Sobald Ihre SSO-Verbindung eingerichtet und getestet ist, können Sie SSO verpflichtend machen, sodass sich Ihr Team über Ihren Identity Provider (IdP) anmeldet statt mit einem Zenovay-Passwort. Dieser Leitfaden erklärt genau, für wen das Erzwingen gilt, warum Inhaber und Administratoren immer ein Passwort als Backup behalten und wie sich Mitglieder mit einer persönlichen E-Mail-Adresse anmelden.
Information
Das Erzwingen von SSO ist der letzte Schritt, nicht der erste. Konfigurieren und überprüfen Sie zuerst Ihren Anbieter mit SAML-Konfiguration oder OAuth / OIDC-Setup, bestätigen Sie, dass eine Test-Anmeldung funktioniert, und schalten Sie erst dann das Erzwingen ein.
Wie das SSO-Routing funktioniert (die zentrale Idee)
Zenovay entscheidet anhand der Domain der E-Mail-Adresse, die jemand bei der Anmeldung eingibt, ob diese Person an Ihren IdP weitergeleitet wird – abgeglichen mit den Domains, die Sie für Ihren SSO-Anbieter verifiziert haben.
- Wenn die Domain der E-Mail mit Ihrer verifizierten Domain übereinstimmt (zum Beispiel
@acme.com), leitet Zenovay diese Person an Ihren IdP weiter. - Wenn sie nicht übereinstimmt (zum Beispiel eine persönliche
@gmail.com-Adresse), kann Zenovay sie nicht an Ihren IdP weiterleiten, da Ihr IdP diese Domain nicht verwaltet.
Diese eine Regel erklärt jeden der folgenden Fälle.
Was „SSO erzwingen" ändert
| Erzwingen AUS | Erzwingen EIN | |
|---|---|---|
| Mitglied mit einer E-Mail einer verifizierten Domain | Kann Passwort oder SSO wählen | Muss sich über Ihren IdP anmelden |
| Inhaber oder Administrator mit einer E-Mail einer verifizierten Domain | Kann Passwort oder SSO wählen | Behält den Passwortzugang (Break-Glass) und kann weiterhin SSO verwenden |
| Jeder (jede E-Mail) | Schaltfläche „Continue with SSO" immer verfügbar | Schaltfläche „Continue with SSO" immer verfügbar |
Bei eingeschaltetem Erzwingen wird ein reguläres Mitglied, das eine E-Mail einer verifizierten Domain eingibt, direkt an Ihren IdP weitergeleitet und kann nicht mehr auf ein Zenovay-Passwort zurückgreifen.
Inhaber und Administratoren behalten ein Passwort (Break-Glass)
Inhaber und Administratoren des Arbeitsbereichs sind absichtlich vom Erzwingen ausgenommen und können sich immer mit ihrem Passwort anmelden.
Information
Dies ist ein Sicherheitsmechanismus, kein Versehen. Falls Ihr IdP jemals einen Ausfall oder eine Fehlkonfiguration hat (ein abgelaufenes Zertifikat, ein geänderter Endpunkt), würde ein striktes Erzwingen sonst alle aussperren – einschließlich genau der Personen, die sich anmelden müssen, um die SSO-Einstellungen zu reparieren. Den Inhabern und Administratoren einen Passwortweg zu erhalten, garantiert, dass Sie immer wieder hineinkommen.
Inhaber und Administratoren können sich jederzeit über SSO anmelden, indem sie die Option Continue with SSO auf dem Anmeldebildschirm verwenden. Das Erzwingen zwingt sie nur nicht dazu.
Warnung
Der Kompromiss ist verständlich: Da sich ein Inhaber oder Administrator mit einem Passwort anmelden kann, ist dieses Passwort ein Weg in den Arbeitsbereich, der nicht über Ihren IdP läuft. Schützen Sie Inhaber- und Administratorkonten mit starken, einzigartigen Passwörtern und Multi-Faktor-Authentifizierung und halten Sie die Anzahl der Administratoren klein.
Mitglieder mit einer persönlichen E-Mail-Adresse
Ein Teammitglied, das mit einer Adresse hinzugefügt wurde, die nicht zu Ihrer verifizierten Domain gehört – zum Beispiel ein externer Mitarbeiter mit einer persönlichen @gmail.com –, kann SSO nicht verwenden, da diese E-Mail nicht zu Ihrem Identity Provider gehört. Diese Person meldet sich wie gewohnt mit ihrem Zenovay-Passwort an.
Das ist erwartetes Verhalten, keine zu umgehende Lücke. SSO ist an die Domains gebunden, die Sie verifizieren, sodass jeder außerhalb dieser Domains schlicht kein SSO-Benutzer ist. Wenn Sie möchten, dass sich alle über Ihren IdP authentifizieren, stellen Sie sicher, dass jedes Mitglied mit einer E-Mail auf einer für SSO verifizierten Domain eingeladen wird.
Jeder kann SSO weiterhin manuell wählen
Die Schaltfläche Continue with SSO auf dem Anmeldebildschirm von auth.zenovay.com ist immer verfügbar. Ein Benutzer kann sie auswählen, seine Unternehmensdomain eingeben und sich über Ihren IdP authentifizieren – unabhängig vom Erzwingen. Das Erzwingen steuert lediglich, ob ein Mitglied mit einer verifizierten Domain verpflichtet ist, SSO zu verwenden, wenn es seine E-Mail eingibt.
Erzwingen einschalten
Verifizieren Sie zuerst Ihre Domain
Fügen Sie unter Einstellungen → Sicherheit → SSO im Abschnitt Domain Verification die E-Mail-Domain hinzu und verifizieren Sie diese (Sie fügen einen TXT-Datensatz zu Ihrem DNS hinzu und klicken auf Check DNS). Das Erzwingen hat keine Wirkung, solange nicht mindestens eine Domain verifiziert ist.
Bestätigen Sie, dass eine Test-Anmeldung funktioniert
Verwenden Sie die Option Test connection des Anbieters oder melden Sie sich aus einem Inkognito-Fenster mit einer E-Mail einer verifizierten Domain an und bestätigen Sie, dass Sie wieder im Dashboard landen. Erzwingen Sie niemals eine SSO-Verbindung, die Sie nicht erfolgreich getestet haben.
Erzwingen aktivieren
Stellen Sie sicher, dass der Anbieter aktiviert ist, öffnen Sie dann das Menü More des Anbieters, wählen Sie Enforce SSO und bestätigen Sie im Dialog.
Bevor Sie das Erzwingen einschalten, stellen Sie sicher, dass sich mindestens ein Inhaber als Backup mit E-Mail und Passwort anmelden kann, sodass ein Ausfall des Identity Providers niemals Ihren gesamten Arbeitsbereich aussperren kann.
Erzwingen ausschalten
Falls sich Mitglieder wieder mit einem Passwort anmelden sollen (zum Beispiel während Sie Ihren IdP neu konfigurieren), öffnen Sie das Menü More des Anbieters unter Einstellungen → Sicherheit → SSO und schalten Sie Enforce SSO wieder aus. Mitglieder mit einer verifizierten Domain können sich dann wieder mit einem Passwort anmelden. Die SSO-Verbindung selbst bleibt bestehen, sodass Sie das Erzwingen jederzeit wieder aktivieren können.
Neue Benutzer und SSO
Wenn SSO erzwungen wird und sich eine neue Person aus Ihrer verifizierten Domain zum ersten Mal anmeldet, wird ihr Konto automatisch erstellt (Just-In-Time-Bereitstellung). Sie wird nicht automatisch mit einer Rolle zu Ihrem Arbeitsbereich hinzugefügt, sodass ein Inhaber oder Administrator sie weiterhin zum Team hinzufügt und eine Rolle aus Einstellungen → Workspace → Members zuweist. Weitere Informationen finden Sie unter SAML-Konfiguration.
Fehlerbehebung
Ein Mitglied wird nach einem Passwort gefragt, statt zu SSO weitergeleitet zu werden
- Bestätigen Sie, dass seine E-Mail-Domain unter Einstellungen → Sicherheit → SSO verifiziert ist (eine nicht verifizierte Domain wird niemals zu SSO weitergeleitet).
- Bestätigen Sie, dass es seine Unternehmens-E-Mail verwendet, nicht eine persönliche Adresse.
- Denken Sie daran, dass Inhaber und Administratoren absichtlich ausgenommen sind und den Passwortbildschirm beabsichtigt sehen. Sie können Continue with SSO verwenden, um sich über den IdP anzumelden.
Ein Administrator möchte ebenfalls über SSO erzwungen werden
Das Erzwingen nimmt Inhaber und Administratoren bewusst als Break-Glass aus. Falls ein Konto dem Erzwingen unterliegen soll, geben Sie ihm die Rolle Mitglied statt Administrator oder melden Sie sich manuell über Continue with SSO an.
Alle sind nach einer IdP-Änderung ausgesperrt
Ein Inhaber kann sich weiterhin mit E-Mail und Passwort anmelden (der Break-Glass-Weg). Melden Sie sich als Inhaber an, gehen Sie zu Einstellungen → Sicherheit → SSO, reparieren oder deaktivieren Sie das Erzwingen vorübergehend und aktualisieren Sie die Anbieterkonfiguration. Testen Sie anschließend erneut und aktivieren Sie das Erzwingen wieder.