Häufig gestellte Fragen

Wie kann ich SSO per SAML konfigurieren?
Zuletzt aktualisiert vor einem Jahr

Als Systemverwalter in der Bemios Anhörungsverwaltung haben Sie die Möglichkeit Single-Sign-On für Ihre Benutzer über ein im Unternehmen bereits vorhandenes, SAML-kompatibles System zu konfigurieren, einen sogenannten Identity Provider (IdP).

Gemäß unserem Anspruch, die beiden Parteien Betriebsrat und Personalabteilung streng voneinander zu trennen, wird SSO auf beiden Seiten getrennt voneinander (von den jeweiligen Systemverwaltern) eingestellt. Es ist jedoch natürlich auch möglich, dass auf beiden Seiten derselbe IdP zum Einsatz kommt.

Wenn Sie SAML aktivieren wollen, finden Sie die Einstellungen hierzu in der Anhörungsverwaltung im Punkt "Systemverwaltung > Anmeldemethode".

Bitte lesen Sie jedoch zuvor die unten stehenden Ausführungen sorgfältig durch, denn eine falsch konfigurierte Anmeldemethode kann dazu führen, dass Sie den Zugriff auf die Anhörungsverwaltung temporär verlieren. Sollte dies passieren, melden Sie sich bitte umgehend bei uns, damit wir die Einstellungen für Sie zurücksetzen können.

SAML-Adresse ("Callback URL") im Identity Provider eintragen

Zuvor müssen jedoch auf Seiten Ihres Identity Providers die Anhörungsverwaltung als angebundene Anwendung anmelden. Die genauen Schritte hierzu unterscheiden sich je nach verwendeter Software, wenn Sie dabei Hilfe benötigen, können Sie gerne unseren Kundenservice heranziehen. Üblicherweise reicht es, unsere SAML-Adresse ("Callback URL") einzutragen. Diese lautet
https://app.bemios.de/api/v1/sso/start


Identifikation der Benutzer über Emailadressen

Jeder Benutzer in der Bemios Anhörungsverwaltung wird durch seine Emailadresse, die auch als Benutzerkennung dient, eindeutig identifiziert. Bitte stellen Sie sicher, dass die im Identity Provider für jeden Benutzer hinterlegten Emailadressen mit denen in der Anhörungsverwaltung übereinstimmt, und dass beim Austausch der SAML-Daten diese Adresse übermittelt wird (normalerweile ist dies bereits der Fall).

Wenn Sie einen Abgleich der Emailadressen in Ihrem Identity Provider nicht konfigurieren können, bieten wir auch die Möglichkeit auf Seiten der Anhörungsverwaltung eine zusätzliche Verknüpfungstabelle zwischen interner SAML-Kennung und Anwendern anzulegen. Diese muss jedoch manuell erstellt und auf dem Laufenden gehalten werden.


SAML-Metadaten-XML in der Anhörungsverwaltung hinterlegen

Nachdem Sie die Anhörungsverwaltung und ihre SAML-Adresse im Identity Provider eingetragen haben, sollte dort eine Metadaten-XML-Datei angezeigt werden. Kopieren Sie diese in das dafür vorgesehene Textfeld in "Systemverwaltung > Anmeldemethode".

SSO-URL an Benutzer kommunizieren

Wenn SSO aktiviert ist, können Ihre Mitarbeiter das Anmeldeformular der Anhörungsverwaltung umgehen. Allerdings müssen Sie hierzu in Ihrem Browser statt der normalen Startseite die SSO-Eingangsseite aufrufen. Der Link hierzu wird in den Systemeinstellungen über dem Feld mit dem SAML-Metadaten-XML angezeigt, er hat die Form https://app.bemios.de/sso/KUNDE. Es empfiehlt sich, ein Bookmark hierfür zu setzen, oder es als Link in Ihrem Intranet einzubauen.

Benutzerrechte werden weiterhin in der Anhörungsverwaltung vergeben

Ob jemand die Anhörungsverwaltung nutzen kann, auf welcher Seite und mit welchen Rechten und Rollen wird weiterhin in der Benutzerverwaltung innerhalb der Anhörungsverwaltung selbst festgelegt. Ohne einen entsprechenden Eintrag für den jeweiligen Anwender wird der Zugriff (selbst bei erfolgreicher Authentifikation durch den Identity Provider) verweigert.

Bitte warten!

Bitte warten... es dauert eine Sekunde!