Single Sign-On (SSO) ermöglicht es Ihnen, Ihre Lernenden mit Ihren eigenen Systemen zu authentifizieren, ohne dass sie zusätzliche Reach 360-Anmeldeinformationen eingeben müssen. Wenn ein Lernender also bereits von Ihrem Identitätsanbieter (IDP) authentifiziert wurde, ist er auch in Reach 360 authentifiziert.

Nur Inhaber eines Reach 360-Kontos können SSO über die In-App-Oberfläche aktivieren oder deaktivieren.

1. Holen Sie sich IDP-Informationen
2. SSO in Reach 360 aktivieren
3. Fügen Sie Ihrem IDP Reach 360-Informationen hinzu
4. Fügen Sie erforderliche Attribute für Lernende hinzu
5. SSO deaktivieren

Schritt 1: IDP-Informationen abrufen

Wir müssen über Ihren IDP Bescheid wissen und sie müssen über uns Bescheid wissen. Um SSO zu aktivieren, müssen Sie Informationen über Ihren Anbieter in Reach 360 eingeben. Im Gegenzug geben wir Ihnen die Informationen, die Sie für Ihr IDP-Konto benötigen.

Sie benötigen drei Dinge:

1. IDP SSO-URL
2. URI des IDP-Ausstellers
3. IDP-Signaturzertifikat

Diese sollten alle in Ihrem IDP-Konto verfügbar/konfigurierbar sein.

Schritt 2: Aktivieren Sie SSO in Reach 360

Die Option zur Konfiguration von SSO steht nur Besitzern zur Verfügung. Wenn Sie sich nicht sicher sind, was Sie für einen bestimmten Schritt eingeben müssen, klicken Sie auf Weitere Informationen, um weitere Informationen zu erhalten.

1. Auswählen Sie in Reach 360 die Registerkarte Verwalten und klicken Sie auf Einstellungen.
2. Klicken Sie unter Single Sign-On (SSO) -Authentifizierung auf SSO konfigurieren.
3. Geben Sie auf der Seite Single Sign-On (SSO) -Authentifizierung konfigurieren im Feld IDP-SSO-URL die IDP-SSO-URL ein, die Sie in Schritt 1 erhalten haben. Dies ist die Adresse, unter der sich Ihre Lernenden anmelden.
4. Geben Sie die IDP-Entitäts-ID für Ihr SSO in das Feld IDP-Aussteller-URI ein.
5. Öffnen Sie das IDP-Signaturzertifikat, das Sie in Schritt 1 heruntergeladen haben. Kopieren Sie das gesamte X.509-Zertifikat und fügen Sie es in das dafür vorgesehene Feld ein.
6. Wählen Sie aus, wie die SAML-Antwort Ihres IDP signiert wird. Sie müssen entweder Response oder Assertion wählen.
7. Wählen Sie aus, ob Sie SAML-Authentifizierungsanfragen signieren möchten und ob Sie SCIM verwenden möchten, um Teilnehmer und Gruppen automatisch bereitzustellen.
8. Nachdem Sie Ihre Eingaben überprüft haben, klicken Sie auf Speichern und fortfahren.

Schritt 3: Reach 360-Informationen zu Ihrem IDP hinzufügen

Sobald Sie die Informationen im vorherigen Schritt eingegeben haben, haben wir alles, was wir benötigen, um die Zertifikate und Token für Ihr IDP-Konto zu generieren.

Nachdem Sie auf Speichern und Fortfahren geklickt haben, werden Sie feststellen, dass die SSO-Seite etwas anders ist. Diese Elemente benötigen Sie, um Ihre SSO-Lösung mit Reach 360 zu verbinden:

• URL des Assertion Consumer Service (ACS)
• Zielgruppen-URL
• Signaturzertifikat

Wenn Sie in Schritt 2 die Option zur Verwendung von SCIM ausgewählt haben, erhalten Sie außerdem:

• SCIM-URL
• SCIM-Authentifizierungstoken

Fügen Sie diese Werte an der entsprechenden Stelle auf der Konfigurationsseite Ihres IDP hinzu. Stellen Sie sicher, dass Sie Ihren IDP mit den unten aufgeführten erforderlichen SCIM-Attributen konfigurieren. Wenn Sie mit diesen Informationen fertig sind, klicken Sie auf Fertig.

Nach der Konfiguration können Sie Ihre SSO-Einstellungen jederzeit einsehen, indem Sie auf der Registerkarte Entwicklereinstellungen auf SSO konfigurieren klicken. Wenn Sie SCIM aktiviert haben, können Sie ein neues SCIM-Token generieren, indem Sie auf die Schaltfläche im Abschnitt SCIM-URL klicken. Dadurch wird Ihr aktuelles Token ungültig und es wird ein neues ausgestellt, das Sie Ihrem IDP zur Verfügung stellen müssen.

Hinweis: Wenn Sie Probleme haben, diese Informationen zu Ihrem IDP-Konto hinzuzufügen, wenden Sie sich bitte an das Support-Team.

Wenn Sie SCIM in Schritt 2 aktiviert haben, sind dies erforderliche Attribute für die Erstellung von Lernenden:

• name.givenName= Vorname
• name.familyName= Nachname
• userName= E-Mail-Adresse
• externalId= jede eindeutige ID von Ihrem IdP

Sie können auch optionale Attribute senden:

• avatar= ersetzt das vom Lernenden definierte Profilfoto (muss als URL übergeben werden und soll als Attribut gesendet werden, das Teil des urn:scim:schemas:Extension:Metadata:2.0:User-Schemas ist)

Schritt 4: Erforderliche Attribute für Lernende hinzufügen

Damit ein Lernender in Reach 360 erstellt werden kann, muss sein Datensatz in Ihrem IDP die folgenden Attribute enthalten:

• firstName= Vorname
• lastName= Nachname
• email= E-Mail-Adresse
• subjectNameIdoder Unique Learner Identifier = das externalId oder des Objekts guid (muss dauerhaft unveränderlich und eindeutig sein und darf keine internen Details wie E-Mail, Name usw. preisgeben)

Sie können auch diese optionalen Attribute senden:

• avatar= ersetzt das vom Lernenden definierte Profilfoto (muss als URL übergeben werden)
• groups= eine Liste von Gruppen, denen der Lernende im IdP zugewiesen ist und die Sie mit Reach 360 synchronisieren möchten.

Klicken Sie hier, um weitere Informationen zur Verwaltung von Lernenden und Gruppen zu erhalten, wenn SSO aktiviert ist.

Schritt 5: SSO deaktivieren

Das Ausschalten von SSO ist schnell und einfach. Denken Sie jedoch daran, dass Sie nach der Deaktivierung von SSO den gesamten in den Schritten 1 bis 3 beschriebenen Vorgang wiederholen müssen, wenn Sie SSO wieder aktivieren möchten.

1. Klicken Sie auf der Registerkarte Verwalten auf Einstellungen.
2. Klicken Sie auf der Registerkarte Konto im Abschnitt SAML-Konfigurationseinstellungen auf SSO deaktivieren.
3. Klicken Sie auf Ausschalten, um zu bestätigen, dass Sie SSO deaktivieren möchten.

An Ihre mit SSO verknüpften Teammitglieder wird eine E-Mail gesendet, in der Sie darüber informiert werden, dass SSO deaktiviert wurde. Um ihre Anmeldung wieder zu aktivieren, müssen sie in dieser E-Mail auf die Schaltfläche „Passwort festlegen“ klicken.