In diesem Artikel werden wir Informationen bereitstellen, wie du SSO (Single Sign-On) zwischen deinem Identity Provider (IDP) und fynk im Handumdrehen einrichten kannst.

Um SSO-Anmeldefunktionen mit fynk zu etablieren, kannst du jeden Identity Provider (IDP) verwenden, der SAML2 unterstützt, wie Entra ID (Azure AD), Okta oder Google Workspace.

Du benötigst die Unterstützung eines IDP-Administrators, um SSO einzurichten. Zusätzlich wird ein Benutzer mit der Rolle "Admin" oder "Owner" in fynk benötigt, um auf die SSO-Einrichtungsseite zuzugreifen.

Dieser Einrichtungsprozess kann von zwei Personen gemeinsam durchgeführt werden: einem fynk-Kontoinhaber oder -Admin und einem IDP-Admin. Alternativ kann es von einem IDP-Admin durchgeführt werden, der auch ein fynk-Benutzerkonto mit der Rolle "Admin" oder "Owner" ist. Wenn der IDP-Admin nur vorübergehend für die SSO-Einrichtung Zugriff benötigt, kannst du dessen Benutzerkonto danach entfernen.

Jeder fynk-Benutzer mit der Rolle "Admin" oder "Owner" kann den IDP-Admin als Benutzer einladen.

Um auf die SSO-Konfigurationseinstellungen in deinem fynk-Konto zuzugreifen, gehe zu deinen Kontoeinstellungen:

Wechsle nun zur Registerkarte "Integrationen" und klicke auf "Konfigurieren":

Du wirst nun die SSO-Konfiguration sehen:

Für deinen IDP benötigst du nur die ACS URL und die SP Entity ID URL.

Wenn du eine Metadaten-URL von deinem IDP bereitstellst, wird alles Notwendige automatisch eingerichtet, was der bequemste Weg ist.

Die Metadaten-URL hat einen weiteren großen Vorteil, da sie die Metadaten regelmäßig synchronisiert und du daher dein Zertifikat nie manuell ändern musst.

Das Einrichten von SSO zwischen Entra ID und fynk ist wirklich einfach.

Zuerst musst du eine neue Unternehmensanwendung außerhalb der Galerie erstellen. Dies kannst du tun, indem du zur Entra Gallery navigierst und auf
​[+ Create your own application] (Erstelle deine eigene App) klickst:

Wähle dann im Menü auf der rechten Seite [Non-Gallery] (nicht in der Galerie) Anwendung aus und vergib einen Namen (fynk wäre großartig 🤩).

Klicke danach auf die [Create] (Erstellen) Schaltfläche am unteren Rand des Menüs.

Die App ist nun erstellt und kann zur Konfiguration von SSO verwendet werden. Gehe dazu in die App und klicke auf [Set up single sign on] (single sign on einrichten):

Wähle [SAML]:

Du wirst einen Bildschirm wie unten sehen. Klicke auf [Edit] (Bearbeiten) rechts neben Schritt eins:

Füge hier einfach einen Bezeichner und eine Antwort-URL hinzu. Kopiere diese
​aus deiner fynk-Anwendung:

Die ACS-URL von fynk muss in das Feld [reply URL] in EntraID kopiert werden. Die SP Entity ID-URL von fynk muss in das Feld [Identifier(Entity ID)] in EntraID kopiert werden.

Danach musst du die Federation Metadata URL von EntraID kopieren:

Anschließend kopiere diese [Metadata URL] in das entsprechende Feld in fynk:

Danach klicke einfach auf die Schaltfläche neben der Metadaten-URL in fynk. Anschließend klicke auf die [Speichern] Schaltfläche, um die Konfiguration zu speichern.

Alles sollte jetzt funktionieren. Denke daran, dass Benutzer/Gruppen möglicherweise der Unternehmensanwendung hinzugefügt werden müssen, um Zugriff zu erhalten.

Alle berechtigten fynk-Benutzer sollten sich jetzt unter https://app.fynk.com/sso/login anmelden können.

In einigen Fällen musst du auch das Attribut SubjectNameID manuell auf die E-Mail-Adresse der Benutzer zuordnen (da der Benutzer über die E-Mail-Adresse identifiziert wird und die Zuordnung über SubjectNameID erfolgt).

Das Einrichten von SSO zwischen Okta und fynk ist wirklich einfach.

Zuerst musst du in Okta eine neue Anwendung erstellen. Dies kannst du tun, indem du zur Admin-Sektion in Okta navigierst und auf [Add App] (App hinzufügen) klickst:

Wähle dann auf dem nächsten Bildschirm [Create New App] (neue App erstellen) und gib ihr einen Namen (fynk wäre großartig 🤩).

Im nächsten Schritt wähle SAML 2.0 aus und klicke auf [Next] (Weiter):

Du wirst einen Bildschirm wie unten sehen. Füge hier einfach einen Bezeichner und eine Antwort-URL hinzu. Kopiere diese aus deiner fynk-Anwendung. Du kannst sie einfach mit den Schaltflächen auf der rechten Seite kopieren:

Die ACS-URL von fynk muss in das Feld [Single Sign-On] in Okta kopiert werden. Die SP Entity ID-URL von fynk muss in das Feld [Audience URI (SP Entity ID)] in Okta kopiert werden.

Danach musst du die Federation Metadata URL von Okta kopieren:

Anschließend kopiere die [Metadata URL] in das entsprechende Feld in fynk:

Danach klicke einfach auf die Schaltfläche neben der Metadaten-URL in fynk. Anschließend klicke auf die [Speichern] Schaltfläche, um die Konfiguration zu speichern.

Alles sollte jetzt funktionieren. Denke daran, dass Benutzer/Gruppen möglicherweise der Unternehmensanwendung hinzugefügt werden müssen, um Zugriff zu erhalten.

Alle berechtigten fynk-Benutzer sollten sich jetzt unter https://app.fynk.com/sso/login anmelden können.

In einigen Fällen musst du auch das Attribut SubjectNameID manuell auf die E-Mail-Adresse der Benutzer zuordnen (da der Benutzer über die E-Mail-Adresse identifiziert wird und die Zuordnung über SubjectNameID erfolgt).

Nachdem du SSO mit dem Identity Provider deiner Wahl erfolgreich eingerichtet hast, kannst du den Login über SSO erzwingen. Dadurch können sich die Benutzer nicht mehr mit ihrer normalen Benutzer-/Passwort-Kombination anmelden, was bedeutet, dass du Dinge einschränken kannst wie:

und vieles mehr.

Das Erzwingen des SSO-Logins ist nur möglich, wenn:

Nun musst du nur noch die Single-Sign-On-Einstellungen in fynk besuchen und auf [SSO erzwingen] klicken.