Seit der Einführung der Unterstützung für Single Sign-on via Secure Authentication Markup Language (SAML) in Univention Corporate Server (UCS) kann ein Administrator am Benutzerobjekt hinterlegen, an welchen Anwendungen, im SAML Kontext Service Provider genannt, sich ein Benutzer via Single Sign-on anmelden darf. Für Administratoren in Organisationen mit vielen Benutzern kann diese Zuweisung aufwendig sein.
Seit dem Update auf UCS 4.4 erratum 611 im Mai dieses Jahres können Systemadministratoren in UCS den Single Sign-on für Anwendungen auch an ganze Gruppen vergeben. Dadurch wird die Verwaltung von Benutzerzugriffen für Organisationen vereinfacht, die viele Benutzer haben und Berechtigungen für diese in Gruppen abbilden.
Für die Einstellung der Zugriffsberechtigungen für Gruppen meldet sich der Administrator an dem UCS-Managementsystem an, geht auf das Modul „Gruppen“, wählt eine vorhandene Gruppe aus oder legt eine neue Gruppe an und fügt auf dem Reiter „Allgemein“ im Abschnitt „SAML Einstellungen“ den entsprechenden SAML Service Provider hinzu.
Die Anwendung muss vorher als SAML Service Provider konfiguriert sein. Bei manchen Apps aus dem Univention App Center, wie z. B. Nextcloud, Office 365 oder Rocket.Chat, die bereits eine SAML Service Provider Konfiguration mitbringen, ist dies bereits nach der Installation vorkonfiguriert vorhanden. Bei anderen können Sie das durch manuelles Hinzufügen eines SAML Services ergänzen.
Zwei Standards aber ein gemeinsames Single Sign-on: Integration von SAML und OpenID Connect
Mit der Integration von Kopano Konnect in den Single-Sign-on-Verbund von Univention Corporate Server steht eine weitere Option zur Verfügung, mit der Nutzern über ein einmaliges, initiales Login … mehr
Anschließend können alle Benutzer der ausgewählten Gruppe sich an dem betreffenden Service via Single Sign-on anmelden. So können Administratoren mit nur wenigen Klicks allen Benutzer den Zugang zum Beispiel zu Rocket.Chat via Single Sign-on aktivieren, indem der Rocket.Chat SAML Service Provider der Gruppe „Domain Users“ zugewiesen wird. Jeder neu angelegte Benutzer in UCS ist nun standardmäßig Mitglied der Gruppe „Domain Users“.
Wenn Sie Fragen oder Anmerkungen zu dem Thema haben, freuen wir uns über einen Kommentar von Ihnen zu diesem Blogartikel.