Dieses Dokument beschreibt die Einrichtung und Funktionalität des SAML Single Sign-On für die Benutzerauthentifizierung und -verwaltung. Es beschreibt den Integrationsprozess, die Funktionen und die Schritte zur Einrichtung.
Hauptvorteile des Produkts
Vereinfachte Authentifizierung
Ermöglicht Kunden die Anmeldung über ihren Unternehmens-Identitätsanbieter.
Unterstützt sowohl vom Dienstleister (SP) als auch vom Identitätsanbieter (IdP) initiierte Flows.
Benutzerbereitstellung & -verwaltung
Automatische Benutzerbereitstellung, -aktualisierung und -deprovisionierung mit SCIM.
Just-in-Time-Bereitstellung für Benutzer, die SCIM nicht einrichten möchten.
Unterstützung der Attributzuordnung für benutzerdefinierte Benutzerrollen und -teams.
Benutzer, die über SAML bereitgestellt werden, müssen den traditionellen Prozess der Benutzeranfragegenehmigung nicht mehr durchlaufen, was den Verwaltungsaufwand erheblich reduziert.
Verbesserte Sicherheit
Sichere Behandlung von Name ID, Attributen und Authentifizierungskontexten.
Authentifizierung der zugehörigen Domäne, um sicherzustellen, dass Benutzer zur richtigen Organisation gehören.
Funktionsbeschreibung & Einrichtung
Dieses Update richtet sich in erster Linie an große Organisationen.
Die folgenden Beispiele werden mit Okta als Identitätsanbieter demonstriert. Die SAML-Integration funktioniert jedoch mit jedem Identitätsanbieter, der SAML 2.0 unterstützt.
Jeder IdP kann eine etwas andere Benutzeroberfläche für die Konfiguration haben, aber der Kernprozess der Einrichtung bleibt gleich:
Erstellen Sie eine Anwendung innerhalb des IdP.
Konfigurieren Sie die ACS-URL und die SP-Entitäts-ID, die vom Dienstleister (CisionOne/Streem) bereitgestellt werden.
Ordnen Sie Attribute wie
email
,first_name
,last_name
und benutzerdefinierte Rollen zu.
SAML-Einrichtung (Okta-Seite - Erforderlich)
1. Erstellen Sie eine neue App-Integration in Okta
Geben Sie Ihr Identity Provider-Administrations-Dashboard ein und erstellen Sie eine neue App-Integration. Stellen Sie sicher, dass Sie SAML 2.0 auswählen, wenn Sie nach einer Anmeldemethode gefragt werden.
2. ACS- und SP-Entitäts-ID aus CisionOne kopieren
Rufen Sie die SAML-Integrationsseite auf, indem Sie zu Organisation → Integrationen → SAML gehen.
Kopieren Sie die ACS-URL und die SP-Entitäts-ID.
Fügen Sie die ACS-URL und die SP-Identitäts-ID in die entsprechenden Felder ein. Verwenden Sie die E-Mail-Adresse als Name-ID-Format und die E-Mail-Adresse als Anwendungsbenutzernamen.
3. Einrichtung von Attributen
Richten Sie Attribut-Anweisungen über den Abschnitt für Attribut-Anweisungen Ihres Identitätsproviders ein. Derzeit benötigen wir:
email
first_name
last_name
primary_team (optional)
monitoring_user_role (optional)
social_user_role (optional)
outreach_user_role (optional)
Blättern Sie in Okta unterhalb der SAML-Integration nach unten, um den Abschnitt "Attributanweisungen" zu erreichen. Fügen Sie die folgenden Attribute hinzu.
Stellen Sie sicher, dass die erforderlichen und gewünschten optionalen Attribute im Profil-Editor von Okta eingerichtet sind.
SAML-Einrichtung (CisionOne – erforderlich)
1. ACS- und SP-Entitäts-ID aus Okta kopieren und einfügen
Kopieren Sie nach dem Erstellen der Anwendung die SSO-URL, den Aussteller des Identitätsproviders (Identitäts-ID) und das X.509-Zertifikat von Ihrem Identitätsprovider und fügen Sie es auf der Integrationsseite in CisionOne ein, um die Verbindung herzustellen.
2. Verknüpfte Domains einrichten
Wenn Sie Benutzer über mehrere Domains oder Organisationen verfügen, richten Sie bitte die Domänenauthentifizierung ein und verwenden Sie den generierten Schlüssel, um ihn zu Ihren DNS-Einträgen hinzuzufügen. Klicken Sie unbedingt auf „Domains überprüfen“, um die Verbindung ordnungsgemäß herzustellen.
Wenn Benutzer zu mehreren Organisationen oder Konten gehören, stellen Sie sicher, dass die Domänenüberprüfung über beide Konten hinweg korrekt erfolgt. Dies hilft, Routingkonflikte zu vermeiden und stellt sicher, dass Benutzer korrekt authentifiziert werden. Wenn dies nicht eingerichtet ist, kann der Benutzer seine alternativen Organisationen im Dropdown-Menü „Organisation“ in der oberen linken Ecke nicht sehen und muss sich separat bei seinen anderen Konten anmelden, ohne SAML SSO.
3. Einrichtung der Zuordnung benutzerdefinierter Attributwerte
Damit das Attribut für Team und Benutzerrolle funktioniert, muss der Administrator die benutzerdefinierten Attributwerte in CisionOne zuordnen.
Scrollen Sie in der CisionOne SAML-Integration nach unten und öffnen Sie das Akkordeon „Benutzerdefinierte Attribute (optional)“.
Hinweis: Wenn die Organisation die optionalen Attribute nicht eingerichtet hat, werden ihr standardmäßige Teams und Rollen zugewiesen, wie sie im CRM eingerichtet sind. Wenn kein Standardteam vorhanden ist, wird ihnen kein Team zugewiesen..
SCIM Einrichtung (Okta & Cision)
SCIM ist unabhängig von SAML. Okta ermöglicht es uns, diese Spezifikation zum Bereitstellen, Deaktivieren und Aktualisieren von Benutzern zu verwenden.
Wenn SCIM nicht eingerichtet ist, ist die Bereitstellung weiterhin über die Just-In-Time-Bereitstellung verfügbar, aber Aktualisierungen und die Deaktivierung von Benutzern sind nicht möglich.
SCIM Formular
Rufen Sie das SCIM-Formular auf, indem Sie zu App-Integration → Bereitstellung → SCIM-Verbindung gehen.
Füllen Sie das Formular wie unten gezeigt aus. Stellen Sie sicher, dass der Pfad der
SCIM-Connector-Basis-URL
/scim/v2
lautet:http://cc04-203-220-231-177.ngrok-free.app/scim/v2
(Dies ist eine temporäre Test-URL, die echten URLs befinden sich unten).CisionOne URL:[
https://identity.cision.one](<https://identity.cision.one/>)/scim/v2
Wenn Sie den Abschnitt HTTP-Header → Autorisierung erreichen, verweisen Sie auf die Integrationsseite in CisionOne.
Scrollen Sie zum Ende der Seite, um einen Token zu generieren und zu kopieren. Fügen Sie diesen Token in das Autorisierungsfeld im IDP ein.
ANachdem Sie alle Details im Okta SCIM-Formular eingegeben haben, klicken Sie auf „Verbindung testen“. Nach dem Test der Verbindung sollte folgender Bildschirm angezeigt werden:
Aktivieren Sie die Push-Aktionen, damit der IDP Benutzer in Cision automatisch erstellen, aktualisieren und deaktivieren kann.
Now, when you add, remove or make changes to a user inside the IDP, they’ll be synched with the user profile inside Cision.
The Authorisation token to be used is the one generated on the SAML integration modal.
Wenn Sie einen Benutzer im IDP hinzufügen, entfernen oder ändern, wird dieser mit dem Benutzerprofil in Cision synchronisiert.
Der zu verwendende Autorisierungstoken ist derjenige, der im SAML-Integrationsmodal generiert wurde.
Attribute für SCIM
Beim Zuweisen von Attributen für SCIM fügen Sie bitte das Feld „External Namespace“ gemäß dem Screenshot unten hinzu.
Hinweis: Der externe Namespace für Teams muss
urn:ietf:params:scim:schemas:extension:teams:2.0:User
und der externe Nameprimary_team
lauten.Für Rollen muss der externe Namespace
urn:ietf:params:scim:schemas:extension:roles:2.0:User
lautenund die externen Namen müssen je nach gewünschtem Benutzerrollentyp einer der folgenden sein:
monitoring_user_role
,social_user_role
,outreach_user_role
Wenn Sie dann einen Benutzer zur Anwendung hinzufügen, ihn entfernen oder Änderungen am Benutzer vornehmen, wird er mit der API und dem Identity-Service synchronisiert.
Anmeldeablauf
Die Integration ermöglicht sowohl SP-initiierte als auch IdP-initiierte Authentifizierungsabläufe.
Vom IDP
Nach der Einrichtung sollte die erstellte Anwendung in den Benutzer-Dashboards Ihres Identity Providers angezeigt werden. Wenn Sie auf die Kachel klicken, leitet der Browser zu CisionOne weiter und meldet den Benutzer an. Die Kachel erstellt den Benutzer auch, wenn dieser noch nicht bei Cision existiert.
Von CisionOne
Um sich bei CisionOne anzumelden, wählen Sie die Schaltfläche „Mit SAML anmelden“. Der Benutzer muss seine Firmen-E-Mail-Adresse eingeben und „Single Sign-On“ auswählen. Nach der Anmeldung wird der Benutzer möglicherweise kurz zu seinem Identitätsanbieter weitergeleitet und dann zurück zu Cision.
Wenn die E-Mail-Adresse des Benutzers nicht existiert oder ein Problem mit seiner Anmeldung vorliegt, wird die folgende Fehlermeldung angezeigt.