Zum Hauptinhalt springen

Integration mit einem Identity Provider und Anmeldung mit SAML SSO

Melden Sie sich mit SAML SSO über Okta, OneLogin oder einen anderen Identity Provider in Ihrem Fin Workspace an.

Die Integration Ihres Fin Workspace mit Ihrem Identity Provider macht die Anmeldung für Ihr Team einfach und sicher.

Folgen Sie den Schritten in diesem Artikel, um Ihren Identity Provider so zu konfigurieren, dass SAML SSO (Single Sign On) von allen Teammitgliedern verlangt wird oder als eine Ihrer Anmeldeoptionen angeboten wird.

Konfiguration Ihres Identity Providers

Um SAML SSO zu aktivieren, gehen Sie zu Einstellungen > Sicherheit und schalten Sie SAML SSO unter „Authentifizierungsmethoden“ ein:

Screenshot der Seite Einstellungen > Sicherheit, der den Abschnitt Authentifizierungsmethoden mit aktiviertem SAML SSO-Schalter zeigt

Sobald Sie es einschalten, erscheint der Abschnitt SAML SSO 👇

Screenshot, der den Abschnitt zur SAML SSO-Konfiguration zeigt, der nach dem Aktivieren des Schalters erscheint, mit Feldern zur Konfiguration des Identity Providers

Das Erste, was Sie sehen, ist die eindeutige SAML URL für Ihren Workspace:

Screenshot, der die eindeutige SAML URL für den Workspace oben im Abschnitt zur SAML SSO-Konfiguration anzeigt

Sie müssen diese URL einfügen, um SAML SSO mit Ihrem Identity Provider zu konfigurieren. Wenn Sie SAML mit der Intercom Okta App oder OneLogin einrichten, benötigen Sie nur <SAML URL>.

  • Single Sign-On URL: <SAML URL>/consume

  • Recipient URL: <SAML URL>/consume

  • Audience restriction/Entity ID: <SAML URL>

  • NameID: E-Mail-Adresse

  • Signed Assertions: Ja

  • Mapped Attributes

    • firstName (Vorname des Benutzers)

    • lastName (Nachname des Benutzers)

  • Encryption: AES256_CBC mit diesem Zertifikat:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Um zu integrieren, müssen Sie außerdem folgende Informationen aus Ihrem Identity Provider in Ihrem Fin Workspace hinzufügen:

  • Identity provider Single Sign-On URL — Dies ist die URL, die verwendet wird, um den Anmeldevorgang zu starten.

  • Public certificate — Dies ermöglicht Ihrem Fin Workspace, SAML-Anfragen von Ihrem Identity Provider zu validieren. Es muss ein X.509-Zertifikat sein.

    Screenshot der SAML SSO-Einstellungen in Intercom, der das Feld Identity provider Single Sign-On URL und das Feld Public certificate zeigt, in das das X.509-Zertifikat eingefügt wird

Wenn Ihr Identity Provider dies unterstützt, können Sie auch eine Sitzungsdauer in der Konfiguration Ihres Identity Providers festlegen, die die Zeitspanne bestimmt, bevor die Sitzung eines Teammitglieds abläuft und es sich erneut im Fin Workspace anmelden muss. Wenn dies nicht festgelegt ist, beträgt die Standarddauer 3,5 Tage.

Geben Sie als Nächstes die domains an, die sich mit SAML SSO authentifizieren dürfen. Geben Sie eine domain unter „Erlaubte domains“ ein und klicken Sie auf domain hinzufügen. Stellen Sie bei der Konfiguration der domains sicher, dass sie mit der ausgewählten Region Ihres Workspace (z. B. EU oder andere geografische Regionen) auf der SP-Anmeldeseite übereinstimmen, um Authentifizierungsfehler zu vermeiden.

Screenshot des Abschnitts Erlaubte domains mit einem Eingabefeld für domains und der Schaltfläche domain hinzufügen

Um sicherzustellen, dass sich alle Teammitglieder erfolgreich mit SAML SSO anmelden können, bevor Sie andere Anmeldemethoden deaktivieren, sollten Sie diese Optionen aktiviert lassen:

Screenshot des Abschnitts Authentifizierungsmethoden, der die Schalter für Google Sign-On sowie E-Mail und Passwort zeigt, die während des SAML SSO-Tests aktiviert bleiben sollten

Wichtig: Um diese Option abzuwählen und SAML SSO als erforderliche Anmeldemethode durchzusetzen, müssen Sie mit SAML SSO angemeldet sein. Dies können Sie nach dem Speichern Ihrer Einstellungen tun.

Dann müssen Sie bestätigen, dass Sie die domain besitzen, indem Sie einen TXT-Eintrag in Ihren DNS-Einstellungen mit den hier angezeigten Werten hinzufügen:

Screenshot, der den DNS-Verifizierungsabschnitt mit dem TXT-Eintragsnamen und -wert zeigt, der zu den DNS-Einstellungen der domain hinzugefügt werden muss

Wenn Sie keinen Zugriff auf Ihren DNS-Anbieter haben, benötigen Sie möglicherweise Hilfe von jemandem aus Ihrem Team.

Nachdem Sie den TXT-Eintrag in Ihren DNS-Einstellungen hinzugefügt haben, klicken Sie auf „DNS-Eintrag verifizieren“:

Screenshot, der die Schaltfläche DNS-Eintrag verifizieren neben der domain zeigt, die auf Verifizierung wartet

Hinweis: Wenn Sie den DNS-Eintrag gerade erstellt haben, kann es sein, dass er sich noch verbreitet. In diesem Fall sehen Sie folgende Warnmeldung: „DNS-Eintrag kann nicht verifiziert werden. Bitte versuchen Sie es später erneut.“

Sobald der DNS-Eintrag verifiziert ist, sehen Sie eine Erfolgsmeldung und die domain wird hier angezeigt:

Screenshot des Abschnitts Erlaubte domains, der eine erfolgreich verifizierte domain mit einer Bestätigungsmeldung zeigt

Wenn Sie mehr als eine domain hinzufügen müssen, wiederholen Sie diesen Vorgang für die anderen. 👌

Anmeldung mit SAML SSO

Sobald SAML SSO aktiviert ist, können sich Teammitglieder damit anmelden.

E-Mail nicht für ein SAML-Konto registriert

Wenn die auf der SAML-Anmeldeseite eingegebene E-Mail keinem Teammitglied zugeordnet ist, das zu einem Workspace mit aktiviertem SAML SSO gehört, sieht das Teammitglied eine Fehlermeldung.

E-Mail für ein SAML-Konto registriert

Wenn die E-Mail mit einem Workspace mit SAML SSO übereinstimmt, wird der Benutzer direkt zum Identity Provider weitergeleitet, den er verwendet, und zur Anmeldung aufgefordert.

E-Mail für mehrere SAML-Konten registriert

Wenn die E-Mail mit mehreren Workspaces mit SAML SSO übereinstimmt, sehen Sie den Workspace-Auswahlbildschirm, in dem Sie den Workspace auswählen können, bei dem Sie sich anmelden möchten.

Screenshot des Workspace-Auswahlbildschirms, der angezeigt wird, wenn die E-Mail eines Teammitglieds in mehreren Workspaces mit aktiviertem SAML SSO registriert ist, mit einer Liste verfügbarer Workspaces zur Auswahl

Je nach Identity Provider, den das Teammitglied für jeden Workspace hat, wird es zur richtigen Anmeldeerfahrung des Identity Providers weitergeleitet. Nach der Anmeldung wird der Benutzer zum richtigen Workspace zurückgebracht und angemeldet.

SAML-Unterstützung beim Kontowechsel

SAML SSO wird beim Wechsel zwischen Workspaces unterstützt.

Wenn ein Teammitglied zu einem Workspace wechseln möchte, in dem es bereits angemeldet ist, erfolgt der Wechsel reibungslos. Andernfalls wird das Teammitglied zum Workspace-Selector weitergeleitet und aufgefordert, sich einmal anzumelden.

Szenario:

  • Wenn ein Teammitglied in zwei Workspaces mit ähnlichen SAML SSO-Anbietern angemeldet ist, ist keine erneute Authentifizierung zum Wechsel zwischen den Workspaces erforderlich.

  • Hat das Teammitglied Zugriff auf einen dritten Workspace, bei dem das Passwort als Authentifizierungsmethode verwendet wird, und ist es dort nicht angemeldet, wird es zum Workspace-Switcher weitergeleitet, um sich einmal mit dem Passwort anzumelden.

Fehlerbehebung bei Google Workspace SSO

Wenn Sie Google Workspace als Ihren SSO-Anbieter verwenden und eine Fehlermeldung erhalten, die besagt, dass Sie keinen Zugriff haben (ähnlich dem untenstehenden Bild), können Sie Remediation-Nachrichten aktivieren, um den Grund für den Fehler besser zu verstehen.

Screenshot einer Google Workspace SSO-Zugriffsfehlermeldung, die anzeigt, dass der Benutzer keinen Zugriff hat

Sobald aktiviert, können Sie detailliertere Informationen in der Fehlermeldung sehen.

Zum Beispiel könnte der folgende Fehler darauf hinweisen, dass das verwendete Gerät nicht von Google endpoint management verwaltet wird:

Screenshot einer detaillierten Google Workspace SSO-Fehlermeldung, die anzeigt, dass das Gerät nicht von Google endpoint management verwaltet wird

Workspace-Einladungen

SAML SSO ist auch mit Workspace-Einladungen kompatibel. Beim Einlösen der Einladung schlägt es fehl, wenn die Einladungs-E-Mail nicht mit der vom Identitätsanbieter zurückgegebenen E-Mail übereinstimmt. Andernfalls kann die Einladung eingelöst werden.

Wählen Sie die Aktivierung der Just-in-Time (JIT) Bereitstellung

Die Just-in-Time-Bereitstellung fügt Teammitglieder automatisch zu Ihrem Fin Workspace hinzu, wenn sie sich zum ersten Mal mit SAML SSO anmelden, falls sie noch kein Fin-Konto haben.

Um dies zu aktivieren, gehen Sie zu Einstellungen > Sicherheit, stellen Sie sicher, dass SAML SSO aktiviert ist, und klicken Sie auf Provisioning.

Screenshot der SAML SSO-Einstellungsseite mit dem Abschnitt Provisioning und den Optionen für Just-in-Time-Bereitstellung

Aktivieren Sie dann die Just-in-Time-Bereitstellung.

Screenshot, der den aktivierten Zustand des Just-in-Time-Bereitstellungsschalters zeigt

Sie können auch Berechtigungen für neue Teammitglieder konfigurieren, die über JIT-Bereitstellung hinzugefügt wurden oder wenn die rollenbasierte SCIM-Bereitstellung deaktiviert ist. Um Standardberechtigungen für Teammitglieder festzulegen, klicken Sie auf Bearbeiten.

Screenshot der Standardeinstellungen für Berechtigungen neuer Teammitglieder, die über Just-in-Time-Bereitstellung hinzugefügt wurden

Speichern Sie abschließend Ihre Einstellungen und testen Sie Ihre Konfiguration, indem Sie sich mit Ihrem Identitätsanbieter authentifizieren.

Sobald Ihr Workspace mit einem beliebigen Anbieter SAML SSO aktiviert hat, können Teammitglieder ihre eigene E-Mail-Adresse auf ihrer Account-Sicherheitsseite nicht mehr bearbeiten. Das E-Mail-Feld ist schreibgeschützt.

SAML mit OneLogin konfigurieren

Die Konfiguration von SAML SSO mit OneLogin ist einfach. Verwenden Sie einfach die Intercom-App im OneLogin-Store.

Gehen Sie auf Ihrer Admin-Seite zu „Applications“ und klicken Sie auf „Add App“:

Screenshot der OneLogin-Admin-Dashboard-Anwendungsseite mit der Schaltfläche Add App

Suchen Sie dann nach der App „Intercom SAML 2.0“ und fügen Sie sie hinzu:

Screenshot der OneLogin-App-Suchergebnisse mit der Intercom SAML 2.0-Anwendung

Öffnen Sie nach dem Hinzufügen der Intercom-App die Registerkarte Konfiguration und geben Sie den SAML-Namen für Ihren Workspace ein:

Screenshot der OneLogin-Intercom-App-Konfigurationsregisterkarte mit dem SAML-Namensfeld, in das der Workspace-SAML-Name eingegeben wird

Kopieren Sie auf der SSO-Registerkarte die URL "SAML 2.0 Endpoint" und fügen Sie sie in die SAML-Einstellungen Ihres Workspace ein:

Screenshot der OneLogin-Intercom-App-SSO-Registerkarte mit der URL des SAML 2.0-Endpunkts, die in die SAML-Einstellungen von Intercom kopiert werden soll

Klicken Sie abschließend unter dem Zertifikat auf „Details anzeigen“ und kopieren Sie dieses ebenfalls in Ihren Fin Workspace:

Screenshot der OneLogin-Zertifikatsdetailansicht mit dem Zertifikat, das in das öffentliche Zertifikatsfeld von Intercom kopiert werden soll

Jetzt können Sie sich mit OneLogin authentifizieren, Ihre Einstellungen in Ihrem Fin Workspace speichern, und Sie sind startklar. 👌

Hinweis: Wenn Ihr Workspace in der EU oder AU gehostet wird, wenden Sie sich an das OneLogin-Team, um sicherzustellen, dass Ihre Integration unterstützt wird.

SAML SSO mit Okta konfigurieren

Richten Sie SAML SSO einfach mit der Intercom-App im Okta-App-Store ein.

Gehen Sie auf Ihrer Admin-Seite zu „Add Application“ und suchen Sie nach Intercom. Klicken Sie auf „Add“:

Screenshot des Okta-App-Stores mit dem Suchergebnis der Intercom-Anwendung und einer Schaltfläche zum Hinzufügen


Fahren Sie mit Schritt 2 fort und sehen Sie sich die Einrichtungsanweisungen an:

Screenshot der Okta-Intercom-App-Einrichtungsanweisungen mit der URL des Identity Provider Issuer und den Feldern für das öffentliche Zertifikat


Diese Anweisungen sind auf Ihr Okta-Konto zugeschnitten und enthalten Folgendes:

  • URL des Identity Provider Issuer.

  • Öffentliches Zertifikat.

Sie müssen diese Werte in die SAML-Einstellungen Ihres Workspace kopieren und einfügen.

Nachdem Sie die URL und das Zertifikat hinzugefügt haben, kehren Sie zu Okta zurück und geben Sie den SAML-Namen Ihres Workspace unter „Erweiterte Anmeldeeinstellungen“ ein:

Screenshot der Okta-Intercom-App-Erweiterten Anmeldeeinstellungen, in denen der Workspace-SAML-Name eingegeben wird

Siehe oben für Anweisungen, wie Sie Ihren SAML-Namen finden.


Speichern Sie als Nächstes das von Okta bereitgestellte Encryption Certificate als intercom.pem und laden Sie es hier hoch:

Screenshot des Upload-Felds für das Okta Encryption Certificate, in dem die Zertifikatsdatei intercom.pem hochgeladen wird

Jetzt können Sie Ihre Einstellungen in Okta speichern und dann die Authentifizierung in Ihrem Fin workspace bestätigen, und alles ist bereit. 👌

Verwandte Artikel
Copilot in Zendesk bereitstellen
Schützen Sie Ihr Konto mit 2FA, Google Sign-On oder SAML SSO
Hat dies deine Frage beantwortet?