Setting up Single Sign-On authentication
Mit Single Sign-on können sich Support-Techniker von anderen Anwendungen aus sicher bei LogMeIn Rescue anmelden.
Unternehmen in der IT-Branche arbeiten heutzutage häufig mit vielen unterschiedlichen Systemen, die jeweils eine eigene Authentifizierung erfordern. Dies erweist sich oft sowohl für die Administratoren als auch die Endbenutzer als Herausforderung. LogMeIn RescueSingle Sign-On (SSO) hilft Ihnen, dieses Problem zu lösen.
Optionen
Die Einrichtung erfolgt im Administrationscenter auf der Registerkarte Globale Einstellungen unter Single-Sign-On.
Sie haben die Kontrolle darüber, wie sich Techniker und Administratoren bei LogMeIn Rescue anmelden können.
- Option 1: Standard oder SSO
- Die Benutzer können sich entweder mit ihrer Standard-E-Mail/Passwort von LogMeIn Rescue oder mit ihrer SSO-ID anmelden. Beide Methoden sind gültig.
- Denken Sie daran: Wenn Sie SSO zulassen, müssen Sie ein SSO-Master-Passwort festlegen (auf der Registerkarte Globale Einstellungen) und jedem Benutzer eine SSO-ID zuweisen (auf der Registerkarte "Organisation"). Benutzer ohne SSO-ID können die Einmalanmeldung nicht verwenden.
- Option 2: Nur SSO
- Die Benutzer können sich nur mit ihrer SSO-ID anmelden. Wenn Sie diese Option auswählen, können sich Benutzer ohne SSO-ID nicht anmelden.
- Achtung: Wenn Sie die Einmalanmeldung erlauben, müssen Sie auf der Registerkarte „Globale Einstellungen“ ein Master-SSO-Passwort festlegen und jedem Benutzer auf der Registerkarte „Organisation“ eine SSO-ID zuweisen.
- Option 3: Nur SSO plus Benutzer ohne SSO-ID dürfen Standard-Anmeldung verwenden
- Benutzer mit einer SSO-ID können sich nur mit ihrer SSO-ID anmelden.
- Benutzer ohne SSO-ID können die Standard-Anmeldung verwenden.
Funktionsweise
Bei der SSO-Funktionalität findet die API-Technologie Anwendung.
- Das vom Unternehmen gehostete Skript sendet eine HTTP-Anfrage an die SSO-Anmeldedienste.
- Der SSO-Anmeldedienst bestätigt die erfolgreiche Anmeldung und ruft die Anmelde-URL ab. Falls der Vorgang fehlschlägt, wird eine Fehlermeldung ausgegeben.
- Das vom Unternehmen gehostete Skript wertet den zurückgegebenen Wert aus.
- Ist die Anfrage erfolgreich, leitet das Skript den Benutzer zur angegebenen URL weiter. Ist die Anfrage nicht erfolgreich, wird die Fehlerbehandlung gestartet.
- Single-Sign-On-URL (SSO-URL)
-
Für die Anmeldung bei der webbasierten Technikerkonsole:
https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx -
Für die Anmeldung bei der Desktop-App der Technikerkonsole:
https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx - Single-Sign-On-ID (SSO-ID)
- Die ID, die Sie beim Hinzufügen oder Bearbeiten von Mitgliedern Ihrer Organisation auf der Registerkarte Organisation des Administrationscenters im Feld SSO-ID definieren.
- CompanyID
- Siehe den Beispielcode auf der Registerkarte Globale Einstellungen im Administrationscenter.
- Master-SSO-Passwort
- Das auf der Registerkarte Globale Einstellungen definierte SSO-Passwort.
Ein Beispiel dieser formatierten URL sieht folgendermaßen aus:
Falls Sie sich bei der webbasierten Technikerkonsole angemeldet haben:https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx? ssoid=123456&Passwort=geheimesPasswort&CompanyID=654321- DTC x86:
https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx? ssoid=123456&Passwort=geheimesPasswort&CompanyID=654321 - DTC x64:
https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx? ssoid=123456&Passwort=geheimesPasswort&CompanyID=654321&arch=64
Wenn Sie diese Anforderung stellen, müssen die SSOID, Passwort, und CompanyID werden an den LogMeIn Rescue SSO-Dienst gesendet, der einen Zeichenfolgenwert zurückgibt. Bei einer erfolgreichen Authentifizierung wird eine Zeichenfolge zurückgegeben, die etwa folgendermaßen aussieht:
OK: https://secure.logmeinrescue.com/SSO/Login.aspx? Ticket=6ab9a0f6-d3ce-4f498-8ea7-b9a76a67a0c8- DTC x86:
https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx? companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824 - DTC x64:
https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx? companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824&arch=64
FEHLER: INVALIDPASSWORDDiese Zeichenfolge können Sie dann verarbeiten, indem Sie sie auf Fehler analysieren und diese entsprechend beheben. In einem typischen Szenario würden Sie eine IF-Bedingung verwenden, um die zurückgegebene Zeichenfolge zu verarbeiten und diese auf das Vorhandensein von OK: in den ersten drei Zeichen zu prüfen. Wenn diese drei Zeichen vorhanden sind, geben Sie die URL (den letzten Teil der Zeichenfolge, die Sie verarbeitet haben) entweder an den Benutzer weiter oder sorgen Sie dafür, dass er automatisch zur URL weitergeleitet wird.
Überlegungen zu Single Sign-on
Da Single Sign-On für die Authentifizierung eine Benutzer-ID erfordert, ist ein logischer Schritt die Verwendung der Windows-Anmeldeinformationen. Die meisten Programmiersprachen ermöglichen Ihnen dies mit serverseitigen Variablen. Der entscheidende Punkt ist, dass die Serververbindung eine authentifizierte Verbindung erfordert, d. h. nicht anonym sein darf. Dies ist ein Integrationsprozess, der über den Internet Explorer erfolgt. Dieser gibt die Domain-Anmeldeinformationen automatisch an den Intranetserver weiter; vorausgesetzt, Sie erlauben keinen anonymen Zugriff. Der beste Ansatz ist die Übermittlung der authentifizierten Benutzer-ID als SSO-ID von Ihrem Intranet-Webserver an den SSO-Dienst.
Einzelanmeldung und SAML 2.0
LogMeIn Rescue ist kompatibel mit der Security Assertion Markup Language (SAML) 2.0. Ausführliche Informationen zur Konfiguration von LogMeIn Rescue zur Verwendung von SAML 2.0 mit Ihrem Identitätsanbieter finden Sie im LogMeIn Rescue Web SSO via SAML 2.0 Benutzerhandbuch.