HELP FILE


Einrichten einer benutzerdefinierten Konfiguration für die Enterprise-Anmeldung

Eine der Optionen für die Implementierung der Enterprise-Anmeldung (Single Sign-On) besteht darin, eine benutzerdefinierte Konfiguration über die Registerkarte "Identitätsanbieter" im Organization Center einzurichten. Dies wird am häufigsten von Unternehmen verwendet, die mit einem Drittanbieter arbeiten, der kein vorkonfiguriertes Single-Sign-On-Paket anbietet, oder die einen benutzerdefinierten SAML-Identitätsanbieter benötigen.

LogMeIn bietet Enterprise Sign-In, eine SAML-basierte Single-Sign-On-Option (SSO), die es Benutzern ermöglicht, sich bei ihren LogMeIn-Produkten mit ihrem firmeneigenen Benutzernamen und Passwort anzumelden, d. h. mit denselben Anmeldedaten, die sie auch für den Zugriff auf andere Systeme und Tools innerhalb des Unternehmens verwenden (z. B. Firmen-E-Mails, von der Firma ausgegebene Computer usw.). Dies erleichtert den Benutzern die Anmeldung und ermöglicht ihnen gleichzeitig eine sichere Authentifizierung mit den ihnen bekannten Zugangsdaten.

Die Registerkarte „Identitätsanbieter“ im Organization Center unterstützt verschiedene Konfigurationen. IT-Administratoren können die Konfiguration wahlweise automatisch über eine Metadaten-URL oder das Hochladen einer SAML-Metadatendatei vornehmen, oder das System mit Anmelde- und Abmelde-URLs, einer Identitätsanbieterkennung und einem hochgeladenen Überprüfungszertifikat manuell konfigurieren.

Allgemeiner Überblick über die Einrichtung des Identity Providers

Eine Vertrauensbeziehung zwischen zwei vertrauenden Parteien ist hergestellt, wenn jede Partei die notwendigen Metadaten über den Partner für die Ausführung eines SAML Single Sign-On erworben hat. Bei jeder vertrauenden Seite können die Konfigurationsinformationen manuell oder dynamisch eingegeben werden, je nach IdP-Schnittstelle.

Bei der Einführung der Metadaten des LogMeIn-SAML-Dienstes beim IdP erhalten Sie möglicherweise die Option, einen neuen Dienstanbieter über die Metadaten hinzuzufügen. In diesem Fall können Sie in das Metadaten-URL-Feld einfach Folgendes eingeben:

https://authentication.logmeininc.com/saml/sp

Falls Ihr Identitätsanbieter manuelle Eingaben benötigt, müssen Sie Teile der Metadaten manuell eingeben. Je nach Identitätsanbieter werden möglicherweise andere Informationen angefordert oder die Bezeichnungen der Felder lauten anders. Zu Beginn sind hier einige der Konfigurationswerte aufgeführt, die eingegeben werden sollten, wenn Ihr IdP danach fragt. Je nachdem, ob der IdP die Funktion "RelayState" unterstützt, sind weitere Werte einzugeben.

  • EntityID: Beim LogMeIn-SAML-Dienst ist dies die Metadaten-URL. Bei manchen IdP wird auch die Bezeichnung „IssuerID“ oder „AppID“ verwendet. (https://authentication.logmeininc.com/saml/sp).
  • Audience: Das ist die EntityID des GoTo-SAML-Dienstes. Manche Identitätsanbieter verwenden auch den Begriff "Audience Restriction". Geben Sie für diesen Wert Folgendes ein: https://authentication.logmeininc.com/saml/sp.
  • Single Logout URL: Das Ziel einer Abmeldeanforderung oder Abmeldeantwort vom Identitätsanbieter:  https://authentication.logmeininc.com/saml/SingleLogout.
  • NameID format: Der Typ der Antragsteller-ID, der in der Assertion zurückgegeben werden soll. Vom LogMeIn-SAML-Dienst wird Folgendes erwartet: EmailAddress

Beim Zugriff auf die Produkte über eine Identitätsanbieter-geführte Anmeldung bieten einige Identitätsanbieter die Funktion „RelayState“, mit der Sie die Benutzer direkt zum gewünschten LogMeIn-Produkt leiten können. Hierzu müssen Sie die folgenden Felder gemäß der Konfigurationsanforderung Ihres Identitätsanbieters festlegen. Einige IdPs bezeichnen diese Felder mit anderen Namen. Soweit möglich, haben wir die alternativen Bezeichnungen ebenfalls aufgeführt.

  • Assertion Consumer Service URL: die URL, unter der die Authentifizierungsantworten (mit Assertions) zurückgegeben werden. Alternative Bezeichnungen: ACS URL, Post Back URL, Reply URL oder Single Sign On URL.
  • Empfänger
  • Destination (Ziel)

Wenn die Funktion "RelayState" von Ihrem Identitätsanbieter unterstützt wird, müssen Sie in alle oben aufgeführten Felder (je nach Identitätsanbieter) den folgenden Wert eingeben: https://authentication.logmeininc.com/saml/acs.

Sie können dann „RelayState“ produktabhängig einrichten und so die Weiterleitung an verschiedene Produkte Ihres Identitätsanbieter-Anwendungskatalogs realisieren. Nachfolgend sind die RelayState-Werte aufgeführt, die für LogMeIn-Produkte einzustellen sind:

Wenn die RelayState-Funktion von Ihrem Identitätsanbieter nicht unterstützt wird, lässt sich kein RelayState-Wert festlegen. Geben Sie stattdessen für die ACS-Werte oben (ACS URL, Recipient, Destination) die folgenden Werte je nach Produkt ein:

Während der manuellen Konfiguration des LogMeIn-SAML-Dienstes beim Identitätsanbieter müssen Sie möglicherweise zusätzliche Optionen festlegen. Die nachfolgende Liste zeigt, welche Optionen evtl. angezeigt werden, und wie Sie diese einstellen müssen.

  • Vorzeichenbehauptung oder -antwort
    • Aktivieren Sie diese Option; der LogMeIn-SAML-Dienst erfordert die Identitätsanbietersignatur in der Antwort.
  • Assertion oder Antwort verschlüsseln
    • Deaktivieren Sie diese Option, derzeit verarbeitet der SAML-Dienst keine verschlüsselten Assertions.
  • SAML-Bedingungen einbeziehen
    • Aktivieren Sie diese Option; sie wird vom SAML-Web-SSO-Profil benötigt. Hierbei handelt es sich um eine SecureAuth-Option.
  • SubjectConfirmationData Nicht vor
    • Deaktivieren Sie diese Option; wird durch das SAML-Web-SSO-Profil erfordert. Hierbei handelt es sich um eine SecureAuth-Option.
  • SAML-Antwort InResponseTo
    • Aktivieren Sie diese Option. Hierbei handelt es sich um eine SecureAuth-Option.