Hinweis: Für die Einrichtung benötigst du Adminrechte in nuwacom und Zugriff auf deinen Identity Provider.
Single Sign-On aktivieren
Aktiviere zunächst SSO und gib an, für welche E-Mail-Domains die Anmeldung über deinen Identity Provider gelten soll.- Öffne die Workspace-Einstellungen.
- Gehe zu SSO & Nutzersync.
- Aktiviere den Schalter SSO aktivieren.
- Gib unter Email-Domains die Domain ein, für die SSO gelten soll.
- Wähle dann den passenden Anbietertyp, um deinen Identity Provider über OpenID Connect (OIDC) oder SAML 2.0 mit nuwacom zu verbinden.
OpenID Connect (OIDC)
Wenn du OpenID Connect (OIDC) auswählst, gib die Verbindungsdaten deines Identity Provider ein. Gib folgende Werte ein:| Feld | Beschreibung |
|---|---|
| Discovery URL | Die Discovery-URL deines Identity Providers. |
| Client ID | Die Client-ID der Anwendung von deinem Identity Provider. |
| Client Secret | Das Client-Geheimnis der Anwendung von deinem Identity Provider. |
SAML 2.0
Wenn du SAML 2.0 auswählst, gib die Metadaten deines Identity Providers ein. Du kannst die Metadaten auf zwei Arten eingeben:| Option | Beschreibung |
|---|---|
| URL | Gib die Metadaten-URL deines Identity Providers ein. |
| XML | Füge die Metadaten-XML direkt in das Textfeld ein. |
| Wert | Beschreibung |
|---|---|
| ACS URL | Die URL, an die dein Identity Provider die SAML-Antwort sendet. |
| SP Entity ID | Die eindeutige Kennung von nuwacom als Dienstanbieter. |
Erweiterte Einstellungen
Hier legst du fest, wie externe Attribute von deinem Identity Provider auf Benutzerattribute in nuwacom abgebildet werden. Öffne den Bereich und prüfe die Attributzuordnung. Standardmäßig sind zum Beispiel folgende Zuordnungen gesetzt:| Claim vom IdP | Benutzerattribut |
|---|---|
| given_name | firstName |
| family_name | lastName |
| Sync-Modus | Beschreibung |
|---|---|
| Force | Attribute werden bei jedem Login überschrieben. |
| Import | Attribute werden nur beim ersten Login importiert. |
| Legacy | Bestehender Synchronisationsmodus für ältere Konfigurationen. |
SCIM-Nutzersync aktivieren
Mit SCIM synchronisierst du Benutzer automatisch von deinem Identity Providerr zu nuwacom.- Aktiviere den Schalter SCIM-Nutzersync aktivieren.
- Kopiere die angezeigte SCIM-Endpunkt-URL und trage sie in deinem Identity Provider ein.
- Klicke auf Token generiern, um ein Bearer-Token zu erstellen.
- Kopiere das Bearer-Token und trage es in deinen Identiy Provider für die SCIM-Verbindung ein.
Wichtig: Behandle das Bearer-Token wie ein Passwort. Teile es nicht öffentlich und speichere es nur an sicheren Orten.
Rollenzuordnung
Hier legst du fest, welche IdP-Rollen oder IdP-Gruppen welchen Workspace-Rollen in nuwacom entsprechen.- Klicke im Bereich Rollenzuordnung auf Regel hinzufügen.
- Gebe den Namen der Rolle oder Gruppe von eurem Identity Provider ein.
| Rolle | Beschreibung |
|---|---|
| Administrator | Hat vollen Zugriff auf den Workspace und die Einstellungen. |
| Editor | Kann Inhalte erstellen und bearbeiten. |
| Reader | Kann geteilte Inhalte lesen. |
Hinweis: Die erste passende Regel wird angewendet. Benutzer ohne passende Regel erhalten keinen Zugriff auf den Workspace, wenn keine Fallback-Regel definiert ist.
Benutzergruppen synchronisieren
Wenn du SCIM-Gruppen auch als Benutzergruppen in nuwacom verwenden möchten, aktiviere SCIM-Gruppen als Benutzergruppen synchronisieren. nuwacom erstellt und aktualisiert dann automatisch Benutzergruppen basierend auf SCIM-Gruppenmitgliedschaften.Fehlerbehebung
SSO Login funktioniert nicht. Was solltest du prüfen?
SSO Login funktioniert nicht. Was solltest du prüfen?
Stelle sicher, dass die E-Mail-Domain korrekt eingetragen ist und SSO für diese Domain aktiviert wurde. Prüfe außerdem, ob die erforderlichen Werte exakt in deinem Identity Provider konfiguriert sind:
- Für OIDC: Redirect URI
- Für SAML: ACS URL und SP Entity ID
Nutzer werden nicht zum Identity Provider weitergeleitet. Woran kann das liegen?
Nutzer werden nicht zum Identity Provider weitergeleitet. Woran kann das liegen?
Prüfe, ob die E-Mail-Domain des Nutzers in nuwacom hinterlegt ist. Die automatische Weiterleitung funktioniert nur für Nutzer, deren E-Mail-Domain mit einer für SSO konfigurierten Domain übereinstimmt.
Ein Nutzer hat keinen Zugriff auf den Workspace. Was solltest du prüfen?
Ein Nutzer hat keinen Zugriff auf den Workspace. Was solltest du prüfen?
Prüfe, ob für den Nutzer ein passendes Role Mapping vorhanden ist. Wenn keine Mapping-Regel greift und keine Fallback-Regel definiert ist, erhält der Nutzer keinen Zugriff auf den Workspace.
Nutzer werden nicht über SCIM synchronisiert. Was solltest du prüfen?
Nutzer werden nicht über SCIM synchronisiert. Was solltest du prüfen?
Stelle sicher, dass der SCIM Nutzersync aktiviert ist. Prüfe außerdem, ob die SCIM Endpoint URL korrekt in deinem Identity Provider eingetragen ist und ob der Bearer Token noch gültig ist.
Gruppen werden nicht als Nutzergruppen in nuwacom importiert. Was solltest du prüfen?
Gruppen werden nicht als Nutzergruppen in nuwacom importiert. Was solltest du prüfen?
Prüfe, ob Synchronize SCIM Groups as User Groups aktiviert ist. Stelle außerdem sicher, dass Gruppenmitgliedschaften in deinem Identity Provider korrekt gepflegt und über SCIM übertragen werden.
Änderungen aus dem Identity Provider erscheinen nicht in nuwacom. Was solltest du prüfen?
Änderungen aus dem Identity Provider erscheinen nicht in nuwacom. Was solltest du prüfen?
Die Synchronisierung wird von deinem Identity Provider ausgelöst. Prüfe dort, ob die Änderung erfolgreich an nuwacom gesendet wurde. Stelle außerdem sicher, dass SCIM aktiv ist und die Verbindung zu nuwacom funktioniert.
Attribute wie Vorname, Nachname oder E-Mail werden nicht korrekt importiert. Was solltest du prüfen?
Attribute wie Vorname, Nachname oder E-Mail werden nicht korrekt importiert. Was solltest du prüfen?
Öffne die Advanced Settings und prüfe das Attribute Mapping. Stelle sicher, dass die Claims aus deinem Identity Provider den richtigen Nutzerattributen in nuwacom zugeordnet sind.