Einrichtung einer Single Sign-On-Integration

Single Sign-On (oder SSO) ermöglicht es Ihnen, die Mitgliedschaft Ihrer Organisation über einen Drittanbieter wie Active Directory, OKTA usw. zu verwalten.

Sobald SSO aktiviert ist, müssen alle bestehenden Nutzer ihr Konto verknüpfen, bevor sie fortfahren können.

SSO ist für Nutzer in der kostenlosen Testphase nicht verfügbar.

Verwendung von Okta für IdP-Authentifizierung bei Single Sign-On

Für diese Konfiguration benötigen Sie Ihren Single Sign-On (SSO) Administrator. Das ist in der Regel jemand aus der IT, der Microsoft-Anwendungen oder SSO verwaltet.

1. Melden Sie sich mit Ihrem Okta-Administratorkonto an und wählen Sie das Menü Applications aus.
2. Klicken Sie auf die Schaltfläche Add Application.
3. Suchen und wählen Sie Parley Pro aus.
4. Klicken Sie auf Add.
5. Geben Sie auf der Seite „General Settings“ ein Application label ein.
6. Klicken Sie auf Done.
7. Weisen Sie die Nutzer zu, die diese Anwendung verwenden dürfen.
   1. Klicken Sie auf die Schaltfläche Assign.
   2. Wählen Sie aus, ob Sie nach Einzelperson oder Gruppe zuweisen möchten.
   3. Wählen Sie Nutzer oder Gruppen aus, indem Sie rechts auf die Schaltflächen Assign klicken.
   4. Klicken Sie auf Done.
   5. Wiederholen Sie dies für jeden Nutzer oder jede Gruppe.
8. Wählen Sie den Tab Sign On aus.
9. Klicken Sie auf die Schaltfläche Edit.
10. Geben Sie Ihren Default Relay State an. Der Standard-Relay-State für die Anwendung ist der 3. Level der Domain. (Beispiel: Für die Domain acme.parleypro.com ist der Default Relay State acme.)
11. Deaktivieren Sie das Kontrollkästchen Disable Force Authentication.
12. Wählen Sie für das Application username format die Option email aus.
13. Klicken Sie auf Save.
14. Klicken Sie auf die Schaltfläche View Setup Instructions und folgen Sie diesen Anweisungen.
15. Gehen Sie zum Bereich My Applications und prüfen Sie, ob die Anwendungsschaltfläche angezeigt wird. Die Einrichtung ist abgeschlossen.

Verwendung von SAML in Azure AD für Single Sign-On

Microsoft Azure Einrichtung

1. Laden Sie die Metadatendatei herunter von:
   1. Für die USA: https://api.parleypro.com/auth/sso/saml/spMetadata.xml;
   2. Für Australien: https://api.parleypro-au.com/auth/sso/saml/spMetadata.xml;
   3. Für Europa: https://api.parleypro-eu.com/auth/sso/saml/spMetadata.xml.
2. Klicken Sie auf Upload metadata file und wählen Sie die Metadatendatei aus.
3. Geben Sie im Popup „Basic SAML Configuration“ Ihren Relay State ein (z. B. den 3. Level Domainnamen Ihrer eigenen Parley Pro Instanz, wie 'acme' von acme.parleypro.com). Klicken Sie auf Save und schließen Sie das Popup-Fenster.
4. Klicken Sie im Bereich „User Attributes & Claims“ auf Edit.
5. Ändern Sie den Bereich „Claims“.

Das Feld Namespace sollte leer sein.

Konfiguration von CLM für ADFS

1. Gehen Sie auf die Seite Administration.
2. Wählen Sie den Tab Integrations aus.
3. Klicken Sie im Bereich Single Sign-On auf ADFS.
4. Geben Sie die drei erforderlichen Daten ein:
   1. Single Sign-On URL - Geben Sie die Login URL ein.
   2. Issuer - Geben Sie die Azure AD Identifier URL ein.
   3. Metadata - Laden Sie die Federated Metadata XML vom SAML Signing Certificate herunter und fügen Sie den Inhalt der Datei in dieses Feld ein.

Testen der Integration

Nachdem Sie die erforderlichen SSO-Integrationsdaten eingegeben haben, testen Sie den Nutzerzugang.

1. Öffnen Sie die Parley Pro App in ADFS/Azure.

2. Weisen Sie Nutzer der Anwendung zu.

   HINWEIS: Der Nutzer muss im System mit mindestens der Rolle „Viewer“ vorhanden sein.

3. Klicken Sie auf Test und bestätigen Sie, dass die Authentifizierung funktioniert.

Richtige Rollen/Berechtigungen zuweisen

• Ein Nutzer mit Administratorrolle muss jedem Nutzer die korrekten Rollen/Berechtigungen zuweisen.
• Derzeit gibt es keine Möglichkeit, dies direkt in Azure zu erledigen.

Optional: SSO sperren

Sobald SSO konfiguriert und getestet ist, können Sie festlegen, dass Nutzer nur noch über die neue Login-URL auf CLM zugreifen dürfen. Um dies in Azure SSO zu sperren, identifizieren Sie die folgenden URLs und geben Sie diese an Ihren Customer Success Manager weiter, um die Sperrung zu beantragen.

• logoutURL – Diese URL wird üblicherweise für den MS Azure Logout verwendet. Sie sollte mit dem MS Support abgestimmt werden, falls sich daran etwas ändert: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0.

• authURL – Um diese Azure-URL zu erhalten, bei der sich Nutzer anmelden und weitergeleitet werden, melden Sie sich als Azure AD-Administrator unter https://myapps.microsoft.com/ an und kopieren Sie den Parley Pro App-Link.

Hinweis: Die App-URL sollte wie folgt aussehen

https://account.activedirectory.windowsazure.com/applications/signin/xxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxxxxxxx?tenantId=xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx

Verwendung von Microsoft ADFS oder AZURE für Single Sign-On

Für diese Konfiguration benötigen Sie Ihren Single Sign-On (SSO) Administrator. Das ist in der Regel jemand aus der IT, der Microsoft-Anwendungen oder SSO verwaltet.

Folgen Sie diesen Schritten, um Single Sign-On mit Microsoft ADFS oder AZURE zu konfigurieren:

Hinzufügen der Anwendung

1. Suchen Sie in Ihrer Microsoft Admin-Konsole unter „All Services“ nach Add an Application.
2. Wählen Sie Non-Gallery Application aus.
3. Geben Sie Parley Pro im Namensfeld ein.

4. Klicken Sie auf Add.

5. Klicken Sie in der gerade erstellten App auf Overview.
6. Wählen Sie Set Up Single Sign On aus.

7. Wählen Sie SAML aus.

   ---

Hochladen der Metadatendatei

1. Laden Sie die passende METADATA.xml-Datei für Ihre Region herunter, um die App zu konfigurieren:

• USA METADATA URL: https://api.parleypro.com/auth/sso/saml/spMetadata.xml;
• EUROPA METADATA URL: https://api.parleypro-eu.com/auth/sso/saml/spMetadata.xml;
• AUSTRALIEN METADATA URL: https://api.parleypro-au.com/auth/sso/saml/spMetadata.xml.

2. Wählen Sie oben die Option Upload Metadata File aus

3. Klicken Sie auf Add, um die zuvor heruntergeladene regionale Metadatendatei hochzuladen.

3. Bearbeiten Sie den Relay State. Geben Sie den 3. Level Domainnamen Ihrer Instanz ein. Zum Beispiel: Für eine Anwendungsdomain wie acme.parleypro.com wäre der Relay State acme. Geben Sie NICHT die vollständige URL ein.

4. Klicken Sie auf Save single sign-on configuration.

5. Wenn Sie zum Testen aufgefordert werden, wählen Sie No, I’ll test later. Es sind noch ein paar weitere Schritte erforderlich, bevor Sie testen sollten.

Bearbeiten von Benutzerattributen und Claims

1. Klicken Sie im Bereich „User Attributes and Claims“ auf Edit.

2. Ändern Sie alle Claims entsprechend dieser Tabelle:

3. Löschen Sie alle anderen Claims, die nicht oben aufgeführt sind. 

Konfiguration für ADFS

1. Gehen Sie zur Seite Administration.

2. Wählen Sie den Tab Integrationen.
3. Klicken Sie im Bereich Single Sign On auf ADFS.
4. Geben Sie die drei erforderlichen Daten ein:
   1. Single Sign-On URL – Geben Sie die Microsoft Login-URL ein.
   2. Issuer – Geben Sie die Azure AD Identifier-URL ein.

   3. Metadaten – Laden Sie die Federated Metadata XML vom SAML-Signaturzertifikat herunter und fügen Sie den Inhalt der Datei in dieses Feld ein.

      ---

Integration testen

Nachdem Sie die erforderlichen SSO-Integrationsdaten eingegeben haben, testen Sie den Benutzerzugang.

1. Öffnen Sie die SSO-App in ADFS/Azure.

2. Weisen Sie Benutzer der Anwendung zu.

   HINWEIS: Der Benutzer muss in CLM mit mindestens der Rolle „Viewer“ vorhanden sein.

3. Rufen Sie die Login-URL auf und prüfen Sie, ob ADFS/Azure die Anmeldung authentifiziert.

Richtige Rollen/Berechtigungen zuweisen

• Ein Benutzer mit Administratorrolle muss jedem Benutzer die korrekten Rollen/Berechtigungen zuweisen.
• Derzeit ist dies nicht direkt in Azure möglich.

Optional: SSO-Zugang einschränken

Sobald SSO konfiguriert und getestet ist, können Sie festlegen, dass Benutzer nur noch über die neue Login-URL darauf zugreifen dürfen. Um die benutzerdefinierte URL (z. B. acme.parleypro.com) zu deaktivieren, geben Sie Ihrem Customer Success Manager die Login- und Logout-URLs und bitten Sie um die Sperrung.

Zertifikat für Single Sign-on-Integration aktualisieren

Bevor Ihr aktuelles Zertifikat abläuft, führen Sie die folgenden Schritte aus, um ein neues Single Sign-on-Zertifikat zu generieren und die CounselLink® CLM-Integration so zu konfigurieren, dass sie dieses für die Benutzerauthentifizierung erkennt.

Voraussetzungen

Stimmen Sie sich mit dem technischen Team ab, das das Single Sign-on für Ihr Firmennetzwerk verwaltet, damit es Ihnen das neue Zertifikat bereitstellt. Bitten Sie das Team, Folgendes zu tun:

1. Das neue SAML-Signaturzertifikat nach den Standardprotokollen generieren und aktivieren.
2. Die Federated Metadata XML-Datei herunterladen und Ihnen zusenden.

CLM-Integration aktualisieren

Sie müssen CLM-Administrator sein, um diese Schritte auszuführen.

Sobald Sie die Federated Metadata XML-Datei haben, melden Sie sich bei CounselLink CLM an, um das Zertifikat zu aktualisieren.

1. Klicken Sie auf die Option Unternehmensprofil unter Ihrem Benutzernamen.

2. Klicken Sie im Bereich CLM-Administration des QuickLinks-Panels auf Integrationen.

   

3. Scrollen Sie zum Abschnitt Single Sign-on-Integrationen und wählen Sie den konfigurierten Integrationstyp (z. B. ADFS) aus. 

   

4. Erstellen Sie eine Sicherung des aktuellen Inhalts im Metadaten-Feld.
   1. Klicken Sie in das Feld Metadaten.
   2. Drücken Sie Strg+A, um den gesamten Inhalt zu markieren.
   3. Drücken Sie Strg+C, um den Inhalt zu kopieren.
   4. Öffnen Sie einen Texteditor (z. B. Notepad) und drücken Sie Strg+P, um den kopierten Inhalt einzufügen.
   5. Speichern Sie die Textdatei.

5. Löschen Sie in CLM den markierten Inhalt im Metadaten-Feld.

   Klicken Sie nicht auf die Schaltfläche „Konfiguration löschen“, da dadurch auch die Single Sign-On-URL und die Issuer-Information entfernt werden.

6. Öffnen Sie die neue Federated Metadata XML-Datei, die Sie vom technischen Team erhalten haben, und kopieren Sie den Inhalt in das leere Metadaten-Feld in CLM.
7. Klicken Sie auf Speichern.

Konfiguration testen

Bitten Sie Ihr technisches Team, zur Zertifikatskonfigurationsseite zu gehen und auf die Schaltfläche Testen zu klicken, um zu bestätigen, dass Single Sign-on ordnungsgemäß funktioniert.

Falls die Verbindung fehlschlägt, müssen Sie möglicherweise auf das vorherige Zertifikat zurücksetzen. So können Benutzer weiterhin auf CLM zugreifen, während das technische Team das neue Zertifikat überprüft. Um zurückzusetzen:

1. Löschen Sie in CLM den Inhalt im Metadaten-Feld.
2. Kopieren Sie die alte XML-Information aus der Sicherungsdatei und fügen Sie sie in das Metadaten-Feld ein.
3. Speichern Sie die Änderung.
4. Bitten Sie das technische Team, das neue Zertifikat zu deaktivieren und das alte vorübergehend zu aktivieren. Testen Sie anschließend die Verbindung, um sicherzustellen, dass sie funktioniert.