Single Sign-On konfigurieren

Prozedur

1. Navigieren Sie zu Administration → End User Management → Logon Methods.
2. Klicken Sie im Abschnitt Single Sign-On auf den Umschaltknopf, um SS zu aktivieren.
3. Klicken Sie auf Hinzufügen, um ein SSO-Profil zu erstellen.
4. Allgemeine Informationen für SSO konfigurieren.
   1. Geben Sie einen SSO-Profilnamen an.
   2. Geben Sie einen Bezeichner an, der an Ihrem Standort weltweit eindeutig ist.
      Die URL der End User Console wurde generiert.

      Wenn Sie den eindeutigen Bezeichner aufgrund eines Konflikts mit einem anderen Bezeichner ändern müssen, stellen Sie sicher, dass Sie ihn auch in Ihrer Identitätsanbieter-Konfiguration ändern.
5. Wählen Sie die Domänen aus, auf die das aktuelle Profil angewendet wird:
   • Meine Organisation: wendet dieses Profil auf alle bestehenden Domains und alle zukünftigen hinzugefügten Domains an.

     Hinweis Sie können nur ein Profil erstellen, das auf Meine Organisation angewendet wird.

   • Specified domains: wendet dieses Profil auf angegebene Domains an.
     Wählen Sie Domänen im Bereich Verfügbar aus und klicken Sie auf Hinzufügen >, um sie dem Bereich Ausgewählt hinzuzufügen.
6. Vervollständigen Sie die Identitätsanbieter-Konfiguration für SSO.
   1. Wählen Sie Ihren Identitätsanbieter in der Dropdown-Liste !!Identity provider!! aus.
   2. Geben Sie die Anmelde- und Abmelde-URLs für Ihren Identitätsanbieter an.

      Hinweis Verwenden Sie die Anmelde-URL, die aus den AD FS-, Microsoft Entra ID- oder Okta-Konfigurationen gesammelt wurde. Die Abmelde-URL meldet Sie ab und beendet auch die aktuelle Anmeldesitzung des Identitätsanbieters.

   3. (Nur für Okta) Klicken Sie auf Download Logoff Certificate, um die Zertifikatsdatei zu erhalten, die Sie auf Ihren Föderationsserver hochladen müssen.
   4. (Optional) Signaturvalidierung aktivieren.

      Hinweis Eine Signatur wird während des SSO vom Identitätsanbieter-Server zurückgegeben. Um einen gefälschten Anmeldeversuch durch Angreifer zu vermeiden, muss die Signatur mit der Zertifikatsdatei überprüft werden, die Sie von Ihrem Identitätsanbieter erhalten haben.

      1. Klicken Sie auf die Umschaltschaltfläche !!Signature validation!!.
      2. Suchen Sie die Zertifikatdatei, die Sie aus den AD FS-, Microsoft Entra ID- oder Okta-Konfigurationen heruntergeladen haben, und laden Sie sie zur Signaturvalidierung hoch.
   5. Geben Sie den Identitätsanspruchstyp basierend auf dem Anspruch an, den Sie für AD FS, Microsoft Entra ID oder Okta konfiguriert haben. Wenn Sie beispielsweise email als Anspruchsnamen verwenden, geben Sie email ein.
   6. (Optional) Aktivieren Sie die SSO-Verwaltung nach Gruppe.

      Hinweis Wenn Sie diese Funktion aktivieren, können sich nur Endbenutzer mit gültigen E-Mail-Adressen in der angegebenen Gruppe über SSO an der End User Console anmelden:

      1. Klicken Sie auf den Umschaltknopf Gruppen-Zulassungsliste.
      2. Geben Sie den Gruppenzugriffstyp basierend auf dem von Ihnen konfigurierten Gruppenzugriff für AD FS, Microsoft Entra ID oder Okta an. Wenn Sie beispielsweise euc_group als Gruppenattributnamen verwenden, geben Sie euc_group ein.
      3. Geben Sie Gruppenanspruchswerte basierend auf dem Gruppenanspruch an, den Sie für AD FS, Microsoft Entra ID oder Okta konfiguriert haben. Wenn Ihr Identitätsanbieter AD FS oder Okta ist, geben Sie Gruppennamen ein; wenn Ihr Identitätsanbieter Microsoft Entra ID ist, geben Sie Gruppen-IDs ein.
7. Klicken Sie auf Speichern, um das Profil zu speichern.
8. Klicken Sie auf Speichern, um die SSO-Einstellungen zu speichern.
   Sobald Sie die Konfiguration abgeschlossen haben, kann sich ein Endbenutzer mit der in Schritt 4 generierten End User Console-URL anmelden, um SSO vom Identitätsanbieter zur End User Console zu initiieren. Der in Schritt 6 angegebene Identitätsanspruchstyp und Gruppenanspruchstyp werden verwendet, um die Zuordnungsanspruchswerte von Ihrem Identitätsanbieter zu erhalten. In diesem Fall erhält Cloud Email Gateway Protection die E-Mail-Adresse und Benutzergruppe des Anmeldekontos, um die Identität des Endbenutzers zu überprüfen. Nach der Überprüfung wird der Endbenutzer erfolgreich bei der End User Console angemeldet.