Single Sign-On (SSO) ermöglicht es den Lernenden, sich bei einem einzigen System, z. B. einem Unternehmensverzeichnis, anzumelden und dann auf mehrere Apps zuzugreifen, ohne sich bei jeder App mit separaten Anmeldeinformationen anmelden zu müssen. Wenn SSO für Ihre Organisation in Reach 360 aktiviert ist, werden Sie Lernende und potenzielle Gruppen etwas anders verwalten. Inhaber eines Reach 360-Kontos können SSO über die In-App-Oberfläche aktivieren.

Reach 360 verwendet Security Assertion Markup Language (SAML) zur Authentifizierung von Lernenden und unterstützt System for Cross-Domain Identity Management (SCIM) zur Automatisierung der Bereitstellung von Lernenden. Sie können SAML eigenständig oder zusammen mit SCIM für zusätzliche Automatisierung verwenden.

Hinweis: Sie können weiterhin Lernende in Reach 360 hinzufügen, indem Sie die hier aufgeführten Schritte ausführen. Denken Sie jedoch daran, dass in Reach 360 hinzugefügte Lernende nicht von Ihrem Identity Provider (IdP) verwaltet werden.

So kann sich SSO darauf auswirken, was Sie auf der Registerkarte „Personen“ tun.

• Verwaltung von mit SAML authentifizierten Lernenden
• Gruppen mit SAML verwalten
• Verwaltung von Gruppen und Lernenden, die mit SCIM bereitgestellt wurden
• Glossar

Verwaltung von mit SAML authentifizierten Lernenden

Wenn Ihre Organisation SAML verwendet, werden von Ihrem IdP verwaltete Lernende erst auf der Registerkarte „Personen“ angezeigt, wenn sie sich zum ersten Mal mit ihren SSO-Anmeldeinformationen angemeldet haben. In Reach 360 können Sie ihre Namen nicht ändern oder ihre Passwörter ändern oder zurücksetzen. Diese Lernenden werden in ihrem Eintrag ein ID-Symbol haben.

Die erforderlichen Attribute, damit ein Lernender in Reach 360 erstellt werden kann, sind:

• firstName= Vorname
• lastName= Nachname
• email= E-Mail-Adresse
• subjectNameIdoder Unique Learner Identifier = jede eindeutige ID von Ihrem IdP

Sie können auch optionale Attribute senden:

• avatar= ersetzt das vom Lernenden definierte Profilfoto (muss als URL übergeben werden)
• groups= eine Liste von Gruppen, denen der Lernende im IdP zugewiesen ist und die Sie mit Reach 360 synchronisieren möchten.

Um einen Teilnehmer zu entfernen, müssen Sie ihn zuerst aus Ihrem IdP löschen. Sobald sie dort gelöscht wurden, können Sie ihren Datensatz auf der Registerkarte „Lernende“ entfernen.

Gruppen mit SAML verwalten

Änderungen an der Gruppenmitgliedschaft, die in Ihrem IdP vorgenommen wurden, werden erst verarbeitet, wenn sich der Lernende abmeldet und sich dann wieder bei Reach 360 anmeldet.

In Reach 360 mit aktiviertem SSO müssen die Gruppennamen mit dem IdP-Attribut übereinstimmen, sonst werden neue Gruppen erstellt. Benennen Sie die Gruppe sowohl im IdP als auch in Reach 360 um, um versehentliche Änderungen der Gruppenmitgliedschaft und Probleme bei der Registrierung von Inhalten zu vermeiden, wenn sich die Lernenden wieder bei Reach 360 anmelden.

Um eine Gruppe zu entfernen, die mit einer SSO-Anmeldung verknüpft ist, müssen Sie zunächst die Gruppenzuweisung aus dem Anspruch entfernen. groups Sobald sie nicht mehr an Lernende gesendet wird, können Sie die Gruppe auf der Registerkarte Gruppen in Reach 360 entfernen. Wenn Sie Ihre SSO-Konfiguration nicht aktualisieren, wird die Gruppe reaktiviert, wenn sich ein Lernender mit dieser Aufgabe in Ihrem IdP das nächste Mal mit SSO anmeldet.

Verwaltung von Gruppen und Teilnehmern, die mit SCIM bereitgestellt wurden

Wenn Ihre Organisation zusätzlich zu SAML auch SCIM verwendet, werden die Teilnehmer auf der Registerkarte „Personen“ angezeigt, nachdem sie zu Ihrem IdP hinzugefügt wurden, auch wenn sie sich noch nicht bei Reach 360 angemeldet haben. Wie bei SAML können Sie in Reach 360 weder ihre Namen ändern noch ihre Passwörter ändern oder zurücksetzen. Diese Lernenden werden in ihrem Eintrag ein ID-Symbol haben.

Lernende, die über SCIM bereitgestellt wurden, können nur über Ihren IdP entfernt werden, nicht in Reach 360. Lernende, die ohne Bereitstellung zu Reach 360 hinzugefügt wurden, können wie gewohnt entfernt werden.

Wenn Ihre Organisation SCIM verwendet, können Sie auch IDP-verwaltete Gruppen einrichten. Das Hinzufügen und Löschen von Mitgliedern aus diesen Gruppen muss in Ihrem IdP erfolgen, und Sie können ihnen in Reach 360 keine Teilnehmer hinzufügen, die nicht vom IDP verwaltet werden.

Die erforderlichen Attribute, damit ein Lernender in Reach 360 über SCIM erstellt werden kann, sind:

• name.givenName= Vorname
• name.familyName= Nachname
• userName= E-Mail-Adresse

Sie können auch optionale Attribute senden:

• avatar= ersetzt jedes vom Lernenden hochgeladene Profilfoto (muss als URL übergeben werden und ist als Attribut zu senden, das Teil von ist) urn:scim:schemas:extension:metadata:2.0:User schema
• externalId= jede eindeutige ID von deinem IdP

Hinweis: Das Kommunikationsintervall mit Reach 360 wird von Ihrem IdP bestimmt. Sobald Daten von unserem SCIM-Server empfangen wurden, sind sie sofort in Reach 360 verfügbar.

Glossar

Active Directory (AD)

Active Directory (AD) ist ein Microsoft-Produkt zur Verwaltung von Lernenden, Berechtigungen und Zugriffen auf Netzwerkressourcen. Viele Organisationen verwenden AD, um ihre Teams zu verwalten. Unsere SSO-Lösung ist mit AD kompatibel, da beide die SAML-Kommunikation support.

Behauptung

Bei einer Assertion handelt es sich um Daten, die von einem Identity Provider (IdP) gesendet werden, der eine oder mehrere der folgenden Anweisungen an einen Service Provider (SP) liefert.

• Authentifizierungsanweisungen geben an, dass sich ein Lernender erfolgreich authentifiziert hat, und zeichnen den Zeitpunkt auf, zu dem er dies getan hat.
• Attributaussagen enthalten Informationen über den Lernenden. Das NameID-Attribut stellt beispielsweise den Benutzernamen bereit und ist für die Authentifizierung erforderlich. Andere Attribute können ebenfalls manuell konfiguriert werden.
• Autorisierungsentscheidungserklärungen gewähren oder verweigern dem Lernenden den Zugriff auf eine Ressource.

URL des Assertion Consumer Service (acsURL)

Eine Assertion Consumer Service URL (acsURL) ist ein HTTPS-Standort oder eine HTTPS-Ressource bei einem Service Provider (SP) wie Reach 360, der SAML-Nachrichten von einem Identitätsanbieter (IdP) akzeptiert.

Entitäts-ID

Die Entitäts-ID ist eine eindeutige Zeichenfolge aus Buchstaben und Zahlen, normalerweise in Form einer URL, die den Dienstanbieter (SP) identifiziert. Die Entitäts-ID wird auch als Zielgruppen-URI bezeichnet und ist häufig dieselbe URL wie die Assertion Consumer Service URL (acsURL).

Weltweit eindeutiger Bezeichner (GUID)

Ein Globally Unique Identifier (GUID) ist eine Folge von Buchstaben, Zahlen und Bindestrichen, die eine Entität identifiziert. Im Kontext von Reach 360 SSO bezieht sich die GUID auf Ihre Reach 360-Abonnement-ID.

Identitäts- und Zugriffsmanagement (IAM)

Gartner hat eine hervorragende Definition von Identity and Access Management (IAM):

Identity and Access Management (IAM) ist die Sicherheitsdisziplin, die es den richtigen Personen ermöglicht, aus den richtigen Gründen zur richtigen Zeit auf die richtigen Ressourcen zuzugreifen.

IAM erfüllt die unternehmenskritische Notwendigkeit, einen angemessenen Zugriff auf Ressourcen in zunehmend heterogenen Technologieumgebungen sicherzustellen und die immer strengeren Compliance-Anforderungen zu erfüllen. Diese Sicherheitspraxis ist für jedes Unternehmen von entscheidender Bedeutung. Es ist zunehmend geschäftsorientiert und erfordert Geschäftskenntnisse, nicht nur technisches Fachwissen.

Unternehmen, die ausgereifte IAM-Funktionen entwickeln, können ihre Kosten für das Identitätsmanagement senken und, was noch wichtiger ist, bei der Unterstützung neuer Geschäftsinitiativen deutlich agiler werden.

Identitätsanbieter (IdP)

Ein Identitätsanbieter (IdP) ist ein Dienst, der ein Verzeichnis von Lernerkonten oder digitalen Identitäten speichert und verwaltet. Organisationen verwenden IdPs, um ihre Lernenden zu verwalten und Zugriff auf Netzwerkressourcen zu gewähren. Zu den IdP-Beispielen gehören Okta, Azure und Ping.

Im Kontext von SSO reagiert ein IdP auf Authentifizierungsanfragen von einem Dienstanbieter (SP) wie Reach 360, um Lernende bei einem Dienst wie Ihrem Reach 360-Konto anzumelden.

Just-in-Time-Bereitstellung (JIT)

Bei der Just-in-Time-Bereitstellung (JIT) werden automatisch Benutzerkonten in einer SSO-Lösung erstellt, wenn sich ein Benutzer zum ersten Mal bei seinem Identitätsanbieter (IdP) authentifiziert.

Lightweight Directory Access Protocol (LDAP)

Okta fasst das Lightweight Directory Access Protocol (LDAP) gut zusammen:

Das Lightweight Directory Access Protocol (LDAP) ist ein Internetprotokoll, das Unternehmensprogramme wie E-Mail-, CRM- und HR-Software verwenden, um den Zugriff zu authentifizieren und Informationen von einem Server zu finden.

Die Reach 360 SSO-Lösung verwendet SAML statt LDAP-Integration.

Metadaten

Metadaten sind Informationen, die von einem Identitätsanbieter (IdP) an einen Dienstanbieter (SP) oder umgekehrt im XML-Format bereitgestellt werden.

• SP-Metadaten enthalten die Assertion Consumer Service URL (acsURL), die Audience Restriction, das NameID-Format und x.509-Zertifikate (die vom IdP verwendet werden, um Signaturen vom SP zu überprüfen und bei Bedarf SAML-Anfragen vom IdP an den SP zu verschlüsseln).
• IdP-Metadaten liefern die SSO-URL, die Entitäts-ID und die x.509-Zertifikate, die der SP benötigt, um die Signatur der Assertion vom IdP zu überprüfen und, falls eine Verschlüsselung von SAML-Anfragen erforderlich ist, Nachrichten vom SP an den IdP zu verschlüsseln.

Multi-Faktor-Authentifizierung (MFA)

Bei der Multi-Faktor-Authentifizierung (MFA), auch Zwei-Faktor-Authentifizierung (2FA) genannt, müssen die Lernenden bei der Anmeldung bei einer App oder einem System eine zweite Sicherheitsebene bestehen. Eine gängige Form von MFA fordert die Lernenden auf, einen Bestätigungscode einzugeben, den sie per Text oder einer Authentifizierungs-App erhalten.

MFA wird für Reach 360 nicht unterstützt. Wir empfehlen, MFA über Ihren IdP zu aktivieren, um eine zusätzliche Sicherheitsebene zu gewährleisten.

OAuth

OAuth, oder Open Authorization, ist ein Standard, der Lernenden den Zugriff auf Apps von Drittanbietern ermöglicht, ohne ihre Passwörter preiszugeben. Die Reach 360 SSO-Lösung beinhaltet kein OAuth.

OpenAM

OpenAM ist ein Open-Source-Zugangsverwaltungssystem, das von einigen Organisationen verwendet wird, um ihren Lernenden einen SSO-Dienst anzubieten. Der Reach 360 SSO-Dienst ist mit OpenAM kompatibel, da beide die SAML-Kommunikation support.

Security Assertion Markup Language (SAML)

Security Assertion Markup Language (SAML) ist ein offener, XML-basierter Standard für den Austausch von Authentifizierungsdaten zwischen einem Identity Provider (IdP) und einem Service Provider (SP) wie Reach 360.

Unsere SSO-Lösung verwendet SAML 2.0, um Lernende in Reach 360 auf der Grundlage ihrer Unternehmensidentität zu authentifizieren, sodass Lernende keinen separaten Satz von Anmeldeinformationen für Reach 360 verwalten müssen.

Einmaliges Anmelden (SSO)

Single Sign-On (SSO) ermöglicht es den Lernenden, sich bei einem einzigen System, z. B. einem Unternehmensverzeichnis, anzumelden und dann auf mehrere Apps zuzugreifen, ohne sich bei jeder App mit separaten Anmeldeinformationen anmelden zu müssen. SSO steigert die Produktivität und ermöglicht es Unternehmen, ihre eigenen Passwortsicherheitsanforderungen durchzusetzen.

Dienstanbieter (SP)

Ein Service Provider (SP) ist ein Unternehmen, das einen Service anbietet, z. B. das Hosten von Inhalten. Ein SP kommuniziert mit einem Identitätsanbieter (IdP), um die Lernenden für den Service anzumelden. Reach 360 ist in diesem Zusammenhang der SP.

System für domänenübergreifendes Identitätsmanagement (SCIM)

SCIM ist ein offener Standard für die Automatisierung der Bereitstellung und Deprovisionierung von Lernenden. Beispielsweise könnte ein Unternehmen SCIM verwenden, um seine Lernenden automatisch zu einem Abonnement-Cloud-Dienst hinzuzufügen und ihre Unternehmensprofile mit dem Cloud-Dienst zu synchronisieren.