Diese Dokumentation hilft Ihnen bei der Einrichtung des SSO-Features in Tresorit mit Okta. Sie müssen eine neue Anwendung unter Anwendungen auf der Okta-Admin-Oberfläche erstellen und konfigurieren. Während dieser Konfiguration werden Sie GUIDs erhalten, welche Sie in Tresorits Admin-Center einstellen müssen. Sobald Sie die GUIDs haben, können Sie die Richtliniengruppen und Nutzer aufsetzen und schließlich die SSO-Richtlinie für diese als letzten Schritt aktivieren.
Wie Sie SSO in Tresorit einrichten
Konfiguration einer neuen Anwendung in Okta
Als erster Schritt, stellen Sie sicher, dass OAuth 2.0 für Okta APIs bei der Organisation aktiviert ist.
Erweiterung des Nutzerprofilschemas
Klicken Sie auf Directory und Profileditor, wählen Sie Okta aus der Filterliste und anschließend Nutzer (Standard). Klicken Sie dann auf Attribut hinzufügen, um den TresoritLoginKey zu Ihrem Nutzerschema mit Schreib- und Leserecht hinzuzufügen:
Das Schreib- und Leserecht muss nach dem Speichern der Attribute auf dem Editor Screen geändert werden:
Für den TresoritLoginKey ist es erforderlich, dass er von Okta gemastert wird oder zumindest über Oktas API modifizierbar ist. Dies kann erreicht werden, indem die Priorität der Inhaltsquelle für das Attribut auf Aus Okta übernehmen (Inherit from Okta) festgelegt wird.
Registrierung einer Anwendung
Klicken Sie auf Anwendungen und App Integration hinzufügen. Wählen Sie dann OIDC - OpenID Connect und Native Anwendung aus und klicken Sie auf Weiter.
Geben Sie einen Namen für die App (z.B.Tresorit) an.
Geben Sie die folgenden Umleitungs-URIs für die Anmeldung an:
Geben Sie die folgende Umleitungs-URI für die Abmeldung an:
Nachdem Sie eine Applikation erfolgreich unter Client Credentials erstellt haben, werden Sie die Client ID der neu erstellten App sehen. Merken Sie sich die Client ID, da Sie sie später noch benötigen werden.
Stellen Sie sicher, dass die folgenden Zustimmungsarten markiert sind:
- Autorisierungscode
- Implizit (Hybrid)
Sie können Ihre Gruppenzuordnungen hier erstellen (diese können auch später eingerichtet werden). Dies wird von Ihren Nutzern benötigt, damit sie auf diese App zugreifen können.
Einrichtung einer benutzerdefinierten Ausstellerrichtlinie (optional)
Die Einrichtung einer benutzerdefinierten Ausstellerrichtlinie ermöglicht es Ihnen, für die Anmeldung eine benutzerdefinierte URL als Unterdomäne Ihrer Firmendomäne zu haben, wie z.B. okta.mycompany.com. Dazu benötigen Sie einige zusätzliche Schritte in Ihrer IT-Infrastruktur. Um diese URL aufzusetzen, prüfen Sie bitte Oktas Dokumentation zu diesem Feature. Wenn Sie möchten, dass Tresorit diese Domäne zur Weiterleitung während der Anmeldung nutzt, dann geben Sie diese während der SSO-Aktivierung im Admin-Center an.
Navigieren Sie zu Ihrer App. Unter Anmeldung können Sie die benutzerdefinierte Domäne des Ausstellers unter OpenID Connect ID Token prüfen. Hier können Sie auswählen, welche Ausstellerdomäne Sie nutzen möchten. Wenn Sie nur eine mit der Endung .okta.com haben, dann haben Sie keine benutzerdefinierte Ausstellerdomäne. Wenn Sie eine haben, die Sie nutzen möchten, wählen Sie diese hier aus, da Sie diese später auch in Tresorits Admin-Center einrichten müssen.
Einrichtung der Okta-API-Bereiche
Im Konfigurationsbereich der Okta-App gehen Sie zu Okta-API-Bereiche.
Stimmen Sie okta.users.manage.self in der Liste zu. Die Zustimmungstabelle sollte dies, wie unten dargestellt, beinhalten.
Vertrauenswürdige Quellen aktivieren
Gehen Sie zum Bereich Sicherheit / API und wählen Sie das Vertrauenswürdige Quellen-Tab.
Fügen Sie https://web.tresorit.com zu CORS und Weiterleitung hinzu:
Erforderliche Kennzeichner
Jetzt, da Sie mit der Konfiguration fertig sind, benötigen Sie zwei (falls Sie eine benutzerdefinierte Aussteller-URL eingerichtet haben, drei) Kennzeichner von der Okta-Admin-Oberfläche. Dabei handet es sich um die Folgenden:
- Organization ID
- Client ID
- und optional die benutzerdefinierte Aussteller-URL
Die Organization ID ist Ihre Okta-Unterdomäne. Sie benötigen nur den Teil zwischen https:// und .okta.com. Wenn dieser https://mycompany.okta.com lautet, dann ist Ihre Organization ID mycompany.
Die Client ID finden Sie unter dem Anwendungen-Tab der Okta-Admin-Oberfläche. Gehen Sie zur App und wählen Sie das Allgemeine-Tab. Die Client ID sehen Sie unter Client-Anmeldedaten.
SSO in Tresorits Admin-Center einrichten
Schritt 1 im Einstellungen-Tab
Unter dem Einstellungen-Tab stellen Sie sicher, dass die Erweiterten Kontrolloptionen aktiviert sind. Dann klicken Sie auf SSO aktivieren im Bereich Single Sign-On.
Das folgende Fenster wird geöffnet, in dem Sie dazu aufgefordert werden, Tresorits SSO-spezifische Bedingungen zu akzeptieren.
Nachdem Sie die Bedingungen akzeptiert haben, wählen Sie Okta und fügen Sie die vorher erhaltenen IDs ein.
Falls Sie Okta EMEA als Root-Domain verwenden, wählen Sie bitte diese Option aus der Liste. Für Unternehmen mit Sitz in der EMEA-Region erfolgt diese Einstellung nicht automatisch. Bitte überprüfen Sie diese Information in Ihrem Okta-Konto.
Es ist möglich, dass Sie Ihr Passwort erneut eingeben müssen, falls Ihre Sitzung abgelaufen ist. Wenn Sie dies erfolgreich getan haben, sollte eine freundliche Benachrichtigung erscheinen.
Schritt 2 im Richtlinien-Tab
Unter dem Richtlinien-Tab können Sie entweder eine neue Richtlinie erstellen oder eine bestehende ändern. Setzen Sie die Single Sign-On-Richtlinie auf Erforderlich, so dass die Nutzer mit dieser Richtlinie den konfigurierten Okta-Server zur Anmeldung nutzen müssen. Vergessen Sie nicht die Änderungen für die Richtlinie zu speichern.
Die Richtline für die 2-Stufen-Verifizierung wird für diese Gruppe deaktiviert werden, da diese Funktion im Fall von SSO von Okta verwaltet wird. Ihre Nutzer werden die 2-Stufen-Verifizierung über ihre konfigurierte Methode in ihrem Okta-Profil verwenden müssen.
SSO in Tresorit verwenden
Aktivierung
Für bereits existierende Benutzer im Richtlinienprofil wird ein Migration-Dialogfeld in den Tresorit-Anwendungen erscheinen. Diese müssen dann ihr aktuelles Passwort bestätigen, bevor sie zur Firmenanmeldeseite weitergeleitet werden. Nachdem sie sich auch dort angemeldet haben, wird ihr Tresorit-Passwort nicht länger gültig sein und sie werden sich nur noch über die SSO-Option anmelden können.
Im Falle des Lizenz-Eigentümers bleibt das Tresorit-Passwort erhalten, da es für die Funktionalität "Erweiterte Kontrolloptionen" benötigt wird.
Deaktivierung
Wenn Sie das SSO-Profil für einen Benutzer deaktivieren, wird dieser ein neues Passwort einrichten müssen. In manchen Fällen kann es vorkommen, dass die SSO-Authentifizierung nicht verfügbar ist. Dann verlangt der Prozess eine E-Mail-Bestätigung, bevor der Nutzer sein neues Passwort festlegen kann.
Registrierung ohne Passwort
Sie können außerdem verifizieren, dass Sie die Kontrolle über bestimmte Domains haben. In solchen Fällen können die neuen Benutzer in Ihrem Unternehmen ihre Registrierung direkt mittels SSO ausführen und müssen kein Tresorit-Passwort einrichten. Dies sorgt für ein benutzerfreundliches Erlebnis bei der ersten Anmeldung. Erfahren Sie in diesem Artikel, wie Sie Ihre Domain verifizieren.
Sie haben Fragen? Schreiben Sie uns.