Diese Informationen werden Sie durch die Einrichtung von Tresorit SSO mit Google führen. Sie werden einen neuen OAuth Client in der Google Cloud Platform Admin UI unter „APIs und Dienste“ erstellen und konfigurieren müssen. Während dieser Konfiguration werden Sie eine ID erhalten, die Sie in Tresorits Admin-Center einrichten müssen. Außerdem müssen Sie die Google Drive API aktivieren. Sobald Sie die IDs haben, können Sie Richtlinienprofile und Benutzer festlegen und schließlich SSO für sie aktivieren.
Wir haben unseren Support für Google SSO mithilfe der Google Drive API umgesetzt. Dabei haben wir die integrierte Funktionalität der API genutzt, um anwendungsspezifische Daten in einem speziellen Ordner zu speichern. Auf diesen Ordner kann ausschließlich durch die vorgegebene Anwendung zugegriffen werden und seine Inhalte werden vom Nutzer und anderen Drive-Apps verborgen.
Für weitere Informationen: https://developers.google.com/drive/api/v3/appdata
Wie Sie SSO in Tresorit einricht
Ein neues Projekt in Google Cloud erstellen
Als ersten Schritt müssen Sie ein neues Projekt in der Google Cloud Console einrichten. Hier können Sie das für diesen Vorgang offizielle Tutorial in 5 Schritten finden: https://developers.google.com/workspace/guides/create-project
Den Zugriff von Google Drive auf diesen Client aktivieren
Als nächsten Schritt müssen Sie die Google Drive API in Ihrem Projekt aktivieren. Um dies zu tun, wählen Sie Bibliothek unter APIs und Dienste und suchen Sie nach Google Drive. Anschließend klicken Sie auf Google Drive. Alternativ dazu können Sie auf diesen Link klicken: https://console.cloud.google.com/apis/library/drive.googleapis.com
Klicken Sie auf Zulassen (Enable).
Den OAuth-Zustimmungsbildschirm konfigurieren
Sie müssen den OAuth-Zustimmungsbildschirm einrichten, da Sie andernfalls nicht dazu in der Lage sein werden, Anmeldedaten in diesem Projekt zu erstellen.
Wählen Sie OAuth-Zustimmungsbildschirm unter APIs und Dienste und wählen Sie Intern als Nutzertypen aus. Klicken Sie anschließend auf ERSTELLEN (CREATE).
Wir empfehlen, als App-Namen „Tresorit“ zu verwenden. Als E-Mail-Adresse für den Nutzersupport sollten Sie eine Adresse verwenden, über die Ihre Nutzer Ihr IT-Administratorenteam erreichen können, falls sie Fragen haben oder sie auf technische Schwierigkeiten stoßen.
Fügen Sie die folgenden Autorisierten Domains hinzu:
- tresorit.com
- tresor.it
Als Kontaktdaten des Entwicklers sollten Sie eine E-Mail-Adresse angeben, an die Google Ihnen Benachrichtigungen über etwaige Änderungen an Ihrem Projekt senden kann.
Klicken Sie im Anschluss daran auf SPEICHERN UND FORTFAHREN.
Klicken Sie in Bereiche bitte auf BEREICHE HINZUFÜGEN ODER ENTFERNEN und geben Sie im Feld unterhalb von BEREICHE MANUELL HINZUFÜGEN diese URLs ein:
- https://www.googleapis.com/auth/userinfo.email
- https://www.googleapis.com/auth/userinfo.profile
- https://www.googleapis.com/auth/drive.appdata
- openid
Klicken Sie auf AKTUALISIEREN.
Nun können Sie auf SPEICHERN UND FORTFAHREN klicken, um die Übersicht angezeigt zu bekommen.
Im Anschluss daran können Sie auf ZURÜCK ZUM DASHBOARD klicken.
Anmeldedaten in der Google Cloud Platform erstellen
Als nächsten Schritt müssen Sie neue Anmeldedaten für das kürzlich erstellte Projekt einrichten.
Wählen Sie Anmeldedaten unter APIs und Dienste, klicken Sie auf ANMELDEDATEN ERSTELLEN und wählen Sie OAuth Client ID.
Der Anwendungstyp dieser neuen Anmeldedaten sollte Webanwendung sein.
Geben Sie einen Namen für Ihre App ein (wie z. B. „Tresorit“).
Geben Sie den folgenden URI für Autorisierte JavaScript-Ursprünge an:
Fügen Sie die folgenden Autorisierten Umleitungs-URIs hinzu:
Speichern Sie die Einstellungen.
Nachdem Sie den OAuth Client erfolgreich eingerichtet haben, werden Sie Ihre Client ID angezeigt sehen. Stellen Sie bitte sicher, dass Sie sich die Client ID merken, da diese später erforderlich sein wird.
SSO in Tresorits Admin-Center einrichten
Schritt 1 im Einstellungen-Tab
Unter dem Einstellungen-Tab stellen Sie sicher, dass die Erweiterten Kontrolloptionen aktiviert sind. Dann klicken Sie auf SSO aktivieren im Bereich Single Sign-On.
Ein Fenster wird geöffnet, in dem Sie dazu aufgefordert werden, Tresorits SSO-spezifische Bedingungen zu akzeptieren.
Nachdem Sie die Bedingungen akzeptiert haben, wählen Sie Google Workspace und fügen Sie die vorher erhaltenen IDs ein.
Es ist möglich, dass Sie Ihr Passwort erneut eingeben müssen, falls Ihre Sitzung abgelaufen ist. Wenn Sie dies erfolgreich getan haben, sollte eine freundliche Benachrichtigung erscheinen.
Schritt 2 im Richtlinien-Tab
Unter dem Richtlinien-Tab können Sie entweder eine neue Richtlinie erstellen oder eine bestehende ändern. Setzen Sie die Single Sign-On-Richtlinie auf Erforderlich, so dass die Nutzer mit dieser Richtlinie den konfigurierten Google-Server zur Anmeldung nutzen müssen. Vergessen Sie nicht die Änderungen für die Richtlinie zu speichern.
Die Richtline für die 2-Stufen-Verifizierung wird für diese Gruppe deaktiviert werden, da diese Funktion im Fall von SSO von Google verwaltet wird. Ihre Nutzer werden die 2-Stufen-Verifizierung über ihre konfigurierte Methode in ihrem Google-Profil verwenden müssen.
SSO in Tresorit verwenden
Aktivierung
Für bereits existierende Benutzer im Richtlinienprofil wird ein Migration-Dialogfeld in den Tresorit-Anwendungen erscheinen. Diese müssen dann ihr aktuelles Passwort bestätigen, bevor sie zur Firmenanmeldeseite weitergeleitet werden. Nachdem sie sich auch dort angemeldet haben, wird ihr Tresorit-Passwort nicht länger gültig sein und sie werden sich nur noch über die SSO-Option anmelden können.
Im Falle des Lizenz-Eigentümers bleibt das Tresorit-Passwort erhalten, da es für die Funktionalität "Erweiterte Kontrolloptionen" benötigt wird.
Deaktivierung
Wenn Sie das SSO-Profil für einen Benutzer deaktivieren, wird dieser ein neues Passwort einrichten müssen. In manchen Fällen kann es vorkommen, dass die SSO-Authentifizierung nicht verfügbar ist. Dann verlangt der Prozess eine E-Mail-Bestätigung, bevor der Nutzer sein neues Passwort festlegen kann.
Registrierung ohne Passwort
Sie können außerdem verifizieren, dass Sie die Kontrolle über bestimmte Domains haben. In solchen Fällen können die neuen Benutzer in Ihrem Unternehmen ihre Registrierung direkt mittels SSO ausführen und müssen kein Tresorit-Passwort einrichten. Dies sorgt für ein benutzerfreundliches Erlebnis bei der ersten Anmeldung. Erfahren Sie in diesem Artikel, wie Sie Ihre Domain verifizieren.
Sie haben Fragen? Schreiben Sie uns.