1. Help Center (DE)
  2. Kontoverwaltung
  3. 🔒 Zugriff & Sicherheit

SAML für Single Sign-On mit Workpath

Dieses Dokument beschreibt den allgemeinen Ablauf zur Einrichtung von Single Sign-On (SSO) mit SAML 2.0. SAML ist ein weit verbreiteter Standard; spezifische Anleitungen für Ihren Identity Provider finden Sie in unserem Online-Helpcenter.

Die Aktivierung von SSO wird dringend empfohlen, da Ihre Mitarbeitenden sich so mit ihren internen Unternehmenskonten bei Workpath anmelden können, ohne ein weiteres Passwort verwalten zu müssen. Außerdem entfällt großer manueller Aufwand für die Benutzerverwaltung.

Schritt 1 – Stakeholder ermitteln

Kontaktieren Sie zunächst Ihre interne IT-Abteilung, um zu klären, welche Gruppe oder welche Person für die Konfiguration von SSO-Integrationen zuständig ist. Erfragen Sie zudem, ob Wartezeiten oder Genehmigungsprozesse bestehen.

Workpath unterstützt Ihr IT-Team gerne direkt bei technischen Details. Möglicherweise wünscht Ihre IT-Abteilung jedoch einen Business-Stakeholder in der Anfangsphase.
https://YOURCOMPANY.workpath.com/

Schritt 2 – Vorgehensweise für die Konto-Provisionierung festlegen

Entscheiden Sie, wie neue Benutzerkonten in Workpath angelegt werden sollen:

  1. Automatische Benutzerverwaltung
    Ihre IT-Abteilung gewährt allen Mitarbeitenden (oder nur bestimmten Abteilungen/Rollen) Zugriff auf Workpath. Meldet sich ein:e Mitarbeitende:r zum ersten Mal an, wird automatisch ein reguläres Benutzerkonto angelegt („Just-in-time-Provisioning“).
  2. Manuelle Benutzerverwaltung
    Nur eingeladene Nutzer:innen (durch Admins, Program Leads oder Team Leads) dürfen sich bei Workpath anmelden.

Workpath empfiehlt Option 1, da sie den geringsten Administrationsaufwand bedeutet. Kommunizieren Sie diese Entscheidung an Ihren Workpath Customer Success Manager und an Ihr IT-Team.

Schritt 3 – Teststrategie festlegen

Sobald SSO konfiguriert ist, sollten Workpath und Ihre IT-Abteilung einen Termin zum Aktivieren und Testen vereinbaren. Dafür gibt es zwei Ansätze:

  • Direktes Testen in der Produktivumgebung
    (z. B. YOURCOMPANY.workpath.com)
    Empfehlenswert, wenn nur wenige Pilot-Nutzer:innen oder keine Nutzer:innen live zugreifen.
  • Erstes Testen in einer QA‐Instanz
    (z. B. YOURCOMPANY-test.workpath.com)
    Empfehlenswert, wenn bereits viele Nutzer:innen produktiv per E-Mail/Passwort auf Workpath zugreifen.

Teilen Sie Workpath Ihre Teststrategie mit, damit wir gegebenenfalls eine QA-Instanz anlegen.

Schritt 4 – SAML-Konfiguration austauschen

Für SSO müssen Ihre IT-Abteilung und Workpath Konfigurationsparameter sowie kryptografische Zertifikate austauschen:

  1. Metadaten als XML abrufen
    Ihre IT kann alle benötigten Konfigurationsparameter und Zertifikate in einer Metadaten-XML von https://api.workpath.com/v1/saml/metadata/YOURCOMPANY(-test) herunterladen. 
    Ersetzen Sie YOURCOMPANY durch Ihre Workpath-Subdomain (siehe Login-URL: https://YOURCOMPANY.workpath.com/ ). 
    Für eine QA-Instanz nutzen Sie …/metadata/YOURCOMPANY-test.

  2. Attribute konfigurieren
    Ihre IT richtet Workpath als SAML-Anwendung ein und sendet uns eine Metadaten-XML zurück. Wir konfigurieren SAML auf unserer Seite; es gibt aktuell keine Self-Service-Option.

    Folgende Attribute müssen im SAML-Assertion übertragen werden:

    Attribut Pflicht Beschreibung
    first_name ja Vorname des Nutzers, der in der Plattform angezeigt wird
    last_name ja Nachname des Nutzers, der in der Plattform angezeigt wird
    external_id ja Eindeutige ID, die vom IDP vergeben wird; verhindert Duplikate, wenn sich eine E-Mail ändert
    email nein E-Mail-Adresse; falls nicht übermittelt, wird sie aus dem UPN abgeleitet
    manageruid nein ID des/der Vorgesetzten (aus dem IDP); für Anzeige von Berichtslinien
    locale nein Bevorzugte Sprache (de oder en); Standard-Sprache des Unternehmens wird verwendet, wenn leer
    office nein Standort des Nutzers
    job_title nein Berufsbezeichnung
    department nein Abteilung (hat keinen Einfluss auf Team-Mitgliedschaften in Workpath, aber nützlich für Setup)

Wichtiger Hinweis: Die Attribute ohne XML-Namespace übertragen!

RICHTIG:
<Attribute Name="first_name">
        <AttributeValue>Daniel</AttributeValue></Attribute>
FALSCH:<Attribute Name=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/first_name>
                <AttributeValue>Daniel</AttributeValue>
</Attribute>

 

Schritt 5 – SSO testen

Testen Sie nun das SSO und prüfen Sie, ob:

  • Die Anmeldung funktioniert
  • Alle SAML-Attribute korrekt in die Workpath-Profile übernommen werden

Für eine schnelle Problemlösung bietet das Workpath-Team einen Live-Call zur Umstellung an. Kontaktieren Sie dafür Ihren Customer Success Manager direkt zur Verfügung.

Schritt 6 – Passwortanmeldung auslaufen lassen (optional)

Falls viele Nutzer:innen bislang per E-Mail/Passwort eingeloggt waren, können Sie die Passwortanmeldung noch einige Tage aktiviert lassen. So sind Mitarbeitende nicht ausgesperrt, falls SSO unerwartet nicht funktioniert.

Sobald ein Account SSO erfolgreich genutzt hat, kann das alte Workpath-Passwort nicht mehr verwendet werden.

Workpath empfiehlt eine Übergangsfrist von 7 Tagen bei einer größeren Nutzerzahl, um den Wechsel von Passwort-Login zu SSO reibungslos zu gestalten.

War dieser Beitrag hilfreich?
1 von 3 fanden dies hilfreich

Verwandte Beiträge