Beiträge in diesem Abschnitt

SSO mit OneLogin

Leapsome Support
  • Aktualisiert
Folgen

Mit Hilfe von Single Sign-On (SSO) können sich Deine Mitarbeitenden mit ihren bereits vorhandenen Unternehmens-Identitäten anmelden und müssen keine separaten Login-Daten (Email und Passwort) für Leapsome erstellen. Sofern ihr OneLogin als Identity Provider (IDP) nutzt, lässt sich SSO in nur wenigen Schritten einrichten.

Aufsetzen der Integration

1. Richte die Leapsome App in OneLogin ein

  • Navigiere als OneLogin Admin zu 'Apps' > 'Add Apps'
    Screen_Shot_2019-01-24_at_10.50.44.png
  • Suche nach 'Leapsome' und klicke auf das unten gezeigte Ergebnis
    Screen_Shot_2019-01-24_at_10.53.12.png
  • Stelle ein, wie die App in eurem Directory angezeigt werden soll und klicke auf 'Save'Screen_Shot_2019-01-24_at_10.53.54.png
  • Gehe zu 'App' > 'Company Apps' und öffne die neu hinzugefügte 'Leapsome' App.
  • Gehe zum Reiter 'Configuration'. Dort wirst du gebeten, eure Leapsome Account ID anzugeben. Diese findest du in eurem Leapsome account unter 'Admin-Einstellungen' > 'Basis Einstellungen': 
  • Trage die Account ID in OneLogin ein und speichere deine EinstellungenScreen_Shot_2019-01-24_at_10.57.36.png

2. Kopiere benötigte Daten aus OneLogin

  • Navigiere in OneLogin zum SSO Reiter und suche dort unter 'View details' euer X.509 Certificate 
  • Kopiere das Zertifikat ohne die 'Begin Certificate' / 'End Certificate' Tags und stelle sicher, dass es keine Zeilenumbrüche gibtScreen_Shot_2019-01-24_at_11.06.53.png
  • Gehe zurück in den SSO tab in OneLogin und kopiere den SAML 2.0. Endpoint (HTTP)Screen_Shot_2019-01-24_at_11.07.33.png

3. Stelle das Setup in Leapsome fertig

  • Navigiere zu 'Einstellungen' > 'Integrationen' > 'Single Sign-On' in Leapsome
  • Füge das X.509 Zertifikat (unter 'Zertifikat') und den SAML 2.0 Endpoint (unter 'SSO Login URL') wie unten gezeigt ein.
  • Setze einen Haken bei 'Aktiviere SAML-basierendes Single Sign-On' und klicke auf 'Einstellungen speichern'

4. Weise Nutzer in OneLogin auf die Leapsome App zu

  • Weise zuletzt in OneLogin allen Nutzern, die Zugriff zu Leapsome haben sollen, die Leapsome App zu
  • Das war's! Die zugewiesenen Nutzer sollten sich nun mit ihren OneLogin credentials bei Leapsome anmelden können 

Teste das Setup

Du kannst das Setup direkt mit Deinem eigenen Profil testen. Sofern Du alles richtig aufgesetzt hast, solltest Du den Button 'Sign in with Company SSO' sehen, sobald Du Deine Email-Adresse in im Login-Screen von Leapsome eingetragen hast:

SSO_Screen_highlights.png

Mit Klick auf den Button 'Sign in with Company SSO' sollten die Nutzer dann auf die OneLogin Anmeldeseite weitergeleitet werden.

Bitte beachte, dass der SSO Login nur für bereits 'eingeladene' Personen möglich ist. Zusätzlich werden diese beim ersten Login auch weiterhin ein Leapsome-Passwort vergeben müssen, sofern der Login per SSO nicht 'erzwungen' wird. Der folgende Abschnitt zeigt, welche Optionen Du hast, um diese zwei Limitationen zu umgehen.

Weitere Einstellungen

Anmeldung per SSO 'erzwingen'

Standardmäßig haben Personen auch bei eingerichtetem SSO immer die Möglichkeit, sich alternativ mittels Email und Leapsome-Passwort einzuloggen. Wenn du sicherstellen willst, dass sich alle Personen über den SSO-Flow bei Leapsome anmelden, kannst du SSO 'erzwingen'. Um das einzurichten, navigiere zu 'Admin-Einstellungen' > 'Integrationen' > 'Single Sign On (SSO)' und setze einen Haken bei 'Single Sign-On für alle Mitarbeitenden erzwingen'. Speichere deine Einstellung mit Klick auf 'Einstellungen speichern'. 

Dadurch ist ein Login mit Email und Leapsome-Passwort nicht mehr möglich. Stelle daher unbedingt sicher, dass SSO für alle Teammitglieder korrekt eingerichtet ist.

Wenn SSO erzwungen wird, sehen neu eingeladene Personen beim ersten Login keine Option, ein Passwort zu vergeben. 

Ohne Einladung per SSO in Leapsome anmelden

Standardmäßig können sich Personen erst bei Leapsome anmelden, wenn sie eine Einladung zu Leapsome erhalten haben - unabhängig davon ob ihr SSO eingerichtet habt oder nicht. Um den Workload auf eurer Seite insbesondere beim Onboarding neuer Kolleg:innen gering zu halten, gibt es hier einige Möglichkeiten, die erste Anmeldung effizient abzuwickeln:

1. Automatisiere den Einladungsprozess mit einer HRIS Integration

Falls du ein HRIS benutzt, um Profile in Leapsome automatisch anzulegen, kannst du einstellen, dass jede:r neu bereitgestellte Nutzer:in auch direkt zu Leapsome eingeladen wird. Navigiere dafür zu Admin-Einstellungen > Integrationen und setze im Reiter eures HRIS einen Haken bei 'Automatisch Einladungen zu Leapsome an alle synchronisierten Nutzenden senden'.

So können sich auch neue Teammitglieder ab Tag eins mit SSO anmelden, sofern ihr die Nutzung von SSO 'erzwingt'. 

2. Aktiviere just-in-time-provisioning mittels eures IDP

Manche IDPs, wie Azure AD,  bieten just-in-time provisioning an. Dadurch wird immer dann, wenn sich eine Person aus eurer Organisation bei Leapsome anmeldet, automatisch ein neues Profil für sie in Leapsome angelegt. Wenn JIT-Provisioning aktiviert ist, müsst ihr eure Kolleg:innen nicht erst einladen, um ihnen den Login mittels SSO zu ermöglichen. Bitte beachte, dass du JIT Provisioning nicht nutzen kannst, wenn du bereits eine HRIS Integration nutzt. 

3. Kontaktiere unseren Support

Wenn du das Verschicken von Einladungen komplett vermeiden willst, kann unser Support Team die Einladungs-Emails für euren Account ganz ausschalten. So kannst du einrichten, dass alle neuen Personen weiterhin automatisch eingeladen werden, jedoch ohne dass sie eine Email dazu erhalten. Dadurch kann sich jede Person dann direkt via SSO in Leapsome einloggen. Bitte beachte, dass dies nur möglich ist, wenn all eure Kolleg:innen dieselbe Email-Domain nutzen. Falls du diese Option nutzen möchtest, kontaktiere unseren Support direkt über den grünen 'Hilfe'-Button in Leapsome. 

Häufig gestellte Fragen

Eine Person hat nicht die Option, sich über SSO einzuloggen. Woran kann das liegen?

Dieses Problem tritt oft auf, wenn eine Person innerhalb eures IDP nicht (korrekt) auf die Leapsome App zugewiesen wurde. Bitte stelle sicher, dass es in eurem IDP einen Prozess gibt, der dafür sorgt dass alle, insbesondere neue, Kolleg:innen Zugriff zu Leapsome erhalten. In Azure AD ermöglichen dies beispielsweise Scoping Filters.

Bitte überprüfe ebenfalls, dass es einen Account für die betreffende Person in Leapsome gibt, welcher dieselbe Email-Adresse wie euer IDP nutzt und bereits zu Leapsome eingeladen wurde. Das kannst du im Bereich 'Mitarbeitende & Teams' in Leapsome überprüfen. 

Wie können wir auf Leapsome zugreifen, wenn wir SSO erzwingen und unser IDP eine Störung hat?

Melde dich in diesem Fall am Besten direkt bei deinem Customer Success Manager bzw. unserem Support Team.

Können wir für den Login in Leapsome 2-Faktor-Authentifizierung nutzen?

Ja, das ist grundsätzlich möglich. Die Konfiguration hierfür erfolgt auf Seiten eures IDP. 

Lässt sich die Option 'Sign in with Google' deaktivieren?

Das ist leider nicht möglich. Selbst wenn du SAML-basiertes SSO mit einem Provider deiner Wahl aufgesetzt hast, werden Mitarbeitende weiterhin die Möglichkeit haben, sich mittels des 'Sign in with Google'-Buttons (OAuth2) anzumelden.

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.