Externe Benutzerverzeichnisse
Für die Benutzerverwaltung in Therefore™ können externe Benutzerverzeichnisse eingerichtet werden. Zu den Benutzerverwaltungsfunktionen gehören Authentifizierung, Autorisierung, Kontoverwaltung und Gruppenverwaltung.
Konfiguration
Mit einem rechten Mausklick auf "Externe Benutzerverzeichnisse" wird ein Dialogfeld geöffnet, in Administratoren externe Benutzerverzeichnisse hinzufügen, bearbeiten oder entfernen können. Wenn Sie auf den Dropdownpfeil neben "Hinzufügen" klicken, können Sie einen der unterstützten Anbieter auswählen. Nach der Auswahl des gewünschten Anbieters wird ein Dialogfeld geöffnet, in dem Sie das externe Benutzerverzeichnis konfigurieren können.
Authentifizierung beim Anbieter
Nachdem alle Einstellungen eingerichtet wurden, muss sich der Administrator in einem Browserfenster beim externen Anmeldeanbieter authentifizieren und Therefore™ den Zugriff auf das externe Benutzerverzeichnis gewähren. Sobald die Verbindung eingerichtet wurde, ist die neue Domäne in den Optionen "Benutzer" und "Gruppen" verfügbar, wo Benutzern rollenbasierte Zugriffsberechtigungen für Therefore™-Objekte gewährt werden können.
Konfiguration eines installierten Clients
Wenn Benutzer eine Verbindung zwischen einem externen Benutzerverzeichnis und Therefore™ über eine installierte Clientanwendung einrichten, müssen die Einstellungen für die Serververbindung in Therefore™ Solution Designer konfiguriert werden. Wählen Sie den externen Anmeldeanbieter unter "Authentifizierungsanbieter" aus und klicken Sie auf "Von Server aktualisieren", um die Einstellungen auszufüllen.
Benutzer-/Gruppensynchronisierung
Damit die Benutzer-/Gruppensynchronisierung korrekt funktioniert, muss die Funktion "Replikation" über das Therefore™-Installationsprogramm eingerichtet werden und der Therefore™-Replikationsdienst muss den Starttyp "Automatisch" haben. Wenn diese Voraussetzungen erfüllt sind, können Benutzer und Gruppen über den Knoten "Benutzer-/Gruppensynchronisierung" unter "Integrationen > Replikation/Synchronisierung" synchronisiert werden.
Einstellungen
Allgemeine Einstellungen für alle Anbieter:
Browser verwenden
Den Standard-Systembrowser anstelle des internen Chromium-Browsers verwenden, um die Benutzer-Anmeldeseite des externen Anmeldeanbieters zu öffnen.
Zusätzliche Domänen
Wenn das externe Benutzerverzeichnis Benutzer aus externen Domänen enthält, können diese Domänen hier hinzugefügt werden.
Beispiel: Ein Microsoft Entra ID-Verzeichnis enthält Benutzer mit der primären Domäne moyaware.onmicrosoft.com, aber auch Benutzer mit der Domäne moyaware.com. Geben Sie in diesem Fall moyaware.com als zusätzliche Domäne ein.
Azure Active Directory
Therefore™ Client-ID
Die ID einer Microsoft Entra ID-Anwendung, die für die Anmeldung beim Therefore™-Client verwendet wird.
Anmeldedomäne
Wenn SSO für Microsoft Entra ID konfiguriert ist, wird die Domäne hier eingegeben. Beispiel:ontherefore.com
Eine benutzerdefinierte Anwendung für den Zugriff auf Microsoft Entra ID verwenden
Dieses Kontrollkästchen muss aktiviert sein, wenn die Authentifizierung über eine Anwendung in Microsoft Entra ID eingerichtet wurde.
Azure-Mandantenname
Der Name des Entra ID-Mandanten, auf dem die Anmeldeanwendungen konfiguriert sind. Werte werden in folgendem Format eingegeben: <company>.onmicrosoft.com
Client-ID der Anwendung
Die ID der Microsoft Entra ID-Anwendung, die für die Anmeldung beim Therefore™-Server verwendet wird.
Anwendungs-Geheimwert
Der Client-Geheimwert der Microsoft Entra ID-Anwendung, die für die Anmeldung beim Therefore™-Server verwendet wird
Okta
Domäne
Die in der Konfiguration verwendete Okta-Domäne, wie z. B.:
therefore.okta.com
API-Zugriffsschlüssel
Der Wert des API-Tokens, der im Okta-Portal erstellt wurde.
Therefore™ Client-ID
Die Client-ID der in Okta erstellten Anmeldeanwendung.
Autorisierungsserver-ID
Die Autorisierungsserver-ID in einer Okta-spezifischen Einstellung, da mehrere verschiedene Autorisierungsserver mit unterschiedlichen Einstellungen zulässig sind. Wenn ein Administrator verschiedene Autorisierungsserver definiert hat, muss Therefore™ angewiesen werden, welcher Autorisierungsserver verwendet werden soll. Geben Sie dazu die ID des Autorisierungsservers in dieses Feld ein.
OneLogin
Domäne
Die in der Konfiguration verwendete OneLogin-Domäne, wie z. B.:
therefore.onelogin.com
Therefore™ Client-ID
Die Client-ID der OIDC-Anwendung, die im OneLogin-Verwaltungsportal konfiguriert wurde.
API-Einstellungen
Domäne
Der API-URL kann je nach der Region unterschiedlich sein, z. B.:api.us.onelogin.com
api.eu.onelogin.com
Client-ID / Client-Geheimschlüssel
Dies sind die Client-ID und der Client-Geheimschlüssel aus den API-Anmeldeinformationen, die im OneLogin-Verwaltungsportal konfiguriert wurden.
ADFS (OIDC)
Domänen-/Verzeichnisname
Die in der Konfiguration verwendete AD FS-Domäne, z. B.:
adfs.ontherefore.com
Automatische Erkennung
Klicken Sie auf diese Schaltfläche, um den OIDC-Erkennungs-URL einzugeben und die meisten verbleibenden Einstellungen automatisch auszufüllen.
OIDC-Erkennungs-URL
Der URL verwendet das folgende Muster:https://domain/.well-known/openid-configuration
Client-Verbindungseinstellungen
Autorisierungsendpunkt
Ein Endpunkt mit dem folgenden URL-Muster:https://domain/adfs/oauth2/authorize/
Therefore™ Client-ID
Die Client-ID der nativen Anwendung, die auf dem AD FS-Server konfiguriert ist. Diese Einstellung muss manuell eingegeben werden.
Geltungsbereiche
Die Anwendungsbereiche, die für die Anwendungsgruppe auf dem AD FS-Server eingerichtet wurden.
Zusätzliche Parameter
Wenn zusätzliche Anmeldeparameter eingerichtet wurden, können diese hier eingegeben werden.
Servereinstellungen
Aussteller
Ein URL mit dem folgenden Muster:https://domain/adfs
JWKS-Endpunkt
Ein URL mit dem folgenden Muster:https://domain/adfs/discovery/keys
Benutzernamensanspruch
Der Anspruchstyp, als URI (Uniform Resource Identifier) angegeben.
Gruppenanspruch
Wenn die Gruppenmitgliedschaft normalerweise in AD FS festgelegt wird, kann der Gruppenanspruch hier eingegeben werden.
Generisches OIDC
Diese Option kann verwendet werden, um beliebige Anbieter zu konfigurieren, die das OpenID/OIDC-Protokoll für die Integration mit Therefore™ verwenden. Die Konfiguration kann je nach dem Anbieter unterschiedlich sein. Die Einstellungen in diesem Dialogfeld sind mit den AD FS (OIDC)-Einstellungen identisch.