HELP FILE

Einrichten einer benutzerdefinierten Konfiguration für die Enterprise-Anmeldung

Eine der Optionen für die Implementierung von Enterprise Sign-In (SSO) besteht darin, eine benutzerdefinierte Konfiguration über die Registerkarte "Identitätsanbieter" im Organization Center einzurichten. Dies wird am häufigsten von Unternehmen verwendet, die einen Drittanbieter verwenden, der kein vorkonfiguriertes Single Sign-On-Paket anbietet, oder die einen benutzerdefinierten SAML-Identitätsanbieter benötigen.

LogMeIn unterstützt die Enterprise-Anmeldung, eine SAML-basierte Single-Sign-On-Option (SSO), die es Benutzern ermöglicht, sich mit ihrem firmeneigenen Benutzernamen und Kennwort bei ihren LogMeIn-Produkten anzumelden, d. h. mit denselben Zugangsdaten, die sie beim Zugriff auf andere Systeme und Tools innerhalb des Unternehmens verwenden (z. B. Firmen-E-Mail, Firmencomputer usw.). Dies erleichtert den Benutzern die Anmeldung und ermöglicht ihnen gleichzeitig eine sichere Authentifizierung mit den ihnen bekannten Anmeldeinformationen. Weitere Informationen.

Die Registerkarte "Identitätsanbieter" im Organization Center unterstützt verschiedene Konfigurationen. IT-Administratoren können die Konfiguration wahlweise automatisch über eine Metadaten-URL oder das Hochladen einer SAML-Metadatendatei vornehmen oder mit Anmelde- und Abmelde-URLs, einer Identitätsanbieterkennung und einem hochgeladenen Überprüfungszertifikat manuell konfigurieren.

Übersicht über die allgemeine Konfiguration des Identitätsanbieters

Eine Vertrauensstellung zwischen zwei vertrauenden Seiten besteht, wenn jede Seite die erforderlichen Metadaten über die andere zur Ausführung von Single Sign-On mit SAML bezogen hat. Bei jeder vertrauenden Seite können die Konfigurationsinformationen manuell oder dynamisch eingegeben werden, je nach IdP-Schnittstelle.

Wenn Sie die Metadaten des LogMeIn-SAML-Dienstes beim Identitätsanbieter eingeben, besteht u. U. die Möglichkeit, einen neuen Dienstanbieter über Metadaten hinzuzufügen. In diesem Fall können Sie in das Metadaten-URL-Feld einfach Folgendes eingeben:

https://authentication.logmeininc.com/saml/sp

Falls Ihr Identitätsanbieter manuelle Eingaben benötigt, müssen Sie die Metadaten manuell eingeben. Je nach Identitätsanbieter werden möglicherweise andere Informationen angefordert oder die Bezeichnungen der Felder lauten anders. Hier finden Sie einige Konfigurationswerte, die möglicherweise vom Identitätsanbieter benötigt werden. Je nachdem, ob der IdP die Funktion "RelayState" unterstützt, sind weitere Werte einzugeben.

  • EntityID: Beim LogMeIn-SAML-Dienst ist dies die Metadaten-URL. Bei manchen IdP wird auch die Bezeichnung "IssuerID" oder "AppID" verwendet
           https://authentication.logmeininc.com/saml/sp
  • Audience: Dies ist die EntityID des GoTo SAML-Diensts. Manche Identitätsanbieter verwenden auch den Begriff "Audience Restriction". Dies sollte so eingestellt werden:
            https://authentication.logmeininc.com/saml/sp
  • Single Logout URL: das Ziel einer Abmeldeanforderung oder Abmeldeantwort vom Identitätsanbieter:
            https://authentication.logmeininc.com/saml/SingleLogout
  • NameID format - TDer Typ der Betreffs-ID, der in der Assertion zurückgegeben werden soll. Vom LogMeIn-SAML-Dienst wird Folgendes erwartet:
              EmailAddress

Beim Zugriff auf die Produkte über eine Identitätsanbieter-geführte Anmeldung bieten einige Identitätsanbieter die Funktion "RelayState", mit der Sie die Benutzer direkt an das gewünschte LogMeIn-Produkt leiten können. Hierzu müssen Sie die folgenden Felder gemäß der Konfigurationsanforderung Ihres Identitätsanbieters festlegen. Je nach Identitätsanbieter tragen die Felder u. U. andere Bezeichnungen. Soweit möglich, haben wir die alternativen Bezeichnungen ebenfalls aufgeführt.

  • Assertion Consumer Service URL: Die URL, unter der die Authentifizierungsantworten (mit Assertionen) zurückgegeben werden. Alternative Bezeichnungen: ACS URL, Post Back URL, Reply URL oder Single Sign On URL.
  • Recipient (Empfänger)
  • Destination (Ziel)

Wenn die Funktion "RelayState" von Ihrem Identitätsanbieter unterstützt wird, müssen alle oben aufgeführten Felder (je nach Identitätsanbieter verschieden) wie folgt ausgefüllt werden:
             https://authentication.logmeininc.com/saml/acs

Sie können dann "RelayState" produktabhängig einrichten und so die Weiterleitung an verschiedene Produkte Ihres Identitätsanbieter-Anwendungskatalogs realisieren. Nachfolgend sind die RelayState-Werte aufgeführt, die für LogMeIn-Produkte einzustellen sind:

  • GoToMeeting
             https://global.gotomeeting.com
  • GoToWebinar
             https://global.gotowebinar.com
  • GoToTraining
             https://global.gototraining.com
  • OpenVoice
              https://global.openvoice.com
  • GoToAssist (Remote Support)
              https://up.gotoassist.com
  • GoToAssist (Service Desk)
              https://desk.gotoassist.com
  • RescueAssist
              https://console.gotoassist.com
  • Jive
              https://my.jive.com

Wenn die RelayState-Funktion von Ihrem Identitätsanbieter nicht unterstützt wird, lässt sich kein RelayState-Wert festlegen. Geben Sie stattdessen für die ACS-Werte oben (ACS URL, Recipient, Destination) die folgenden Werte je nach Produkt ein:

  • GoToMeeting
              https://authentication.logmeininc.com/saml/global.gotomeeting.com/acs
  • GoToWebinar
              https://authentication.logmeininc.com/saml/global.gotowebinar.com/acs
  • GoToTraining
              https://authentication.logmeininc.com/saml/global.gototraining.com/acs
  • OpenVoice
               https://authentication.logmeininc.com/saml/global.openvoice.com/acs
  • GoToAssist (Remote Support)
               https://authentication.logmeininc.com/saml/up.gotoassist.com/acs
  • GoToAssist (Service Desk)
               https://authentication.logmeininc.com/saml/desk.gotoassist.com/acs
  • RescueAssist
               https://authentication.logmeininc.com/saml/console.gotoassist.com/acs
  • Jive
               https://authentication.logmeininc.com/saml/my.jive.com/acs

Während der manuellen Konfiguration des LogMeIn-SAML-Diensts beim Identitätsanbieter müssen Sie möglicherweise zusätzliche Optionen einstellen. Die nachfolgende Liste zeigt, welche Optionen evtl. angezeigt werden, und wie Sie diese einstellen müssen.

  • Sign assertion or response (Assertion oder Antwort signieren)
    • Aktivieren Sie diese Option; der LogMeIn-SAML-Dienst erfordert die Identitätsanbietersignatur in der Antwort.
  • Encrypt assertion or response (Assertion oder Antwort verschlüsseln)
    • Deaktivieren Sie diese Option; der SAML-Dienst verarbeitet derzeit keine verschlüsselten Assertions.
  • Include SAML Conditions (SAML-Bedingungen einbeziehen)
    • Aktivieren Sie diese Option; sie wird vom SAML-WebSSO-Profil benötigt. Hierbei handelt es sich um eine SecureAuth-Option.
  • SubjectConfirmationData Not Before (SubjectConfirmationData nicht vor)
    • Deaktivieren Sie diese Option; wird durch das SAML-WebSSO-Profil erfordert. Hierbei handelt es sich um eine SecureAuth-Option.
  • SAML Response InResponseTo (SAML-Antwort InResponseTo)
    • Aktivieren Sie diese Option. Hierbei handelt es sich um eine SecureAuth-Option.