Konfigurationshinweise für SAML-Single-Sign-On

In diesem Thema werden einige Hinweise zu unserem Test von Single Sign-On per SAML mit den unterstützten Identitätsanbietern dokumentiert. Diese können Ihnen bei der Konfiguration und beim Testen Ihrer Implementierung Unterstützung bieten.

Hinweis: Ihre Organisation stellt möglicherweise Anforderungen an den Identitätsanbieter, die die für die MOVEit-Konfiguration nötigen Anforderungen übersteigen. Aus diesem Grund können wir kein vollständiges Schritt-für-Schritt-Verfahren für die Konfiguration des Identitätsanbieters bereitstellen. Detaillierte Informationen zur Konfiguration finden Sie in der Dokumentation Ihres Identitätsanbieters.

Weitere Informationen zu den MOVEit-Einstellungen, die für die SAML-Single Sign-On-Unterstützung erforderlich sind, finden Sie auf der Seite Benutzerauthentifizierung – Single Sign-On.

Hinweis: Wenn Sie Clientzertifikate verwenden möchten, müssen Sie den Identitätsanbieter für deren Verarbeitung konfigurieren. Das SAML-Single Sign-On-Verfahren in MOVEit Transfer unterstützt Clientzertifikate nicht. In MOVEit Transfer muss unter dem Benutzerprofil für SAML-Benutzer die Option SSL Client Certificate Required (SSL-Clientzertifikat erforderlich) auf No (Nein) eingestellt werden.

Hinweise zu den Active Directory-Verbunddiensten (ADFS)

Im Folgenden finden Sie Hinweise zu unseren Testkonfigurationen mit ADFS als Identitätsanbieter. Die Hinweise gehen davon aus, dass ADFS mit einem Active Directory-Server verbunden ist.

Ab Windows Server 2012 bezeichnet Microsoft ADFS als Windows Server AD FS. Beide Abkürzungen bezeichnen die Microsoft Active Directory-Verbunddienste.

Hinweise zur Installation/Konfiguration des Identitätsanbieters

• Sie benötigen einen ADFS-Server mit Zugriff auf ein vorhandenes Active Directory-System (in derselben Netzwerkdomäne).
• Wenn es für Sie erforderlich ist, die HTTP-Artefakt-Bindung zu verwenden, müssen die Konfiguration und die Artefakt-Datenbank des ADFS-Servers auf einem SQL-Server gespeichert werden. Ein vorhandener ADFS-Server kann zur Verwendung eines SQL-Servers konvertiert werden.
• Nach der Installation des ADFS-Servers müssen die Webschnittstellen des Servers (über IIS) mit einem SSL-Zertifikat gesichert werden. Darüber hinaus verfügt MOVEit Transfer über ein SSL-Zertifikat, das seine IIS-Webschnittstelle schützt. Zur Unterstützung direkter Anforderungen zwischen dem MOVEit Transfer- und ADFS-Server für den direkten Download von Metadatendateien sowie zur Unterstützung von Artefaktauflösungsanforderungen muss jeder Server so konfiguriert werden, dass er dem SSL-Zertifikat des anderen Servers vertraut. Dies kann durch die Installation des öffentlichen Teils des SSL-Zertifikats jedes Servers in der Zertifikatsliste der vertrauenswürdigen Stellen auf dem lokalen Computer erfolgen.

Dienstanbieter einrichten

Konfigurieren Sie die MOVEit-Einstellungen, die für ADFS erforderlich sind.

• Zertifikate: SAML-Anforderungen und -Antworten müssen grundsätzlich signiert sein. OASIS empfiehlt darüber hinaus zur Erhöhung der Sicherheit eine Verschlüsselung. Zur Unterstützung sowohl der Signatur als auch der Verschlüsselung von SAML-Nachrichten erstellen Sie ein Signaturzertifikat und ein Verschlüsselungszertifikat.
• Assertion-Kundenschnittstelle: Standardmäßig wird von MOVEit Transfer nur die HTTP-Post-Schnittstelle für den Empfang und die Verarbeitung von SAML-Assertionen vom Identitätsanbieter aktiviert. Wenn Sie die HTTP-Artefakt-Schnittstelle verwenden möchten, aktivieren Sie diese Schnittstelle und verschieben Sie sie an den Anfang der Liste mit den Assertion-Kundenschnittstellen.

MOVEit als Dienstanbieter/vertrauende Seite registrieren

Der SAML-Dienstanbieter und -Identitätsanbieter müssen gegenseitig registriert werden, um den Anforderungen und Assertionen, die zwischen den beiden Servern ausgetauscht werden, ordnungsgemäß vertrauen zu können. Dies erfolgt in der Regel durch den Austausch von Metadatendateien, in denen XML-Beschreibungen der Dienste, Endpunkte und Zertifikate der Server enthalten sind.

Registrieren Sie MOVEit als vertrauende Seite in ADFS. Verwenden Sie die ADFS-Verwaltungskonsole, um eine Vertrauensstellung der vertrauenden Seite hinzuzufügen. Hier können Sie die URL für die Metadatendatei des Dienstanbieters (MOVEit) oder eine Kopie der Metadatendatei bereitstellen.

Benutzerattribute einstellen

Die Einstellungen für die Benutzerattribute werden sowohl in der Konfiguration des Identitätsanbieters als auch in den MOVEit-Einstellungen vorgenommen. Diese Einstellungen legen fest, welche Benutzerinformationen (wie Kontoname, allgemeiner Name, E-Mail-Adresse) an MOVEit Transfer in Authentifizierungsassertionen gesendet werden.

Sie legen die Benutzerattribute, die in ADFS als „Claims“ (Ansprüche) bezeichnet werden, über das Dialogfeld „Add Claim Rules“ (Anspruchsregeln hinzufügen) (in der ADFS-Verwaltungskonsole) fest.

Wir legen die folgenden Attribute fest:

• Anspruch für vorübergehende Sitzungs-ID hinzufügen: Diese Regeln erforderten bestimmte Einstellungen, die im Folgenden beschrieben werden.

  Klicken Sie auf der Registerkarte „Issuance Transform Rules“ (Ausstellungstransformationsregeln) auf die Schaltfläche Add Rule (Regel hinzufügen).

  Wählen Sie Send Claims Using a Custom Rule (Ansprüche über benutzerdefinierte Regel senden) aus.

  Geben Sie einen Regelnamen ein, wie z. B. „Create transient session ID“ (Vorübergehende Sitzungs-ID erstellen).

  Geben Sie den folgenden Regeltext ein:

  c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]

  && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]

  => add(store = "_OpaqueIdStore",

  types = („http://beispiel.de/transientsessionid"),

  query = "{0};{1};{2};{3};{4}",

  param = "useEntropy",

  param = c1.Value,

  param = c1.OriginalIssuer,

  param = "",

  param = c2.Value);

  Klicken Sie auf Finish (Fertig stellen), um die Regel hinzuzufügen.

  Klicken Sie erneut auf die Schaltfläche Add Rule (Regel hinzufügen).

  Wählen Sie Transform an Incoming Claim (Eingehenden Anspruch transformieren) aus.

  Geben Sie einen Regelnamen ein, wie z. B. „Send transient session ID as NameID“ (Vorübergehende Sitzungs-ID als Namens-ID senden).

  Geben Sie als Typ für den eingehenden Anspruch Folgendes ein: http://beispiel.de/transientsessionid

  Wählen Sie Name ID (Namens-ID) als Typ für den ausgehenden Anspruch aus.

  Wählen Sie Transient Identifier (Vorübergehende Kennung) als Format für die ausgehende Namens-ID aus.

  Klicken Sie auf Finish (Fertig stellen), um die Regel hinzuzufügen.

• Active Directory-Attribute als Ansprüche hinzufügen: Sie können alle Attribute einstellen, die von Ihrer Organisation gefordert werden. Wir haben die Ansprüche auf die Bereitstellung folgender Informationen eingestellt: Name des Windows-Kontos, allgemeiner Name, E-Mail-Adresse und Gruppenliste, da es sich dabei um die Attribute handelt, die wir in MOVEit verwenden möchten.

Wählen Sie in den (MOVEit) Single Sign-On-Einstellungen die Bearbeitung des Identitätsanbieters aus. Legen Sie dann unter „User Settings“ (Benutzereinstellungen) Folgendes fest:

• Login name (Anmeldename): Name des Windows-Kontos (Dies ist die einzige erforderliche Einstellung.)
• Full name (Vollständiger Name): Allgemeiner Name
• Email (E-Mail): Email Address (E-Mail-Adresse)

Legen Sie weitere Benutzer- oder Gruppeneinstellungen bei Bedarf fest.

ADFS als Identitätsanbieter registrieren

Nachdem MOVEit Transfer auf dem ADFS-Server registriert wurde, muss dies nun auch umgekehrt erfolgen. Sie können wiederum entweder die Metadaten des ADFS-Servers herunterladen (der Speicherort der Metadaten des ADFS-Servers ist in der Regel „<ADFS-Server-URL>/FederationMetadata/2007-06/FederationMetadata.xml“) oder die Metadaten-URL MOVEit Transfer als Teil der Konfiguration des Identitätsanbieters bereitstellen.

Authentifizierung mit SAML testen

Zum Testen der Konfiguration melden Sie sich bei MOVEit als Organisationsadministrator an und kopieren Sie den Direktlink für die Benutzeranmeldung auf der Seite „Edit Federated Identity Provider Settings“ (Einstellungen für Verbundidentitätsanbieter bearbeiten) (für den konfigurierten Identitätsanbieter). Melden Sie sich bei MOVEit ab und fügen Sie dann die kopierte URL in die Adressleiste Ihres Browsers ein. Bei ordnungsgemäßer Konfiguration werden Sie vom Identitätsanbieter authentifiziert und zu MOVEit Transfer weitergeleitet, wo Sie angemeldet werden. (Der Identitätsanbieter kann Sie zur Eingabe der Anmeldedaten auffordern oder nicht. Dies ist von der Konfiguration abhängig.)

Hinweis: Die Anmeldeaufforderung entspricht nicht der MOVEit-Anmeldeseite. Die Anmeldeaufforderung stammt vom Identitätsanbieter (ADFS verwendet ein Standardeingabefenster des Browsers für die Anmeldedaten).

Häufige Konfigurationsprobleme finden Sie auf der Seite Fehlerbehebung von Single Sign-On-Problemen.

Hinweise zu Shibboleth

Im Folgenden finden Sie Hinweise zu unseren Testkonfigurationen mit Shibboleth als Identitätsanbieter. Die Hinweise gehen davon aus, dass Shibboleth als Benutzerspeicher eingerichtet oder mit einem Active Directory-Server verbunden ist.

Hinweise zur Installation/Konfiguration des Identitätsanbieters

• Testen Sie den von Shibboleth verwendeten Tomcat-Server, um sicherzustellen, dass er SSL-/TLS-Verbindungen akzeptiert und dass er auf den Shibboleth-Identitätsanbieter zugreifen kann. Nach der Installation von Shibboleth öffnen Sie zum Testen des Tomcat-Servers: C:\Program Files (x86)\Internet2\Shib2IdP\conf\ReadMe.html. Der Abschnitt „Nächste Schritte“ in diesem Dokument enthält mehrere Links auf Tests, die Sie ausführen können.
• Überprüfen Sie, ob der Identitätsanbieter versucht, LDAP über TLS zu kontaktieren. LDAP muss so konfiguriert sein, dass es SSL-/TLS-Verbindungen akzeptiert. Gehen Sie zur Überprüfung zu C:|Program Files (x86)\Internet2\CaptiveTomcat 6.0\conf und prüfen Sie die Einstellung in der attribute-resolver.xml: UseStartTLS muss auf „false“ (falsch) eingestellt sein. Im selben Verzeichnis muss in der login.config der Wert tls auf „false“ (falsch) eingestellt sein.
• Starten Sie den Dienst Tomcat6 neu.
• Zur Überprüfung, ob der Identitätsanbieter LDAP\Active Directory kontaktieren kann, starten Sie die Datei ReadMe.html und wählen Sie den Link Test the IDP Status page here (IDP-Statusseite hier testen) aus.
• Nach der Installation des Shibboleth-Servers müssen die Webschnittstellen des Servers (über IIS) mit einem SSL-Zertifikat gesichert werden. Darüber hinaus verfügt MOVEit Transfer über ein SSL-Zertifikat, das seine IIS-Webschnittstelle schützt. Zur Unterstützung direkter Anforderungen zwischen dem MOVEit Transfer- und Shibboleth-Server für den direkten Download von Metadatendateien sowie zur Unterstützung von Artefaktauflösungsanforderungen muss jeder Server so konfiguriert werden, dass er dem SSL-Zertifikat des anderen Servers vertraut. Dies kann durch die Installation des öffentlichen Teils des SSL-Zertifikats jedes Servers in der Zertifikatsliste der vertrauenswürdigen Stellen auf dem lokalen Computer erfolgen.

Dienstanbieter einrichten

Konfigurieren Sie die MOVEit-Einstellungen, die für Shibboleth erforderlich sind.

• Zertifikate: SAML-Anforderungen und -Antworten müssen grundsätzlich signiert sein. OASIS empfiehlt darüber hinaus zur Erhöhung der Sicherheit eine Verschlüsselung. Zur Unterstützung sowohl der Signatur als auch der Verschlüsselung von SAML-Nachrichten erstellen Sie ein Signaturzertifikat und ein Verschlüsselungszertifikat.
• Assertion-Kundenschnittstelle: Standardmäßig wird von MOVEit Transfer nur die HTTP-Post-Schnittstelle für den Empfang und die Verarbeitung von SAML-Assertionen vom Identitätsanbieter aktiviert. Wenn Sie die HTTP-Artefakt-Schnittstelle verwenden möchten, aktivieren Sie diese Schnittstelle und verschieben Sie sie an den Anfang der Liste mit den Assertion-Kundenschnittstellen.

Hinweis: Bei Verwendung von selbstsignierten Zertifikaten müssen Sie bei der Konfiguration des Identitätsanbieters die Metadatendatei von MOVEit kopieren, statt die URL für die Metadaten zu verwenden.

MOVEit als Dienstanbieter/vertrauende Seite registrieren

Der SAML-Dienstanbieter und -Identitätsanbieter müssen gegenseitig registriert werden, um den Anforderungen und Assertionen, die zwischen den beiden Servern ausgetauscht werden, ordnungsgemäß vertrauen zu können. Dies erfolgt in der Regel durch den Austausch von Metadatendateien, in denen XML-Beschreibungen der Dienste, Endpunkte und Zertifikate der Server enthalten sind.

• Kopieren Sie von den Einstellungen des Dienstanbieters in MOVEit die Metadatendatei (klicken Sie mit der rechten Maustaste auf die Metadaten-URL des Dienstanbieters und speichern Sie das Ziel als DMZ-Metadata.xml). Kopieren Sie anschließend die Datei in das Shibboleth-System und fügen Sie sie in das folgende Verzeichnis ein:
  C:\Program Files (x86)\Internet2\Shib2ldp\metadata\. Starten Sie anschließend den Dienst Tomcat6 im Shibboleth-System neu.
• Registrieren Sie im Shibboleth-System MOVEit als Dienstanbieter/vertrauende Seite. Bearbeiten Sie hierzu die Datei relying-party.xml und fügen Sie den Speicherort der Metadaten im Abschnitt „Metadata Configuration“ (Metadatenkonfiguration) hinzu, z. B.:
  <metadata:MetadataProvider id="DMZTestOrg" xsi:type="metadata:FileBackedHTTPMetadataProvider"
  metadataURL=https://<dmz-server>/<org-ID>/SAML/Metadata.xml
  disregardSsslCertificate="true"
  backingFile="C:\Program Files (x86)\Internet2\Shib2ldp\metadata\DMZ-Metadata.xml" />

Hinweis: Derzeit ist Shibboleth nicht in der Lage, die Metadatendatei des Dienstanbieters von MOVEit Transfer herunterzuladen. Aus diesem Grund müssen Sie die Datei, wie unter dem ersten Schritt beschrieben, kopieren.

• Wenn Sie die HTTP-Artefakt-Methode für die Assertion-Kundenschnittstelle verwenden (in der MOVEit-Konfiguration festgelegt), muss darüber hinaus die Authentifizierung über ein Clientzertifikat in Shibboleth deaktiviert werden. Führen Sie hierzu die folgenden Schritte aus: Bearbeiten Sie C:\Program Files\Internet2\CaptiveTomcat 6.0\conf\server.xml und ändern Sie unter <Connector port="8443"> die Option clientAuth="TRUE" in clientAuth="FALSE". Speichern Sie die Änderungen und starten Sie Tomcat neu.

Benutzerattribute einstellen

Die Einstellungen für die Benutzerattribute werden sowohl in der Konfiguration des Identitätsanbieters als auch in den MOVEit-Einstellungen vorgenommen. Diese Einstellungen legen fest, welche Benutzerinformationen (wie Kontoname, allgemeiner Name, E-Mail-Adresse) an MOVEit Transfer in Authentifizierungsassertionen gesendet werden.

• Legen Sie in Shibboleth die Benutzerattribute fest, die in Authentifizierungsassertionen an MOVEit gesendet werden. Zur Konfiguration der Attributeinstellungen gehen Sie zu C:\Program Files\Internet2\Shib2IdP\conf\ und bearbeiten Sie die Datei attribute-resolver.xml.
  
• Geben Sie die Attribute für MOVEit Transfer frei. Bearbeiten Sie hierzu die Einstellungen für attribute-filter.xml.
  
• Veröffentlichen Sie die Attribute in der Datei metadata.xml des Identitätsanbieters. Bearbeiten Sie hierzu die Einstellungen für idp-metadata.xml.
  
• Wählen Sie in den (MOVEit) Single Sign-On-Einstellungen die Bearbeitung des Identitätsanbieters aus. Legen Sie dann unter „User Settings“ (Benutzereinstellungen) Folgendes fest:
  • Login name (Anmeldename): Kontoname (Dies ist die einzige erforderliche Einstellung.)
  • Full name (Vollständiger Name): Allgemeiner Name
  • Email (E-Mail): Email Address (E-Mail-Adresse)

  Legen Sie weitere Benutzer- oder Gruppeneinstellungen bei Bedarf fest.

Shibboleth als Identitätsanbieter registrieren

Nachdem MOVEit Transfer auf dem Shibboleth-Server registriert wurde, muss dies nun auch umgekehrt erfolgen. Sie können wiederum entweder die Metadaten des Shibboleth-Servers herunterladen oder die Metadaten-URL MOVEit Transfer als Teil der Konfiguration des Identitätsanbieters bereitstellen.

Sie können entweder eine lokale Kopie der Metadatendatei des Identitätsanbieters auswählen [C:\[Ordner]\Metadata.xml] oder die URL von https://<idp-computer>:<port>/idp/shibboleth kopieren. Wählen Sie dann die Option zum Hinzufügen eines Identitätsanbieters aus und fügen Sie die URL in das Feld „Identity Provider Metadata URL“ (Identitätsanbieter-Metadaten-URL) ein.

Authentifizierung mit SAML testen

Zum Testen der Konfiguration melden Sie sich bei MOVEit als Organisationsadministrator an und kopieren Sie den Direktlink für die Benutzeranmeldung auf der Seite „Edit Federated Identity Provider Settings“ (Einstellungen für Verbundidentitätsanbieter bearbeiten) (für den konfigurierten Identitätsanbieter). Melden Sie sich bei MOVEit ab und fügen Sie dann die kopierte URL in die Adressleiste Ihres Browsers ein. Bei ordnungsgemäßer Konfiguration werden Sie vom Identitätsanbieter authentifiziert und zu MOVEit Transfer weitergeleitet, wo Sie angemeldet werden. (Der Identitätsanbieter kann Sie zur Eingabe der Anmeldedaten auffordern oder nicht. Dies ist von der Konfiguration abhängig.)

Hinweis: Die Anmeldeaufforderung entspricht nicht der MOVEit-Anmeldeseite. Die Anmeldeaufforderung stammt vom Identitätsanbieter (Shibboleth verwendet einen eigenen Begrüßungsbildschirm).

Häufige Konfigurationsprobleme finden Sie auf der Seite Fehlerbehebung von Single Sign-On-Problemen.

Hinweise zu OneLogin

Im Folgenden finden Sie Hinweise zu unseren Testkonfigurationen mit OneLogin als Identitätsanbieter. Die Hinweise gehen davon aus, dass OneLogin als Benutzerspeicher eingerichtet oder mit einem Active Directory-Server verbunden ist.

Hinweise zur Installation/Konfiguration des Identitätsanbieters

• Nach der Installation des OneLogin-Servers müssen die Webschnittstellen des Servers (über IIS) mit einem SSL-Zertifikat gesichert werden. Darüber hinaus verfügt MOVEit Transfer über ein SSL-Zertifikat, das seine IIS-Webschnittstelle schützt. Zur Unterstützung direkter Anforderungen zwischen dem MOVEit Transfer- und OneLogin-Server für den direkten Download von Metadatendateien sowie zur Unterstützung von Artefaktauflösungsanforderungen muss jeder Server so konfiguriert werden, dass er dem SSL-Zertifikat des anderen Servers vertraut. Dies kann durch die Installation des öffentlichen Teils des SSL-Zertifikats jedes Servers in der Zertifikatsliste der vertrauenswürdigen Stellen auf dem lokalen Computer erfolgen.

Dienstanbieter einrichten

Konfigurieren Sie die Dienstanbieter-Einstellungen, die für OneLogin erforderlich sind.

• Zertifikate: SAML-Anforderungen und -Antworten müssen grundsätzlich signiert sein. OASIS empfiehlt darüber hinaus zur Erhöhung der Sicherheit eine Verschlüsselung. Zur Unterstützung sowohl der Signatur als auch der Verschlüsselung von SAML-Nachrichten erstellen Sie ein Signaturzertifikat und ein Verschlüsselungszertifikat.
• Assertion-Kundenschnittstelle: Standardmäßig wird von MOVEit Transfer nur die HTTP-Post-Schnittstelle für den Empfang und die Verarbeitung von SAML-Assertionen vom Identitätsanbieter aktiviert. Wenn Sie die HTTP-Artefakt-Schnittstelle verwenden möchten, aktivieren Sie diese Schnittstelle und verschieben Sie sie an den Anfang der Liste mit den Assertion-Kundenschnittstellen.

MOVEit als Dienstanbieter/vertrauende Seite registrieren

Der SAML-Dienstanbieter und -Identitätsanbieter müssen gegenseitig registriert werden, um den Anforderungen und Assertionen, die zwischen den beiden Servern ausgetauscht werden, ordnungsgemäß vertrauen zu können. Dies erfolgt in der Regel durch den Austausch von Metadatendateien, in denen XML-Beschreibungen der Dienste, Endpunkte und Zertifikate der Server enthalten sind.

Öffnen Sie in den Dienstanbieter-Einstellungen in MOVEit die Metadatendateien des Dienstanbieters und kopieren Sie die Entitäts-ID für die MOVEit Transfer-Organisation. Öffnen Sie dann die Seite OneLogin > Configuration (OneLogin > Konfiguration) und fügen Sie die Entitäts-ID in das Feld SAML Audience (SAML-Publikum) ein.

Kopieren Sie in den Dienstanbieter-Einstellungen in MOVEit die URL für die Assertion-Kundenschnittstelle, öffnen Sie anschließend die Seite OneLogin > Configuration (OneLogin > Konfiguration) und fügen Sie die URL in das Feld SAML Consumer URL (SAML-Kunden-URL) und SAML Recipient (SAML-Empfänger) ein.

Kopieren Sie in den Dienstanbieter-Einstellungen in MOVEit die URL für die Single-Logout-Schnittstelle (Umleitungsmethode), öffnen Sie anschließend die Seite OneLogin > Configuration (OneLogin > Konfiguration) und fügen Sie die URL in das Feld SAML Single Logout URL (SAML-Single-Logout-URL) ein. Für die Single-Logout-Einstellung unterstützt OneLogin derzeit nur die Umleitungsmethode.

Wir haben das Feld RelayState leer gelassen.

Benutzerattribute einstellen

Die Einstellungen für die Benutzerattribute werden in den Identitätsanbieter-Einstellungen in MOVEit und in der OneLogin-Konfiguration vorgenommen. Diese Einstellungen legen fest, welche Benutzerinformationen (wie Kontoname, allgemeiner Name, E-Mail-Adresse) an MOVEit Transfer in Authentifizierungsassertionen gesendet werden.

Wählen Sie in den (MOVEit) Single Sign-On-Einstellungen die Bearbeitung des Identitätsanbieters aus. Legen Sie dann unter „User Settings“ (Benutzereinstellungen) den Login name (Anmeldenamen) auf „SAML NameID“ (SAML-Namens-ID) fest. Dies ist die einzige erforderliche Einstellung. Legen Sie weitere Benutzer- oder Gruppeneinstellungen bei Bedarf fest.

Wählen Sie in OneLogin die Registerkarte „Access Control“ (Zugriffssteuerung) aus und wählen Sie die Verwendung von Default role (Standardrolle) aus.

OneLogin als Identitätsanbieter registrieren

Nachdem MOVEit Transfer auf dem OneLogin-Server registriert wurde, muss dies nun auch umgekehrt erfolgen. Sie müssen die Metadaten-URL MOVEit Transfer als Teil der Identitätsanbieter-Konfiguration bereitstellen.

Kopieren Sie auf der Seite OneLogin > Configuration (OneLogin > Konfiguration) die URL unter Single Signon > Issuer URL (Single Sign-On > Aussteller-URL). Gehen Sie dann zu den MOVEit-Einstellungen und wählen Sie unter Single Sign-On das Hinzufügen eines Identitätsanbieters aus. Fügen Sie die URL in das Feld „Identity Provider Metadata URL“ (Identitätsanbieter-Metadaten-URL) ein.

Authentifizierung mit SAML testen

Zum Testen der Konfiguration melden Sie sich bei MOVEit als Organisationsadministrator an und kopieren Sie die Direktlink-URL von Ihrer Identitätsanbieter-Konfiguration. Melden Sie sich bei MOVEit ab und fügen Sie dann die URL in die Adressleiste Ihres Browsers ein. Bei ordnungsgemäßer Konfiguration werden Sie vom Identitätsanbieter authentifiziert und zu MOVEit Transfer weitergeleitet, wo Sie angemeldet werden. (Der Identitätsanbieter kann Sie zur Eingabe der Anmeldedaten auffordern oder nicht. Dies ist von der Konfiguration abhängig.)

Hinweis: Die Anmeldeaufforderung entspricht nicht der MOVEit-Anmeldeseite. Die Anmeldeaufforderung stammt vom Identitätsanbieter.

Häufige Konfigurationsprobleme finden Sie auf der Seite Fehlerbehebung von Single Sign-On-Problemen.