HELP FILE

Einrichten einer benutzerdefinierten Konfiguration für die Enterprise-Anmeldung

Eine der Optionen für die Implementierung der Enterprise-Anmeldung (Single Sign-On) besteht darin, eine benutzerdefinierte Konfiguration über die Registerkarte "Identitätsanbieter" im Organization Center einzurichten. Dies wird am häufigsten von Unternehmen verwendet, die einen Drittanbieter verwenden, der kein vorkonfiguriertes Single Sign-On-Paket anbietet, oder die einen benutzerdefinierten SAML-Identitätsanbieter benötigen.

LogMeIn unterstützt die Enterprise-Anmeldung, eine SAML-basierte Single-Sign-On-Option (SSO), die es Benutzern ermöglicht, sich mit ihrem firmeneigenen Benutzernamen und Kennwort bei ihren LogMeIn-Produkten anzumelden, d. h. mit denselben Zugangsdaten, die sie beim Zugriff auf andere Systeme und Tools innerhalb des Unternehmens verwenden (z. B. Firmen-E-Mail, Firmencomputer usw.). Dies erleichtert den Benutzern die Anmeldung und ermöglicht ihnen gleichzeitig eine sichere Authentifizierung mit den ihnen bekannten Anmeldeinformationen.

Die Registerkarte „Identitätsanbieter“ im Organization Center unterstützt verschiedene Konfigurationen. IT-Administratoren können die Konfiguration wahlweise automatisch über eine Metadaten-URL oder das Hochladen einer SAML-Metadatendatei vornehmen oder mit Anmelde- und Abmelde-URLs, einer Identitätsanbieterkennung und einem hochgeladenen Überprüfungszertifikat manuell konfigurieren.

Übersicht über die allgemeine Konfiguration des Identitätsanbieters

Eine Vertrauensstellung zwischen zwei vertrauenden Seiten besteht, wenn jede Seite die erforderlichen Metadaten über die andere zur Ausführung von Single Sign-On mit SAML bezogen hat. Bei jeder vertrauenden Seite können die Konfigurationsinformationen manuell oder dynamisch eingegeben werden, je nach IdP-Schnittstelle.

Wenn Sie die Metadaten des LogMeIn-SAML-Dienstes beim Identitätsanbieter eingeben, besteht u. U. die Möglichkeit, einen neuen Dienstanbieter über Metadaten hinzuzufügen. In diesem Fall können Sie in das Metadaten-URL-Feld einfach Folgendes eingeben:

https://authentication.logmeininc.com/saml/sp

Falls Ihr Identitätsanbieter manuelle Eingaben benötigt, müssen Sie die Metadaten manuell eingeben. Je nach Identitätsanbieter werden möglicherweise andere Informationen angefordert oder die Bezeichnungen der Felder lauten anders. Hier finden Sie einige Konfigurationswerte, die möglicherweise vom Identitätsanbieter benötigt werden. Je nachdem, ob der IdP die Funktion "RelayState" unterstützt, sind anschließend weitere Werte einzugeben.

  • EntityID: Beim LogMeIn-SAML-Dienst ist dies die Metadaten-URL. Bei manchen IdP wird auch die Bezeichnung "IssuerID" oder "AppID" verwendet. (https://authentication.logmeininc.com/saml/sp).
  • Audience: Das ist die EntityID des GoTo-SAML-Dienstes. Manche Identitätsanbieter verwenden auch den Begriff "Audience Restriction". Geben Sie für diesen Wert Folgendes ein: https://authentication.logmeininc.com/saml/sp.
  • Single Logout URL: Das Ziel einer Abmeldeanforderung oder Abmeldeantwort vom Identitätsanbieter:  https://authentication.logmeininc.com/saml/SingleLogout.
  • NameID format: Der Typ der Antragsteller-ID, der in der Assertion zurückgegeben werden soll. Vom LogMeIn SAML-Dienst wird Folgendes erwartet: EmailAddress

Beim Zugriff auf die Produkte über eine Identitätsanbieter-geführte Anmeldung bieten einige Identitätsanbieter die Funktion „RelayState“, mit der Sie die Benutzer direkt an das gewünschte LogMeIn-Produkt leiten können. Hierzu müssen Sie die folgenden Felder gemäß der Konfigurationsanforderung Ihres Identitätsanbieters festlegen. Je nach Identitätsanbieter tragen die Felder u. U. andere Bezeichnungen. Soweit möglich, haben wir die alternativen Bezeichnungen ebenfalls aufgeführt.

  • Assertion Consumer Service URL: die URL, unter der die Authentifizierungsantworten (mit Assertions) zurückgegeben werden. Alternative Bezeichnungen: ACS URL, Post Back URL, Reply URL oder Single Sign On URL.
  • Recipient (Empfänger)
  • Destination (Ziel)

Wenn die Funktion "RelayState" von Ihrem Identitätsanbieter unterstützt wird, müssen Sie in alle oben aufgeführten Felder (je nach Identitätsanbieter) den folgenden Wert eingeben: https://authentication.logmeininc.com/saml/acs.

Sie können dann „RelayState“ produktabhängig einrichten und so die Weiterleitung an verschiedene Produkte Ihres Identitätsanbieter-Anwendungskatalogs realisieren. Nachfolgend sind die RelayState-Werte aufgeführt, die für LogMeIn-Produkte einzustellen sind:

Wenn die RelayState-Funktion von Ihrem Identitätsanbieter nicht unterstützt wird, wird kein RelayState-Wert festgelegt. Geben Sie stattdessen für die ACS-Werte oben (ACS URL, Recipient, Destination) die folgenden Werte je nach Produkt ein:

Während der manuellen Konfiguration des LogMeIn -SAML-Diensts beim Identitätsanbieter müssen Sie möglicherweise zusätzliche Optionen einstellen. Die nachfolgende Liste zeigt, welche Optionen evtl. angezeigt werden, und wie Sie diese einstellen müssen.

  • Sign assertion or response (Assertion oder Antwort signieren)
    • Aktivieren Sie diese Option; der LogMeIn -SAML-Dienst erfordert die Identitätsanbietersignatur in der Antwort.
  • Encrypt assertion or response (Assertion oder Antwort verschlüsseln)
    • Deaktivieren Sie diese Option; der SAML-Dienst verarbeitet derzeit keine verschlüsselten Assertions.
  • Include SAML Conditions (SAML-Bedingungen einbeziehen)
    • Aktivieren Sie diese Option; sie wird vom SAML-WebSSO-Profil benötigt. Hierbei handelt es sich um eine SecureAuth-Option.
  • SubjectConfirmationData Not Before (SubjectConfirmationData nicht vor)
    • Deaktivieren Sie diese Option; wird durch das SAML-WebSSO-Profil erfordert. Hierbei handelt es sich um eine SecureAuth-Option.
  • SAML Response InResponseTo (SAML-Antwort InResponseTo)
    • Aktivieren Sie diese Option. Hierbei handelt es sich um eine SecureAuth-Option.