Zum Hauptinhalt springen
Zenovay
Scale Plan30 minutesExperte

SAML 2.0 SSO-Konfiguration

Richten Sie SAML Single Sign-On für Zenovay ein – Integration mit Okta, Microsoft Entra ID, OneLogin, Google Workspace und anderen Identity Providern.

samlssoauthenticationoktaentra-id
Zuletzt aktualisiert:
Scale Plan

Konfigurieren Sie SAML 2.0 Single Sign-On, damit Ihr Team mit dem Identity Provider Ihrer Organisation auf Zenovay zugreifen kann.

Unterstützte Identity Provider

AnbieterStatus
OktaVollständig unterstützt
Microsoft Entra ID (Azure AD)Vollständig unterstützt
OneLoginVollständig unterstützt
Google WorkspaceVollständig unterstützt
Ping IdentityVollständig unterstützt
ADFSVollständig unterstützt
Benutzerdefiniertes SAML 2.0Unterstützt

Voraussetzungen

Bevor Sie beginnen:

  • Scale- oder Enterprise-Plan aktiviert
  • Administratorzugriff auf Ihren Identity Provider
  • Inhaber- oder Administratorzugriff auf Zenovay
  • E-Mail-Domain Ihrer Organisation verifiziert

Zenovay SAML-Informationen

Service-Provider-Details

Sie benötigen diese Werte bei der Konfiguration der SAML-Anwendung in Ihrem Identity Provider. Jeder Arbeitsbereich erhält seine eigene Entity ID, die genauen Werte werden in Zenovay unter Einstellungen → Sicherheit → SSO im Abschnitt Service Provider Details angezeigt. Das Format ist:

EinstellungWert
SP Entity ID / Audience URIhttps://auth.zenovay.com/sso/{teamId}
ACS URL (Assertion Consumer Service)https://auth.zenovay.com/api/sso/saml/callback
Metadaten-URLhttps://auth.zenovay.com/api/sso/metadata/{teamId}
NameID-Formaturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
BindingHTTP-POST

Kopieren Sie die SP Entity ID und die ACS URL direkt aus dem Abschnitt Service Provider Details in Zenovay, anstatt diese manuell einzugeben. Die Entity ID ist eindeutig für Ihren Arbeitsbereich (sie endet mit Ihrer Team-ID), und die ACS URL muss den vollständigen Pfad enthalten.

Die meisten Identity Provider können auch die Metadaten-URL oben importieren, um die Entity ID und ACS URL automatisch auszufüllen.

Ihre Werte abrufen

  1. Gehen Sie zu Einstellungen → Sicherheit → SSO
  2. Im Abschnitt Service Provider Details werden Ihre Entity ID, ACS URL und OAuth/OIDC-Umleitungs-URI aufgelistet. Verwenden Sie die Schaltfläche zum Kopieren neben jedem Wert.
  3. Klicken Sie auf Anbieter hinzufügen und wählen Sie SAML, um Ihren IdP zu konfigurieren.
Zenovay-Einstellungen → SSO-Seite mit Single-Sign-On-Konfiguration, Service Provider Details und einer Schaltfläche zum Hinzufügen von Anbietern
Der Bildschirm „Einstellungen → Sicherheit → SSO”, auf dem Sie die Service Provider Details kopieren und Ihren SAML-Identity Provider hinzufügen.

Okta-Konfiguration

Schritt 1: Okta-Anwendung erstellen

  1. Melden Sie sich in der Okta Admin Console an
  2. Gehen Sie zu ApplicationsApplications
  3. Klicken Sie auf Create App Integration
  4. Wählen Sie SAML 2.0
  5. Klicken Sie auf Next

Schritt 2: SAML-Einstellungen konfigurieren

Allgemeine Einstellungen:

  • App-Name: Zenovay
  • App-Logo: Zenovay-Logo hochladen (optional)

SAML-Einstellungen (kopieren Sie die genaue Single Sign-On URL und Audience URI aus Einstellungen → Sicherheit → SSO in Zenovay):

Okta-FeldWert
Single sign-on URLhttps://auth.zenovay.com/api/sso/saml/callback
Audience URI (SP Entity ID)https://auth.zenovay.com/sso/{teamId}
Name ID formatEmailAddress
Application usernameEmail

Schritt 3: Attribut-Zuordnungen

Fügen Sie diese Attribut-Zuordnungen hinzu:

NameWert
emailuser.email
firstNameuser.firstName
lastNameuser.lastName

Schritt 4: IdP-Werte abrufen

  1. Gehen Sie zum Tab Sign On
  2. Klicken Sie auf View SAML setup instructions oder Identity Provider metadata
  3. Notieren Sie Folgendes:
    • IdP Entity ID (Issuer)
    • IdP SSO URL (Login URL)
  4. Laden Sie das X.509-Zertifikat herunter

Schritt 5: In Zenovay abschließen

  1. Gehen Sie zu Einstellungen → Sicherheit → SSO
  2. Klicken Sie auf Anbieter hinzufügen und wählen Sie SAML
  3. Geben Sie ein:
    • Name: z. B. „Okta"
    • Entity ID: die IdP Entity ID aus Schritt 4
    • SSO URL: die IdP SSO URL aus Schritt 4
    • Zertifikat: fügen Sie das vollständige X.509-Zertifikat ein
  4. Klicken Sie auf Erstellen
  5. Fügen Sie Ihre E-Mail-Domain hinzu und verifizieren Sie diese
  6. Verwenden Sie die Aktion Verbindung testen des Anbieters, um sicherzustellen, dass es funktioniert

Microsoft Entra ID-Konfiguration

Schritt 1: Enterprise-Anwendung erstellen

  1. Melden Sie sich im Microsoft Entra Admin Center an
  2. Gehen Sie zu IdentityApplicationsEnterprise applications
  3. Klicken Sie auf New application
  4. Klicken Sie auf Create your own application
  5. Name: Zenovay
  6. Wählen Sie Integrate any other application you don't find in the gallery

Schritt 2: Single Sign-On einrichten

  1. Klicken Sie in der Seitenleiste auf Single sign-on
  2. Wählen Sie SAML
  3. Bearbeiten Sie die Basic SAML Configuration (kopieren Sie die genauen Werte aus Einstellungen → Sicherheit → SSO in Zenovay):
Entra ID-FeldWert
Identifier (Entity ID)https://auth.zenovay.com/sso/{teamId}
Reply URL (ACS URL)https://auth.zenovay.com/api/sso/saml/callback

Schritt 3: Attribute konfigurieren

Bearbeiten Sie Attributes & Claims:

Claim-NameQuellattribut
emailaddressuser.mail
givennameuser.givenname
surnameuser.surname

Stellen Sie sicher, dass das NameID-Claim-Format auf Email address gesetzt ist.

Schritt 4: Zertifikat herunterladen und IdP-Werte abrufen

  1. Scrollen Sie zu SAML Signing Certificate und laden Sie Certificate (Base64) herunter
  2. Kopieren Sie im Abschnitt Set up Zenovay:
    • Microsoft Entra Identifier — dies ist Ihre IdP Entity ID
    • Login URL — dies ist Ihre SSO URL

Schritt 5: Benutzer zuweisen

  1. Gehen Sie zu Users and groups
  2. Fügen Sie Benutzer oder Gruppen hinzu
  3. Speichern Sie die Zuweisungen

Schritt 6: In Zenovay abschließen

  1. Gehen Sie zu Einstellungen → Sicherheit → SSO
  2. Klicken Sie auf Anbieter hinzufügen und wählen Sie SAML
  3. Geben Sie ein:
    • Name: z. B. „Microsoft Entra ID"
    • Entity ID: der Microsoft Entra Identifier aus Schritt 4
    • SSO URL: die Login URL aus Schritt 4
    • Zertifikat: fügen Sie den Inhalt des heruntergeladenen Base64-Zertifikats ein
  4. Klicken Sie auf Erstellen
  5. Fügen Sie Ihre E-Mail-Domain hinzu und verifizieren Sie diese
  6. Verwenden Sie die Aktion Verbindung testen, um sicherzustellen, dass es funktioniert

Google Workspace-Konfiguration

Schritt 1: Benutzerdefinierte SAML-App hinzufügen

  1. Gehen Sie zur Google Admin Console
  2. Gehen Sie zu AppsWeb and mobile apps
  3. Klicken Sie auf Add AppAdd custom SAML app

Schritt 2: Details eingeben

App-Details:

  • App-Name: Zenovay
  • Beschreibung: Analyseplattform
  • App-Symbol: Hochladen (optional)

Schritt 3: IdP-Metadaten herunterladen

  1. Kopieren oder laden Sie die SSO URL und Entity ID herunter
  2. Laden Sie das Zertifikat herunter
  3. Klicken Sie auf Continue

Schritt 4: Service-Provider-Details

Kopieren Sie die genaue ACS URL und Entity ID aus Einstellungen → Sicherheit → SSO in Zenovay:

Google Admin-FeldWert
ACS URLhttps://auth.zenovay.com/api/sso/saml/callback
Entity IDhttps://auth.zenovay.com/sso/{teamId}
Name ID formatEMAIL
Name IDBasic Information > Primary email

Schritt 5: Attribut-Zuordnung

Google DirectoryApp-Attribut
Primary emailemail
First namefirstName
Last namelastName

Schritt 6: Für Benutzer aktivieren

  1. Klicken Sie auf die App
  2. Gehen Sie zum Abschnitt User access
  3. Schalten Sie die App für Ihre Organisation oder bestimmte Organisationseinheiten EIN

Änderungen können bis zu 24 Stunden benötigen, um in Google Workspace wirksam zu werden.

Schritt 7: In Zenovay abschließen

  1. Gehen Sie zu Einstellungen → Sicherheit → SSO
  2. Klicken Sie auf Anbieter hinzufügen und wählen Sie SAML
  3. Geben Sie die IdP Entity ID, SSO URL und das Zertifikat aus Schritt 3 ein
  4. Klicken Sie auf Erstellen
  5. Fügen Sie Ihre E-Mail-Domain hinzu und verifizieren Sie diese
  6. Verwenden Sie die Aktion Verbindung testen, um sicherzustellen, dass es funktioniert

OneLogin-Konfiguration

Schritt 1: Anwendung hinzufügen

  1. Gehen Sie zum OneLogin Admin
  2. Gehen Sie zu ApplicationsAdd App
  3. Suchen Sie nach SAML Custom Connector (Advanced)
  4. Hinzufügen

Schritt 2: Konfiguration-Tab

Kopieren Sie die genauen Audience- und Recipient/ACS-Werte aus Einstellungen → Sicherheit → SSO in Zenovay:

OneLogin-FeldWert
Audience (EntityID)https://auth.zenovay.com/sso/{teamId}
Recipienthttps://auth.zenovay.com/api/sso/saml/callback
ACS (Consumer) URLhttps://auth.zenovay.com/api/sso/saml/callback

Schritt 3: Parameter

Parameter hinzufügen:

FeldWert
emailEmail
firstNameFirst Name
lastNameLast Name

Schritt 4: SSO-Tab

Notieren Sie die folgenden Werte:

  • SAML 2.0 Endpoint (HTTP)
  • Issuer URL
  • Laden Sie das X.509-Zertifikat herunter

Schritt 5: In Zenovay abschließen

  1. Gehen Sie zu Einstellungen → Sicherheit → SSO
  2. Klicken Sie auf Anbieter hinzufügen und wählen Sie SAML
  3. Geben Sie die IdP-Werte aus Schritt 4 ein
  4. Klicken Sie auf Erstellen
  5. Fügen Sie Ihre E-Mail-Domain hinzu und verifizieren Sie diese

Einrichtung in Zenovay abschließen

SSO-Anbieter hinzufügen

  1. Gehen Sie zu Einstellungen → Sicherheit → SSO
  2. Klicken Sie auf Anbieter hinzufügen
  3. Wählen Sie SAML
  4. Geben Sie die folgenden Werte von Ihrem Identity Provider ein:
FeldBeschreibung
NameEin aussagekräftiger Name für diesen Anbieter (z. B. „Corporate Okta")
Entity IDDie IdP Entity ID / Issuer von Ihrem Identity Provider
SSO URLDie IdP Login URL / SSO Endpoint
SLO URLDie IdP Single Logout URL (optional)
ZertifikatDas X.509-Signierzertifikat (vollständiges PEM einschließlich BEGIN/END-Zeilen einfügen)
  1. Klicken Sie auf Erstellen

Domain verifizieren

Nach dem Speichern fügen Sie Ihre E-Mail-Domain hinzu und verifizieren Sie diese:

  1. Geben Sie Ihre E-Mail-Domain (z. B. company.com) im Abschnitt Domain Verification ein
  2. Klicken Sie auf Verify domain
  3. Fügen Sie den angezeigten TXT-Datensatz zu den DNS-Einstellungen Ihrer Domain hinzu und klicken Sie dann auf Check DNS
  4. Nach der Verifizierung werden Benutzer mit dieser Domain beim Anmelden zu SSO weitergeleitet

Verbindung testen

  1. Öffnen Sie das Menü More des Anbieters und wählen Sie Test connection, oder testen Sie den Login-Flow direkt:
  2. Öffnen Sie ein Inkognito-/privates Browserfenster
  3. Gehen Sie zu auth.zenovay.com
  4. Geben Sie eine E-Mail-Adresse Ihrer verifizierten Domain ein
  5. Authentifizieren Sie sich bei Ihrem IdP
  6. Überprüfen Sie die erfolgreiche Weiterleitung zum Zenovay-Dashboard

SSO erzwingen

Nach erfolgreichem Test können Sie SSO erzwingen, sodass sich Benutzer nicht mehr mit einem Passwort anmelden können:

  1. Stellen Sie sicher, dass der Anbieter aktiviert ist (der Umschalter daneben)
  2. Öffnen Sie das Menü More des Anbieters und wählen Sie Enforce SSO
  3. Bestätigen Sie im Dialog

Bevor Sie SSO erzwingen, stellen Sie sicher, dass sich mindestens ein Owner-Konto weiterhin per E-Mail/Passwort anmelden kann — als Backup bei einem IdP-Ausfall.

Benutzerbereitstellung

Just-In-Time (JIT) Bereitstellung

Neue Benutzer werden automatisch beim ersten SSO-Login erstellt:

  • Das Konto wird aus der E-Mail und dem Namen in der SAML-Assertion erstellt
  • Keine Einladungs-E-Mail erforderlich

JIT-bereitgestellte Benutzer werden nicht automatisch zu Ihrem Arbeitsbereich mit einer bestimmten Rolle hinzugefügt. Nach ihrer ersten Anmeldung kann ein Owner oder Admin sie immer noch zum Team hinzufügen und eine Rolle aus Einstellungen → Workspace → Members zuweisen.

Fehlerbehebung

Häufige Probleme

ProblemLösung
„Signature verification failed"Laden Sie das IdP-Zertifikat erneut herunter und aktualisieren Sie es in Zenovay
„Digest mismatch"Stellen Sie sicher, dass das richtige Signierzertifikat konfiguriert ist
„SSO is not configured for your domain"Fügen Sie die E-Mail-Domain des Benutzers hinzu und verifizieren Sie diese in den SSO-Einstellungen
„ACS URL mismatch"Stellen Sie sicher, dass die ACS URL exakt https://auth.zenovay.com/api/sso/saml/callback lautet
„Entity ID mismatch"Stellen Sie sicher, dass die Audience/Entity ID dem in Einstellungen → Sicherheit → SSO angezeigten Wert entspricht (endet mit Ihrer Team-ID)
„NameID not found"Setzen Sie das NameID-Format in Ihrem IdP auf EmailAddress

Zertifikatsablauf

IdP-Zertifikate laufen ab — planen Sie voraus:

  1. Überwachen Sie die Ablaufdaten in Ihrem IdP
  2. Laden Sie das neue Zertifikat vor dem Ablauf herunter
  3. Bearbeiten Sie den SSO-Anbieter in Zenovay und ersetzen Sie das Zertifikat
  4. Testen Sie die Verbindung mit dem neuen Zertifikat

Bewährte Sicherheitspraktiken

Zertifikatsverwaltung

  • Ablaufdaten überwachen
  • SHA-256-Signierung verwenden
  • Zertifikate vor Ablauf aktualisieren

Attribut-Sicherheit

  • Nur benötigte Attribute anfordern
  • Attribut-Zuordnungen überprüfen
  • Änderungen überwachen

Zugriffskontrolle

  • Bestimmte Benutzer/Gruppen in Ihrem IdP zuweisen
  • Zugriff regelmäßig überprüfen
  • Richtlinien für bedingten Zugriff verwenden

Nächste Schritte

Zugehörige Artikel

  1. OAuth/OIDC SSO-Einrichtung

    Konfigurieren Sie OAuth 2.0 oder OpenID Connect SSO für Zenovay – moderne Authentifizierung für Cloud-Identitätsanbieter. Lernen Sie mehr über OAuth in diesem Enterprise-SSO-Leitfaden.

  2. SSO für Ihr Team verpflichtend machen

    Wie das Erzwingen von SSO in Zenovay funktioniert: Wer sich über Ihren Identity Provider anmelden muss, warum Inhaber und Administratoren ein Passwort als Backup behalten und was mit Mitgliedern mit einer persönlichen E-Mail-Adresse passiert.

  3. Überblick über Enterprise-Funktionen

    Überblick über die Enterprise-Funktionen von Zenovay – SSO, White-Label, erweiterte Sicherheit und dedizierter Support. Erfahren Sie mehr über Enterprise in diesem Leitfaden.

War dieser Artikel hilfreich?