingungen einbeziehen
    • Aktivieren Sie diese Option; sie wird vom SAML-WebSSO-Profil benötigt. Dies ist eine SecureAuth-Option.
  • SubjectConfirmationData nicht vor
    • Deaktivieren Sie diese Option; sie wird vom SAML-WebSSO-Profil benötigt. Dies ist eine SecureAuth-Option.
  • SAML-Antwort InResponseTo
    • Aktivieren Sie diese Option. Dies ist eine SecureAuth-Option.