In diesem Artikel werden wir Informationen bereitstellen, wie Sie SSO (Single Sign-On) zwischen Ihrem Identity Provider (IDP) und fynk im Handumdrehen einrichten können.

Um SSO-Anmeldefunktionen mit fynk zu etablieren, können Sie jeden Identity Provider (IDP) verwenden, der SAML2 unterstützt, wie Entra ID (Azure AD), Okta oder Google Workspace.

Sie benötigen die Unterstützung eines IDP-Administrators, um SSO einzurichten. Zusätzlich wird ein Benutzer mit der Rolle "Admin" oder "Owner" in fynk benötigt, um auf die SSO-Einrichtungsseite zuzugreifen.

Dieser Einrichtungsprozess kann von zwei Personen gemeinsam durchgeführt werden: einem fynk-Kontoinhaber oder -Admin und einem IDP-Admin. Alternativ kann es von einem IDP-Admin durchgeführt werden, der auch ein fynk-Benutzerkonto mit der Rolle "Admin" oder "Owner" hat. Wenn der IDP-Admin nur vorübergehend für die SSO-Einrichtung Zugriff benötigt, können Sie dessen Benutzerkonto danach entfernen.

Jeder fynk-Benutzer mit der Rolle "Admin" oder "Owner" kann den IDP-Admin als Benutzer einladen.

Um auf die SSO-Konfigurationseinstellungen in Ihrem fynk-Konto zuzugreifen, gehen Sie zu Ihren Kontoeinstellungen:

Wechseln Sie nun zur Registerkarte "Integrationen" und klicken Sie auf "Konfigurieren":

Sie werden nun die SSO-Konfiguration sehen:

Für Ihren IDP benötigen Sie nur die ACS URL und die SP Entity ID URL.

Wenn Sie eine Metadaten-URL von Ihrem IDP bereitstellen, wird alles Notwendige automatisch eingerichtet, was der bequemste Weg ist.

Die Metadaten-URL hat einen weiteren großen Vorteil, da sie die Metadaten regelmäßig synchronisiert und Sie daher nie Ihr Zertifikat manuell ändern müssen.

Das Einrichten von SSO zwischen Entra ID und fynk ist wirklich einfach.

Zuerst müssen Sie eine neue Unternehmensanwendung außerhalb der Galerie erstellen. Dies können Sie tun, indem Sie zur Entra Gallery navigieren und auf [+ Create your own application] klicken:

Wählen Sie dann im Menü auf der rechten Seite [Non-Gallery] Anwendung aus und geben Sie ihr einen Namen (fynk wäre großartig 🤩).

Klicken Sie danach auf die Schaltfläche am unteren Rand des Menüs.

Die App ist nun erstellt und kann zur Konfiguration von SSO verwendet werden. Gehen Sie dazu in die App und klicken Sie auf [Set up single sign on]:

Wählen Sie [SAML]:

Sie werden einen Bildschirm wie unten sehen. Klicken Sie auf [Bearbeiten] rechts neben Schritt eins:

Fügen Sie hier einfach einen Bezeichner und eine Antwort-URL hinzu. Kopieren Sie diese aus Ihrer fynk-Anwendung:

Die ACS-URL von fynk muss in das Feld [reply URL] in EntraID kopiert werden. Die SP Entity ID-URL von fynk muss in das Feld [Identifier(Entity ID)] in EntraID kopiert werden.

Danach müssen Sie die Federation Metadata URL von EntraID kopieren:

Und kopieren Sie die [Metadata URL] in das entsprechende Feld in fynk:

Danach klicken Sie einfach auf die Schaltfläche neben der Metadaten-URL in fynk. Anschließend klicken Sie auf die Schaltfläche, um die Konfiguration zu speichern.

Alles sollte jetzt funktionieren. Denken Sie daran, dass Benutzer/Gruppen möglicherweise der Unternehmensanwendung hinzugefügt werden müssen, um Zugriff zu erhalten.

Alle berechtigten fynk-Benutzer sollten sich jetzt unter https://app.fynk.com/sso/login anmelden können.

In einigen Fällen müssen Sie auch das Attribut SubjectNameID manuell auf die E-Mail-Adresse der Benutzer zuordnen (da der Benutzer über die E-Mail-Adresse identifiziert wird und die Zuordnung über SubjectNameID erfolgt).

Das Einrichten von SSO zwischen Okta und fynk ist wirklich einfach.

Zuerst müssen Sie in Okta eine neue Anwendung erstellen. Dies können Sie tun, indem Sie zur Admin-Sektion in Okta navigieren und auf [App hinzufügen] klicken:

Wählen Sie dann auf dem nächsten Bildschirm [Neue App erstellen] und geben Sie ihr einen Namen (fynk wäre großartig 🤩).

Im nächsten Schritt wählen Sie SAML 2.0 aus und klicken Sie auf Weiter:

Sie werden einen Bildschirm wie unten sehen. Fügen Sie hier einfach einen Bezeichner und eine Antwort-URL hinzu. Kopieren Sie diese aus Ihrer fynk-Anwendung. Sie können sie einfach mit den Schaltflächen auf der rechten Seite kopieren:

Die ACS-URL von fynk muss in das Feld [Single Sign-On] in Okta kopiert werden. Die SP Entity ID-URL von fynk muss in das Feld [Audience URI (SP Entity ID)] in Okta kopiert werden.

Danach müssen Sie die Federation Metadata URL von Okta kopieren:

Und kopieren Sie die [Metadata URL] in das entsprechende Feld in fynk:

Danach klicken Sie einfach auf die Schaltfläche neben der Metadaten-URL in fynk. Anschließend klicken Sie auf die Schaltfläche, um die Konfiguration zu speichern.

Alles sollte jetzt funktionieren. Denken Sie daran, dass Benutzer/Gruppen möglicherweise der Unternehmensanwendung hinzugefügt werden müssen, um Zugriff zu erhalten.

Alle berechtigten fynk-Benutzer sollten sich jetzt unter https://app.fynk.com/sso/login anmelden können.

In einigen Fällen müssen Sie auch das Attribut SubjectNameID manuell auf die E-Mail-Adresse der Benutzer zuordnen (da der Benutzer über die E-Mail-Adresse identifiziert wird und die Zuordnung über SubjectNameID erfolgt).

Nachdem Sie SSO mit dem Identity Provider Ihrer Wahl erfolgreich eingerichtet haben, können Sie den Login über SSO erzwingen. Dadurch können sich die Benutzer nicht mehr mit ihrer normalen Benutzer-/Passwort-Kombination anmelden, was bedeutet, dass Sie Dinge einschränken können wie:

und vieles mehr.

Das Erzwingen des SSO-Logins ist nur möglich, wenn:

Nun müssen Sie nur noch die Single-Sign-On-Einstellungen in fynk besuchen und auf [SSO erzwingen] klicken.