Qualtrics Platform
Customer Journey Optimizer
XM Discover
Qualtrics Social Connect

Konfigurieren der SSO-Einstellungen der Organisation

Konfigurieren der SSO-Einstellungen der Organisation im Überblick

Als Administrator können Sie Ihre SAML- und OAuth-2.0-Single-Sign-On-Verbindungen (SSO-Verbindungen) erstellen und verwalten. Sie können neue Verbindungen hinzufügen, Zertifikate für vorhandene Verbindungen aktualisieren, Einstellungen wie etwa die Just-in-Time-Bereitstellung anpassen und vieles mehr. Diese Verbindungen können verwendet werden, um zu verwalten, wie sich Benutzer in Ihrer Organisation bei ihren Qualtrics-Konten anmelden und welche Umfrageauthentifizierungsoptionen verfügbar sind. So fangen Sie damit an:

Gehen Sie zur Admin-Seite.
Navigieren Sie zu Organisation Einstellungen.
Wählen Sie SSO.

Tipp: Wenn Sie SAML oder OAuth 2.0 SSO zum ersten Mal einrichten, haben Sie die Möglichkeit, über das Self-Service-Portal selbst zu implementieren, oder Sie können die Hilfe eines erfahrenen Beraters erwerben. Wenn Sie an der Zusammenarbeit mit einem Implementierungsberater interessiert sind, wenden Sie sich an Ihren Vertriebsbeauftragten.

Tipp: In diesem Fall fungiert Qualtrics als SP (Service-Provider), Sie müssen jedoch Ihren IdP (Identity-Provider) mit Ihrem IT-Team konfigurieren.

Hinzufügen einer Verbindung

Eine detaillierte Beschreibung aller Schritte und Einstellungen finden Sie unter Hinzufügen einer SSO-Verbindung für eine Organisation.

Verwalten von SSO-Verbindungen für die Organisationsanmeldung

In diesem Abschnitt wird erläutert, wie SSO-Verbindungen aktiviert und deaktiviert werden, um die Benutzeranmeldung des Unternehmens zu steuern.

Es wird eine Verbindung mit der Bezeichnung Qualtrics-Anmeldung für [Ihre Organisations-ID] angezeigt. Wenn Sie diese Verbindung deaktivieren, müssen sich alle Benutzer mit SSO anmelden und können sich nicht mehr mit ihrem Qualtrics-Benutzernamen und ihrem Passwort anmelden.

Tipp: Wenn Sie mit einem externen Berater arbeiten, der über keine SSO-Anmeldeinformationen in Ihrem Unternehmen verfügt, müssen Sie diese Option höchstwahrscheinlich aktivieren.

Warnung: Wenn Sie eine Verbindung deaktivieren, wird die Anmeldung für Ihre gesamte Benutzerbasis deaktiviert. Nachdem die SSO-Verbindung deaktiviert wurde, müssen sich die Benutzer mit einem separaten Qualtrics-Benutzernamen und ihrem Passwort anmelden. Bedenken Sie beim Aktivieren oder Deaktivieren von Verbindungen immer, wie sich dies auf Ihre Benutzerbasis auswirken wird.

Wenn Sie zum ersten Mal eine Verbindung hinzufügen, wird standardmäßig der Status “Deaktiviert” in der Spalte “Für Organisationsanmeldung verwenden” angezeigt. Die Aktivierung einer SSO-Verbindung für die Organisationsanmeldung gibt an, dass die SSO-Anmeldung jetzt mit Ihrer Lizenz für Ihre gesamte Benutzerbasis produktiv ist.

Warnung: Stellen Sie vor dem Aktivieren einer Verbindung sicher, dass Sie die Implementierung der Verbindung abgeschlossen haben und hat die Anmeldung getestet..

Tipp: Sie können bis zu 20 Verbindungen gleichzeitig hinzufügen und aktivieren.

Nachdem Sie die gewünschten Verbindungen aktiviert und deaktiviert haben, ist die Benutzerfreundlichkeit unter Ihrer Organisations-URL (https://OrganizationID.qualtrics.com) eines der folgenden Szenarios:

BENUTZERERFAHRUNG, WENN NUR DIE QUALTRIKANMELDUNG AKTIVIERT WURDE

Wenn die einzige Organisationsanmeldeverbindung, die aktiviert ist, „Qualtrics-Anmeldung für [Ihre Organisations-ID]“ ist, leitet Ihre Organisations-URL (https://OrganizationID.qualtrics.com) zu unserem standardmäßigen Qualtrics-Anmeldebildschirm weiter, und alle Benutzer authentifizieren sich mit ihrem Qualtrics-Benutzernamen und -Kennwort.

BENUTZERERFAHRUNG, WENN NUR EINE SSO-VERBINDUNG AKTIVIERT WURDE

Wenn die Verbindung „Qualtrics-Anmeldung für [Ihre Organisations-ID]“ deaktiviert ist und nur eine SSO-Verbindung für die Organisationsanmeldung aktiviert ist, wechselt der Benutzer zu seiner Organisations-URL und wird automatisch über Ihren SSO-Authentifizierungsablauf umgeleitet. Alle Benutzer müssen sich über SSO anmelden.

Tipp: Der Benutzer sieht Ihre SSO-Anmeldeseite, wenn er keine aktive SSO-Sitzung hat. Der Benutzer kann automatisch an der Plattform angemeldet werden, wenn er derzeit über eine aktive SSO-Sitzung verfügt.

BENUTZERERFAHRUNG, WENN MEHR ALS EINE SSO-VERBINDUNG AKTIVIERT WURDE

Wenn die Verbindung „Qualtrics-Anmeldung für [Ihre Organisations-ID]“ deaktiviert ist und mehr als eine SSO-Verbindung für die Organisationsanmeldung aktiviert ist, wechselt der Benutzer zu seiner Organisations-URL und sieht eine Liste aller aktivierten SSO-Verbindungen. Der Benutzer muss auswählen, bei welcher SSO-Verbindung er sich authentifizieren möchte.

BENUTZERERFAHRUNG, WENN EINE SSO-VERBINDUNG AKTIVIERT WURDE UND DIE QUALTRICS-ANMELDUNG AKTIVIERT WURDE

Wenn die Verbindung „Qualtrics-Anmeldung für [Ihre Organisations-ID]“ aktiviert ist und mehr als eine SSO-Verbindung für die Organisationsanmeldung aktiviert ist, haben Sie die Möglichkeit, den Benutzer zu einer Landing-Page mit allen verfügbaren Optionen umzuleiten. Wenn diese Option aktiviert ist, ruft der Benutzer seine Organisations-URL auf und sieht eine Liste aller aktivierten SSO-Verbindungen sowie die Qualtrics-Anmeldeoption. Der Benutzer muss auswählen, welche Authentifizierungsmethode er bevorzugt.

So aktivieren Sie diese Landingpage:

Suchen Sie die Verbindung mit dem Namen Qualtrics-Anmeldung für [Ihre Organisations-ID].
Wählen Sie Bearbeiten.
Wählen Sie Verbindung auf Organisations-URL aktivieren.
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Wenn Sie diese Option nicht auswählen, leitet Ihre Organisations-URL die Benutzer zu Ihrem SSO-Authentifizierungsfluss weiter. Benutzer, die sich ohne SSO anmelden möchten, können einen der folgenden Links verwenden:

Für FedRAMP-Benutzer: https://gov1.qualtrics.com
Für alle anderen Benutzer: https://qualtrics.com/login

Tipp: Wenn Sie eine Vanity-URL für Ihre Organisation eingerichtet haben, ersetzt die Vanity-URL Ihre Marken-URL.

Verwalten von SSO-Verbindungen für die Umfragenauthentifizierung

Wenn Sie zum ersten Mal eine Verbindung hinzufügen, wird der Status in der Spalte Für Umfragenauthentifizierung verwenden standardmäßig deaktiviert. Die Aktivierung einer SSO-Verbindung für einen Umfrageauthentifizierer gibt an, dass die SSO-Anmeldung als Option für Umfrageauthentifizierer verfügbar ist.

Tipp: Sie können bis zu 20 Verbindungen für Umfrageauthentifizierer gleichzeitig hinzufügen und aktivieren.

Warnung: Bevor Sie eine Verbindung aktivieren, stellen Sie sicher, dass Sie die Verbindung vollständig implementiert und die Anmeldung getestet haben.

Warnung: Wenn Sie eine SSO-Verbindung für Umfrageauthentifizierer deaktivieren, während diese SSO-Verbindung derzeit in einem Projekt verwendet wird, werden Umfrageteilnehmer zu einer Fehlerseite weitergeleitet.

Standardmäßige SAML-SSO-Verbindungen

Die Standard-SAML-Verbindung wird immer dann verwendet, wenn Qualtrics eine Anforderung erhält, die nicht angibt, welche bestimmte SAML-Verbindung verwendet werden soll. Dies ist besonders wichtig für IdP-initiierte Login-Anforderungen.

Standard-SAML-Verbindung für Organisationsanmeldung: Die standardmäßige Organisationsanmeldeverbindung wird im IDP-initiierten SAML-Fluss verwendet, wenn die SAML-Antwort vom Identity-Provider nicht das neue Relay-State-Format verwendet und das alte Format verwendet.
Standard-Authenticator-SAML-Verbindung: Dieser Standardwert ist erforderlich, um Umfragen zu unterstützen, die vor dem 1. Dezember 2021 mit SSO-Authentifizierern eingerichtet wurden. Umfragen, die vor dieser Aktualisierung angelegt wurden, werden mit der Standardauthentifizierungsverbindung verknüpft.

Verwalten bestehender Verbindungen

Im SSO-Teilbereich auf dem Organisationseinstellungen-Reiter finden Sie eine Zusammenfassung aller Verbindungen, die in Ihrer Lizenz eingerichtet wurden. Sie können neue Verbindungen hinzufügen, Verbindungen löschen oder deaktivieren, vorhandene Verbindungen bearbeiten und Verbindungen während der Einrichtung testen.

Aktivieren oder deaktivieren einer Verbindung

Unter Für Organisationsanmeldung verwenden können Sie die Verbindung zwischen deaktiviert und aktiviert wechseln. Weitere Informationen und Warnungen finden Sie unter Verwalten von SSO-Verbindungen für die Organisationsanmeldung.

Unter Für Umfragenauthentifizierung verwenden können Sie die Verbindung zwischen deaktiviert und aktiviert wechseln. Weitere Informationen und Warnungen finden Sie unter Verwalten von SSO-Verbindungen für die Umfragenauthentifizierung.

Bearbeiten, Testen und Löschen von Verbindungen

Wenn Sie auf die drei Punkte unter der Spalte Aktionen klicken, sehen Sie die Optionen zum Löschen, Bearbeiten oder Testen einer Verbindung.

Bearbeiten: Ändern Sie alle Einstellungen in der Verbindung. Diese Option ist besonders bei Zertifikatsrotationen nützlich.
Achtung: Wenn Sie eine aktivierte Verbindung bearbeiten, sollten Sie mit der Bearbeitung von Feldern vorsichtig umgehen, die die Anmeldungen für Ihre Benutzerbasis stören können.
Test: Testen Sie die Verbindung, um sicherzustellen, dass sie wie vorgesehen funktioniert. Weitere Informationen finden Sie im verlinkten Abschnitt.
Löschen: Durch Klicken auf „Löschen“ wird die Verbindung dauerhaft gelöscht. Nach dem Anklicken der Schaltfläche wird ein Modul mit einem Warnhinweis geöffnet. Sie müssen in diesem modalen Fenster auf Löschen klicken, um die Aktion zu bestätigen.
Warnung: Beachten Sie beim Löschen einer Verbindung, wie sich dies auf Ihre Benutzerbasis auswirkt. Sobald eine Verbindung gelöscht wurde, kann dies nicht mehr rückgängig gemacht werden.

Tipp: Sie können eine Verbindung erst löschen, wenn ihr Status in Deaktiviert geändert wurde. Löschen Sie Verbindungen erst, nachdem Sie sich vergewissert haben, dass sich die Änderung nicht auf Ihre Benutzer auswirken wird.

Rotierende IdP-Zertifikate

Zertifikate laufen in bestimmten Abständen ab. Stimmen Sie sich daher mit Ihrem IT-Team ab, um sicherzustellen, dass die für Qualtrics-Anmeldungen verwendeten Zertifikate aktualisiert werden. Gemeinsam mit Ihrem IT-Team können Sie ein neues Zertifikat hinzufügen, bevor das vorherige Zertifikat abläuft, und die Verbindung testen, um sicherzustellen, dass die Aktualisierung erfolgreich ist.

Tipp: Wenn Sie ein Verschlüsselungszertifikat haben, sollten Sie die im Abschnitt “Zertifikate” beschriebenen Schritte nicht befolgen, auch wenn Sie auch ein Signaturzertifikat haben. Stattdessen laden Sie eine vollständige Kopie Ihrer neuen IdP-Metadaten hoch und wählen erneut eine Bindung aus.

Wenn Sie nur über ein Signaturzertifikat verfügen, führen Sie die folgenden Schritte aus:

Navigieren Sie in der Administration zu Organisationseinstellungen.
Gehen Sie zu SSO.
Klicken Sie neben der SSO-Verbindung, für die Sie das Zertifikat drehen, auf die Dropdown-Liste Aktionen, und wählen Sie Bearbeiten.
Blättern Sie nach unten zum Abschnitt Zertifikate.
Klicken Sie auf Zertifikat hinzufügen.
Fügen Sie Ihr neues Zertifikat in das Feld Zertifikat ein.
Klicken Sie auf Hinzufügen.
Wählen Sie Signieren Sie Anforderung als Zertifikatstyp.

Tipp: Wenn Sie diese Option aktivieren, um sicherzustellen, dass die Anfrage von Qualtrics und nicht von jemandem, der die Nachricht abgefangen hat, stammt, unterzeichnen wir die an den Identity-Provider gesendete Anfrage. Dies ist immer aktiviert, wenn Sie eine HTTP-Post-Single-Sign-On-Service-Bindung ausgewählt haben.
Wählen Sie bei Bedarf Authentifizierung erzwingen.
Tipp: Wenn Sie diese Option aktivieren und Ihr Identity-Provider sie unterstützt, zwingt der Identity-Provider Benutzer zur Authentifizierung, auch wenn Benutzer bereits angemeldet sind.
Aktivieren Sie bei Bedarf die Option Verhinderung der Assertion-Wiedergabe aktivieren.
Tipp: Wenn Sie diese Option aktivieren, verwendet Qualtrics keine Assertion, die wir bereits gesehen haben. Dies ist eine Möglichkeit, SAML-Replay-Angriffe zu verhindern.
Blättern Sie zum Ende der Seite, und klicken Sie auf Anwenden, um Ihre Änderungen zu speichern.
Testen Sie die Verbindung, um sicherzustellen, dass das Zertifikat korrekt gedreht wurde.
Klicken Sie auf Bearbeiten.
Blättern Sie nach unten zum Abschnitt Zertifikate.
Klicken Sie auf das Papierkorbsymbol neben Ihrem alten Zertifikat, um es zu löschen.
Tipp: Wenn Ihr Test früher fehlgeschlagen ist, löschen Sie stattdessen Ihr neu hinzugefügtes Zertifikat, und überprüfen Sie es erneut, bevor Sie die oben genannten Schritte wiederholen, um es erneut hinzuzufügen.
Wenn Sie fertig sind, klicken Sie auf Anwenden.

Testen einer Verbindung

Nach dem Einrichten können Sie Ihre SSO-Verbindung testen, um sicherzustellen, dass alles wie gewünscht funktioniert. Klicken Sie auf Verbindung testen, um zu starten.

Ein neuer Reiter wird in Ihrem Browser geöffnet, und Sie werden zu Ihrem IdP weitergeleitet, um sich zu authentifizieren. Nach erfolgreicher Anmeldung werden Sie zu einer Seite weitergeleitet, auf der die Attribute und Werte angezeigt werden, die wir erfolgreich von Ihrem IdP in der SSO-Austausch erfasst haben.

Falls die Anmeldung fehlschlägt, wird eine Fehlermeldung angezeigt. Im Abschnitt Fehlerbehebung finden Sie einige grundlegende Schritte.

Tipp: Sie können sowohl aktivierte als auch deaktivierte Verbindungen testen. Wir empfehlen, jede Verbindung zu testen, bevor Sie sie aktivieren.

Fehlerbehebung

Falls beim Testen einer Verbindung eine Fehlermeldung angezeigt wird, klicken Sie auf den Code oder sehen Sie sich die folgende Liste an, um mehr über den Fehler und mögliche Ursachen herauszufinden.

Wenn das Problem nicht behoben werden kann, melden Sie sich an Ihrem Customer Success Hub an, um Unterstützung zu erhalten. Unser SSO-Team benötigt den Fehlercode.

Allgemeine SSO-Fehlercodes

SSO_UNKNOWN_ERROR: Es ist ein unbekannter Fehler aufgetreten. Versuchen Sie erneut, sich anzumelden, oder wenden Sie sich an den Support und geben Sie den generierten Fehlercode an.
SSO_SPS_CONNECTION_ERROR: Es ist ein Fehler aufgetreten. Löschen Sie Ihre Cookies und Ihren Cache, und versuchen Sie erneut, sich anzumelden

SAML-Fehler

SSO_MISSING_USERNAME: Ein Wert für den Benutzernamen oder das E-Mail-Attribut wurde in der SSO-Antwort von Ihrem Server nicht gefunden. Da dieses Attribut erforderlich ist, stellen Sie sicher, dass der Abschnitt Attributanweisung Ihrer SAML-Antwort ein Attribut enthält, das mit dem Feld Benutzername in Ihren SSO-Verbindungseinstellungen übereinstimmt.
Tipp: Dies kann beispielsweise passieren, weil der Benutzer, der sich anmelden möchte, keine E-Mail-Adresse hat, die mit den gültigen E-Mail-Domänen unter Benutzerbereitstellungsoptionen übereinstimmt.
SSO_SAML_MISSING_SSO_BINDING: Eine Single-Sign-On-Binding-URL wurde in Ihren SAML-Einstellungen nicht gefunden. Dieser Wert ist obligatorisch für vom Dienstleister ausgehende Anmeldungen. Überprüfen Sie Ihre SSO-Verbindungseinstellungen und versuchen Sie es erneut.
SSO_SAML_INVALID_DECRYPTION_CERT: Beim Entschlüsseln der SAML-Antwort ist ein Fehler aufgetreten. Überprüfen Sie, ob das Verschlüsselungszertifikat in Ihrem Identitätsanbieter mit dem Verschlüsselungszertifikat in der Dienstanbietermetadatendatei übereinstimmt, die für Ihre Verbindung generiert wurde.
SSO_SAML_INVALID_AUDIENCE_RESTRICTION: In der SAML-Antwort ist ein Fehler in der Zielgruppeneinschränkung aufgetreten. Überprüfen Sie, ob in Ihrem Identitätsanbieter der richtige Wert konfiguriert ist. Dieser Wert muss mit dem Assertion-Konsumierungsservice-Ort in der Dienstanbietermetadatendatei übereinstimmen, die für Ihre SSO-Verbindung generiert wurde.
SSO_SAML_INVALID_RECIPIENT: In der SAML-Antwort ist ein Fehler in der Empfänger-URL aufgetreten. Überprüfen Sie, ob in Ihrem Identitätsanbieter der richtige Wert konfiguriert ist. Dieser Wert muss mit dem Assertion-Konsumierungsservice-Ort in der Dienstanbietermetadatendatei übereinstimmen, die für Ihre SSO-Verbindung generiert wurde.
SSO_SAML_VALIDATION_ERROR: Beim Validieren der SAML-Antwort ist ein Fehler aufgetreten. Überprüfen Sie die Einstellungen in Ihrem Identitätsanbieter und in Ihrer Qualtrics SSO-Verbindungskonfiguration, und versuchen Sie es erneut.

OAuth-2.0-Fehler

Informationen zur Bedeutung von Zusatzbegriffen finden Sie unter Herstellen einer OAuth-2.0-Verbindung.

SSO_OAUTH_INVALID_ID_TOKEN: Beim Validieren des ID-Tokens ist ein Fehler aufgetreten. Überprüfen Sie den Endpunkt des öffentlichen Schlüssels, den Token-Aussteller und die Algorithmen, die zum Signieren des ID-Tokens verwendet werden, und versuchen Sie es erneut.
SSO_OAUTH_INVALID_OR_MISSING_EMAIL_DOMAIN: Der Benutzer, der versucht sich anzumelden, hat keine E-Mail-Adresse, die mit den gültigen E-Mail-Domänen übereinstimmt. Überprüfen Sie das Feld Gültige E-Mail-Domänen unter Benutzerbereitstellungsoptionen, und versuchen Sie es erneut.
SSO_OAUTH_USER_INFO_ERROR: Fehler beim Abrufen der Benutzerinformationen mit Token. Überprüfen Sie die Felder Benutzerinformationsendpunkt und Authentifizierter Anfragetypbindungstyp, und versuchen Sie es erneut.
SSO_OAUTH_ACCESS_TOKEN_ERROR: Fehler beim Abrufen des Zugriffstokens. Überprüfen Sie die Felder Geheimer Client-Schlüssel, Tokenendpunkt und Tokenendpunkt-Berechtigungsmethoden, und versuchen Sie es erneut.
SSO_OAUTH_AUTHORIZATION_URI_ERROR: Generieren der OAuth-Client-Anforderung fehlgeschlagen. Überprüfen Sie die Felder Client-ID, Berechtigungsendpunkt und Umfang, und versuchen Sie es erneut.

Viele Seiten dieses Portals wurden mithilfe maschineller Übersetzung aus dem Englischen übersetzt. Obwohl wir bei Qualtrics die bestmögliche maschinelle Übersetzung ausgewählt haben, um ein möglichst gutes Ergebnis zu bieten, ist maschinelle Übersetzung nie perfekt. Der englische Originaltext gilt als offizielle Version. Abweichungen zwischen dem englischen Originaltext und den maschinellen Übersetzungen sind nicht rechtlich bindend.