Beiträge in diesem Abschnitt

SSO mit Microsoft Azure AD

Nathalie
  • Aktualisiert
Folgen

Mit Hilfe von Single Sign-On (SSO) können sich deine Mitarbeitenden mit ihren bereits vorhandenen Unternehmens-Identitäten anmelden und müssen keine separaten Login-Daten (Benutzernamen und Passwort) für Leapsome erstellen. Leapsome kann in jedes externe System integriert werden, das als SAML 2.0 Identity Provider fungieren kann.

Microsoft Azure AD kann sowohl für Single Sign-On, als auch für die automatische User Provisioning in Leapsome genutzt werden. Falls du Azure AD auch für User Provisoning nutzen möchtest, emfehlen wir dies zuerst zu konfigurieren, bevor du SSO einrichtest. Dieser Artikel zeigt, wie du Azure AD zur User Provisioning für Leapsome einrichtest.

Einrichtung

Relevante Daten aus Leapsome kopieren

Als Leapsome-Admin kannst du SSO für euren Account unter Admin-Einstellungen > Integrationen > Single Sign-On (SSO) einrichten. Auf dieser Seite findest du auch alle relevanten Daten, die du später für das Setup von SSO in Azure AD benötgst. Dazu gehören:

  • Entity ID
  • Login URL
  • Reply URL

SSO in Azure AD einrichten

1. Erstelle eine Leapsome App in Azure AD

  • In Azure AD, navigiere zu 'Enterprise Applications' und klicke auf '+ New Application'
  • Dort kannst du entweder eine neue, benutzerdefinierte App erstellen, oder unsere voreingestellte Gallery App benutzen
    • Wenn du Azure AD nicht nur für SSO, sondern auch für User Provisioning nutzen möchtest, empfehlen wir dir, eine neue, benutzerdefinierte App zu erstellen, da unsere Gallery App nur begrenzte Funktionen für User Provisioning beinhaltet. Folge in dem Fall gern dieser Dokumentation und richte SSO erst als letzten Schritt ein.
    • Wenn du Azure AD einzig und allein für SSO mit Leapsome nutzen möchtest, kannst du unsere vorgefertigte 'Leapsome' Gallery App benutzen

2. Bearbeite die 'Basic SAML Configuration'

Öffne die App, die du soeben angelegt hast, und navigiere zu 'Single-Sign On' > 'SAML'. Wähle unter 'Basic SAML Configuration' die folgenden Einstellungen:

  • Identifer (Entity ID): https://www.leapsome.com
  • Reply URL (Assertion Consumer Service URL): 'Reply URL' aus den Leapsome SSO Einstellungen
  • Sign on URL (optional): 'Login URL' aus den Leapsome SSO Einstellungen

3. Lade das Base64 Zertifikat herunter

Navigiere zum Abschnitt 'SAML Certificates', suche dort das 'Certificate (Base64)', und klicke auf 'Download'. 

Öffne das Zertifikat (z.B. in einem Text-Editor) und kopiere das vollständige Zertifikat. Gehe in die SSO-Einstellungen in Leapsome, und füge das kopierte Zertifikat in das Feld 'Zertifikat' ein. 

4. Kopiere die Login URL

Navigiere in Azure AD zum Abschnitt 'Set up Leapsome' und kopiere die 'Login URL'

Gehe dann zurück in Leapsome's SSO Einstellunegn, und füge die Login URL ins Feld 'SSO Login URL' ein.

5. Teste SSO

Wenn alle Daten entsprechend in Leapsome bzw. Azure AD eingefügt wurden, setze in Leapsome einen Haken bei 'Aktiviere SAML-basierendes Single Sign-On' und aktiviere SSO mit einem Klick auf 'Einstellungen speichern'

Azure bietet dir nun an das mittels 'Test single sign-on with Leapsome' zu testen, ob die Einrichtung erfolgreich war. 

Bitte beachte, dass in diesem Testlauf nur für deinen eigenen Account getestet wird, da noch keine weiteren Personen auf die Leapsome App zufgewiesen wurden. Sofern der Test erfolgreich war, kannst du SSO nun auch für den Rest des Teams einrichten.

Personen der App zuweisen

Öffne deine Leapsome App in Azure AD, und klicke auf den Reiter 'Users & Groups'. Dort kannst du alle Personen und Gruppen definieren, die sich in Leapsome mit SSO anmelden sollen, und sie der App zuweisen. Insbesondere wenn du ein andere Tool als Azure AD für die automatische Bereitstellung von Accounts in Leapsome verwendest, stelle bitte sicher, dass alle Personen dieselbe Email in Azure AD und Leapsome verwenden.  

Sobald die Personen der App zugewiesen wurden, können sie sich in Leapsome mit SSO über Azure AD anmelden.

Der SSO Login flow

Wenn SSO erfolgreich eingrichtet wurde, zeigt Leapsome beim Login einen 'Sign in with SSO' Button an, sobald die Emailadresse eingegeben wurde.

SSO_Screen_highlights.png

Sobald dies Person dann auf 'Sign in with Company SSO' klickt, wird sie zur Anmeldeseite eures Unternehmens via Azure AD weitergeleitet. 

Bitte beachte, dass SSO nur für Accounts funktioniert, die in Leapsome den Status 'eingeladen' oder 'aktiv' haben. Falls du beim SSO Setup nicht 'Erzwinge die Anmeldung per Single Sign-On für alle Nutzer' ausgewält hast, kann bei der ersten Registrierung über die Einladungs-Email nach wie vor ein Leapsome-Passwort vergeben werden. Der nächste Abschnitt beschreibt, wie du mit diesen zwei Limitationen umgehen kannst. 

Weitere Einstellungen

Anmeldung per SSO 'erzwingen'

Standardmäßig haben Personen auch bei eingerichtetem SSO immer die Möglichkeit, sich alternativ mittels Email und Leapsome-Passwort einzuloggen. Wenn du sicherstellen willst, dass sich alle Personen über den SSO-Flow bei Leapsome anmelden, kannst du SSO 'erzwingen'. Um das einzurichten, navigiere zu 'Admin-Einstellungen' > 'Integrationen' > 'Single Sign On (SSO)' und setze einen Haken bei 'Single Sign-On für alle Mitarbeitenden erzwingen'. Speichere deine Einstellung mit Klick auf 'Einstellungen speichern'. 

Dadurch ist ein Login mit Email und Leapsome-Passwort nicht mehr möglich. Stelle daher unbedingt sicher, dass SSO für alle Teammitglieder korrekt eingerichtet ist.

Wenn SSO erzwungen wird, sehen neu eingeladene Personen beim ersten Login keine Option, ein Passwort zu vergeben. 

Ohne Einladung per SSO in Leapsome anmelden

Standardmäßig können sich Personen erst bei Leapsome anmelden, wenn sie eine Einladung zu Leapsome erhalten haben - unabhängig davon ob ihr SSO eingerichtet habt oder nicht. Um den Workload auf eurer Seite insbesondere beim Onboarding neuer Mitarbeitenden gering zu halten, gibt es hier einige Möglichkeiten, die erste Anmeldung effizient abzuwickeln:

1. Automatisiere den Einladungsprozess mit einer HRIS Integration

Falls du ein HRIS benutzt, um Profile in Leapsome automatisch anzulegen, kannst du einstellen, dass jeder neu bereitgestellte Mitarbeitende auch direkt zu Leapsome eingeladen wird. Navigiere dafür zu Admin-Einstellungen > Integrationen und setze im Reiter eures HRIS einen Haken bei 'Automatisch Einladungen zu Leapsome an alle synchronisierten Mitarbeitenden senden'.

So können sich auch neue Teammitglieder ab Tag eins mit SSO anmelden, sofern ihr die Nutzung von SSO 'erzwingt'. 

2. Aktiviere just-in-time-provisioning mittels eures IDP

Manche IDPs, wie Azure AD,  bieten just-in-time provisioning an. Dadurch wird immer dann, wenn sich eine Person aus eurer Organisation bei Leapsome anmeldet, automatisch ein neues Profil für sie in Leapsome angelegt. Wenn JIT-Provisioning aktiviert ist, müsst ihr neue Mitarbeitende nicht erst einladen, um ihnen den Login mittels SSO zu ermöglichen. Bitte beachte, dass du JIT Provisioning nicht nutzen kannst, wenn du bereits eine HRIS Integration nutzt. 

3. Kontaktiere unseren Support

Wenn du das Verschicken von Einladungen komplett vermeiden willst, kann unser Support Team die Einladungs-Emails für euren Account ganz ausschalten. So kannst du einrichten, dass alle neuen Personen weiterhin automatisch eingeladen werden, jedoch ohne dass sie eine Email dazu erhalten. Dadurch kann sich jede Person dann direkt via SSO in Leapsome einloggen. Bitte beachte, dass dies nur möglich ist, wenn all eure Mitarbeitenden dieselbe Email-Domain nutzen. Falls du diese Option nutzen möchtest, kontaktiere unseren Support direkt über den grünen 'Hilfe'-Button in Leapsome. 

Häufig gestellte Fragen

Eine Person hat nicht die Option, sich über SSO einzuloggen. Woran kann das liegen?

Dieses Problem tritt oft auf, wenn eine Person innerhalb eures IDP nicht (korrekt) auf die Leapsome App zugewiesen wurde. Bitte stelle sicher, dass es in eurem IDP einen Prozess gibt, der dafür sorgt dass alle, insbesondere neue Mitarbeitende Zugriff zu Leapsome erhalten. In Azure AD ermöglichen dies beispielsweise Scoping Filters.

Bitte überprüfe ebenfalls, dass es einen Account für die betreffende Person in Leapsome gibt, welcher dieselbe Email-Adresse wie euer IDP nutzt und bereits zu Leapsome eingeladen wurde. Das kannst du im Bereich 'Mitarbeitende & Teams' in Leapsome überprüfen. 

Wie können wir auf Leapsome zugreifen, wenn wir SSO erzwingen und unser IDP eine Störung hat?

Melde dich in diesem Fall am Besten direkt bei deinem Customer Success Manager bzw. unserem Support Team.

Können wir für den Login in Leapsome 2-Faktor-Authentifizierung nutzen?

Ja, das ist grundsätzlich möglich. Die Konfiguration hierfür erfolgt auf Seiten eures IDP. 

Lässt sich die Option 'Sign in with Google' deaktivieren?

Das ist leider nicht möglich. Selbst wenn du SAML-basiertes SSO mit einem Provider deiner Wahl aufgesetzt hast, werden Mitarbeitende weiterhin die Möglichkeit haben, sich mittels des 'Sign in with Google'-Buttons (OAuth2) anzumelden.

Verwandte Beiträge

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.