Zum Hauptinhalt springen
Alle KollektionenIntegrationen
SSO in fynk konfigurieren
SSO in fynk konfigurieren

Wie Sie Ihren SSO (sinle-sign-on) Anbieter mit fynk einrichten

Sebastian Nedoma avatar
Verfasst von Sebastian Nedoma
Vor über 5 Monaten aktualisiert

Einleitung

In diesem Artikel werden wir Informationen bereitstellen, wie Sie SSO (Single Sign-On) zwischen Ihrem Identity Provider (IDP) und fynk im Handumdrehen einrichten können.

Voraussetzungen

Um SSO-Anmeldefunktionen mit fynk zu etablieren, können Sie jeden Identity Provider (IDP) verwenden, der SAML2 unterstützt, wie Entra ID (Azure AD), Okta oder Google Workspace.

Sie benötigen die Unterstützung eines IDP-Administrators, um SSO einzurichten. Zusätzlich wird ein Benutzer mit der Rolle "Admin" oder "Owner" in fynk benötigt, um auf die SSO-Einrichtungsseite zuzugreifen.

Dieser Einrichtungsprozess kann von zwei Personen gemeinsam durchgeführt werden: einem fynk-Kontoinhaber oder -Admin und einem IDP-Admin. Alternativ kann es von einem IDP-Admin durchgeführt werden, der auch ein fynk-Benutzerkonto mit der Rolle "Admin" oder "Owner" hat. Wenn der IDP-Admin nur vorübergehend für die SSO-Einrichtung Zugriff benötigt, können Sie dessen Benutzerkonto danach entfernen.

Jeder fynk-Benutzer mit der Rolle "Admin" oder "Owner" kann den IDP-Admin als Benutzer einladen.

SSO in fynk konfigurieren

Um auf die SSO-Konfigurationseinstellungen in Ihrem fynk-Konto zuzugreifen, gehen Sie zu Ihren Kontoeinstellungen:

Fynk Sidebar - Settings highlighted

Wechseln Sie nun zur Registerkarte "Integrationen" und klicken Sie auf "Konfigurieren":

Account settings in fynk - SAML/SSO config highlighted

Sie werden nun die SSO-Konfiguration sehen:

SAML/SSO config in fynk

Für Ihren IDP benötigen Sie nur die ACS URL und die SP Entity ID URL.

Wenn Sie eine Metadaten-URL von Ihrem IDP bereitstellen, wird alles Notwendige automatisch eingerichtet, was der bequemste Weg ist.

Die Metadaten-URL hat einen weiteren großen Vorteil, da sie die Metadaten regelmäßig synchronisiert und Sie daher nie Ihr Zertifikat manuell ändern müssen.

Einrichten von SSO mit Entra ID (Azure AD)

Das Einrichten von SSO zwischen Entra ID und fynk ist wirklich einfach.

Zuerst müssen Sie eine neue Unternehmensanwendung außerhalb der Galerie erstellen. Dies können Sie tun, indem Sie zur Entra Gallery navigieren und auf [+ Create your own application] klicken:

Create new application EntraID

Wählen Sie dann im Menü auf der rechten Seite [Non-Gallery] Anwendung aus und geben Sie ihr einen Namen (fynk wäre großartig 🤩).

Create Non Gallery Application EntraID

Klicken Sie danach auf die Schaltfläche am unteren Rand des Menüs.

Die App ist nun erstellt und kann zur Konfiguration von SSO verwendet werden. Gehen Sie dazu in die App und klicken Sie auf [Set up single sign on]:

Set up single Sign on Button EntraID

Wählen Sie [SAML]:

SAML Button EntraID

Sie werden einen Bildschirm wie unten sehen. Klicken Sie auf [Bearbeiten] rechts neben Schritt eins:

SAML Config EntraID - Edit Step 1 Highlighted

Fügen Sie hier einfach einen Bezeichner und eine Antwort-URL hinzu. Kopieren Sie diese aus Ihrer fynk-Anwendung:

SP Entity ID and ACS Url in fynk

Die ACS-URL von fynk muss in das Feld [reply URL] in EntraID kopiert werden. Die SP Entity ID-URL von fynk muss in das Feld [Identifier(Entity ID)] in EntraID kopiert werden.

Step 1 SAML configuration EntraID

Danach müssen Sie die Federation Metadata URL von EntraID kopieren:

SAML Config EntraID - Metadata URL Highlighted

Und kopieren Sie die [Metadata URL] in das entsprechende Feld in fynk:

Metadata Url field

Danach klicken Sie einfach auf die Schaltfläche neben der Metadaten-URL in fynk. Anschließend klicken Sie auf die Schaltfläche, um die Konfiguration zu speichern.

Alles sollte jetzt funktionieren. Denken Sie daran, dass Benutzer/Gruppen möglicherweise der Unternehmensanwendung hinzugefügt werden müssen, um Zugriff zu erhalten.

Alle berechtigten fynk-Benutzer sollten sich jetzt unter https://app.fynk.com/sso/login anmelden können.

In einigen Fällen müssen Sie auch das Attribut SubjectNameID manuell auf die E-Mail-Adresse der Benutzer zuordnen (da der Benutzer über die E-Mail-Adresse identifiziert wird und die Zuordnung über SubjectNameID erfolgt).

Einrichten von SSO mit Okta

Das Einrichten von SSO zwischen Okta und fynk ist wirklich einfach.

Zuerst müssen Sie in Okta eine neue Anwendung erstellen. Dies können Sie tun, indem Sie zur Admin-Sektion in Okta navigieren und auf [App hinzufügen] klicken:

Wählen Sie dann auf dem nächsten Bildschirm [Neue App erstellen] und geben Sie ihr einen Namen (fynk wäre großartig 🤩).

Im nächsten Schritt wählen Sie SAML 2.0 aus und klicken Sie auf Weiter:

Sie werden einen Bildschirm wie unten sehen. Fügen Sie hier einfach einen Bezeichner und eine Antwort-URL hinzu. Kopieren Sie diese aus Ihrer fynk-Anwendung. Sie können sie einfach mit den Schaltflächen auf der rechten Seite kopieren:

SP Entity ID and ACS Url in fynk

Die ACS-URL von fynk muss in das Feld [Single Sign-On] in Okta kopiert werden. Die SP Entity ID-URL von fynk muss in das Feld [Audience URI (SP Entity ID)] in Okta kopiert werden.

Danach müssen Sie die Federation Metadata URL von Okta kopieren:

Und kopieren Sie die [Metadata URL] in das entsprechende Feld in fynk:

Metadata Url field

Danach klicken Sie einfach auf die Schaltfläche neben der Metadaten-URL in fynk. Anschließend klicken Sie auf die Schaltfläche, um die Konfiguration zu speichern.

Alles sollte jetzt funktionieren. Denken Sie daran, dass Benutzer/Gruppen möglicherweise der Unternehmensanwendung hinzugefügt werden müssen, um Zugriff zu erhalten.

Alle berechtigten fynk-Benutzer sollten sich jetzt unter https://app.fynk.com/sso/login anmelden können.

In einigen Fällen müssen Sie auch das Attribut SubjectNameID manuell auf die E-Mail-Adresse der Benutzer zuordnen (da der Benutzer über die E-Mail-Adresse identifiziert wird und die Zuordnung über SubjectNameID erfolgt).

Einloggen via SSO erzwingen

Nachdem Sie SSO mit dem Identity Provider Ihrer Wahl erfolgreich eingerichtet haben, können Sie den Login über SSO erzwingen. Dadurch können sich die Benutzer nicht mehr mit ihrer normalen Benutzer-/Passwort-Kombination anmelden, was bedeutet, dass Sie Dinge einschränken können wie:

  • Von welchen Geräten sich die Benutzer anmelden können

  • Aus welchem Netzwerk sich die Benutzer anmelden können

  • Welche Benutzer generell zur Anmeldung berechtigt sind

und vieles mehr.

Das Erzwingen des SSO-Logins ist nur möglich, wenn:

  • Sie über SSO angemeldet sind
    UND

  • Sie die Rolle Admin oder Owner haben.

Nun müssen Sie nur noch die Single-Sign-On-Einstellungen in fynk besuchen und auf [SSO erzwingen] klicken.

Enforce SSO section in fynk

Hat dies deine Frage beantwortet?