SSO-technische Anforderungen
Übersicht der technischen Anforderungen
Mit Single Sign-On (SSO) kann ein Dritter einen Benutzer authentifizieren, bevor er Zugriff auf das Qualtrics-System gewährt. Qualtrics unterstützt vier Arten der SSO-Authentifizierung: Google OAuth 2.0, Central Authentication Service (CAS), Lightweight Directory Access Protocol (LDAP) und Security Assertion Markup Language (SAML). Für jeden Typ muss der Drittanbieter einen bestimmten Servertyp haben. Die CAS-SSO-Authentifizierung basiert beispielsweise auf dem Drittanbieter, der über einen CAS-Server verfügt.
Diese Seite deckt die technischen Voraussetzungen ab, die Sie erfüllen müssen. Diese Einstellungen müssen mit Ihrem IT-Team konfiguriert und dann dem SSO-Supportteam von Qualtrics mitgeteilt werden.
Google OAuth 2.0
Google OAuth 2.0 ist ein Autorisierungs-Framework, das verwendet werden kann, um Benutzer bei der Qualtrics-Plattform zu authentifizieren. Um Google OAuth 2.0 für die Authentifizierung von Drittanbietern zu konfigurieren, müssen Benutzer, die auf die Plattform zugreifen, über ein Google-Konto verfügen.
Die folgenden Konfigurationsparameter müssen angegeben werden:
- Gültige E-Mail-Domänen
- Bestimmte E-Mail-Domänen sind erforderlich, um die E-Mail-Adressen von Benutzern bei jedem Anmeldeversuch zu authentifizieren.
Qualtrics erhält bei der Authentifizierung gegen Google OAuth 2.0 nur die E-Mail, die mit den Google-Konten der Benutzer verknüpft ist. Die E-Mail-Adresse wird verwendet, um die Felder Qualtrics-Benutzername, Vorname, Nachname und E-Mail-Adresse auszufüllen.
Sobald die gewünschten gültigen E-Mail-Domänen bereitgestellt wurden, kann Qualtrics eine Google-OAuth-2.0-Integration mit dem Drittanbieter einrichten.
Lightweight Directory Access Protocol (LDAP)
Lightweight Directory Access Protocol (LDAP) ist ein Verzeichnisdienst, gegen den sich ein Dritter authentifizieren kann. Qualtrics kann so eingerichtet werden, dass es sich automatisch bei einem LDAP-Server authentifiziert, wenn ein Benutzer versucht, sich an der Qualtrics-Plattform anzumelden. Um eine LDAP-Integration einzurichten, wird davon ausgegangen, dass der Drittanbieter über einen funktionierenden LDAPv3-Server verfügt.
Die folgenden Konfigurationsparameter müssen angegeben werden:
- LDAP-Server-Hostname: IP-Adresse oder Name des Servers.
- LDAP-Serverport: Port Qualtrics verwendet, um mit dem Server zu kommunizieren.
- Base Distinguished Name (DN): z.B.:
o=Organisation
- Distinguished Name binden: Suchbasierter Bind-DN-Benutzer oder Bind-DN-Benutzer. Dies ist nicht erforderlich, wenn der LDAP-Server nicht authentifizierte Suchen zulässt.
- Kennwort binden: Dies ist nicht erforderlich, wenn der LDAP-Server nicht authentifizierte Suchen zulässt.
- Authentifizierungsfilterparameter: z.B.:
uid=%Benutzername%
- Redirect-URL für Abmeldung: Qualtrics benötigt eine Redirect-URL für die Abmeldung, um die Anmeldesitzungen der Benutzer bei der Abmeldung zu löschen. Wenn keine Umleitungs-URL für die Abmeldung angegeben wird, kann Qualtrics Benutzer an https://qualtrics.com oder eine andere URL Ihrer Wahl umleiten. Die Anmeldesitzung der Benutzer wird jedoch nicht gelöscht, und die Benutzer können sich sofort wieder anmelden, indem sie auf die Schaltfläche “Zurück” klicken oder zur Anmeldeseite zurückkehren.
- LDAP-Attribute
- Erforderlich:
- Attribut des E-Mail-Adressfelds (z.B. E-Mail)
Tipp: Dieses Attribut muss Werte im Format einer E-Mail-Adresse enthalten. Beispiel: value@email.com.
- Attribut des E-Mail-Adressfelds (z.B. E-Mail)
- Optional:
- Attribut Feld Vorname (z.B. firstname)
- Attribut Feld Nachname (z.B. sn)
- Attribut für Benutzertypzuordnung
- Attribut für Spartenzuordnung
- Gruppenzuordnungsattribut
- CX-Dashboards-Metadatenattribut(e)
- Attribute der automatischen Rollenregistrierung für CX-Dashboards
- Erforderlich:
Sobald die oben genannten Informationen bereitgestellt wurden, kann Qualtrics die Einrichtung einer LDAP-Integration mit dem Drittanbieter vereinbaren.
Zentraler Authentifizierungsservice (CAS)
Der Central Authentication Service (CAS) stellt einen Enterprise-Single-Sign-On-Service bereit und wird vom JA-SIG CAS unterstützt. Weitere Informationen zu CAS finden Sie unter https://www.apereo.org/projects/cas. Das Qualtrics-System kann als CAS-Client fungieren, sodass sich der Benutzer über CAS authentifizieren und sich am Qualtrics-System anmelden kann. Um CAS SSO einzurichten, wird davon ausgegangen, dass der Drittanbieter über einen funktionierenden CAS-Server verfügt, der das CAS-2.0-Protokoll oder höher verwendet.
Die folgenden Konfigurationsparameter müssen angegeben werden:
- CAS-Server-Hostname: Name des Servers.
- CAS-Server-Port: Port Qualtrics verwendet, um mit dem Server zu kommunizieren.
- URI zum CAS-System auf dem Host
- Redirect-URL für Abmeldung: Qualtrics benötigt eine Redirect-URL für die Abmeldung, um die Anmeldesitzungen der Benutzer bei der Abmeldung zu löschen. Wenn keine Umleitungs-URL für die Abmeldung angegeben wird, kann Qualtrics Benutzer zu https://qualtrics.com oder einer anderen URL Ihrer Wahl umleiten. Die Anmeldesitzung der Benutzer wird jedoch nicht gelöscht, und die Benutzer können sich sofort wieder anmelden, indem sie auf die Drucktaste “Zurück” klicken oder wieder zur Anmeldeseite wechseln.
Die folgenden Parameter variieren je nachdem, ob Sie eine CAS-Version verwenden, die SAML 1.1 unterstützt.
- Wenn SAML 1.1 nicht unterstützt wird: Der CAS-Benutzername wird verwendet, um die Felder für den Qualtrics-Benutzernamen, die E-Mail-Adresse, den Vornamen und den Nachnamen auszufüllen.
- Wenn SAML 1.1 unterstützt wird: Die folgenden Konfigurationsparameter müssen ebenfalls angegeben werden:
- Erforderlich:
- Attribut des E-Mail-Adressfelds (z.B. E-Mail)
Tipp: Dieses Attribut muss Werte im Format einer E-Mail-Adresse enthalten. Beispiel: value@email.com.
- Attribut des E-Mail-Adressfelds (z.B. E-Mail)
- Optional:
- Attribut Feld Vorname (z.B. firstname)
- Attribut Feld Nachname (z.B. sn)
- Attribut für Benutzertypzuordnung
- Attribut für Spartenzuordnung
- Gruppenzuordnungsattribut
- CX-Dashboards-Metadatenattribut(e)
- Attribute der automatischen Rollenregistrierung für CX-Dashboards
- Erforderlich:
Sobald die oben genannten Informationen bereitgestellt wurden, kann Qualtrics die Einrichtung der CAS-Integration mit dem Drittanbieter vereinbaren.
Security Assertion Markup Language (SAML)
Security Assertion Markup Language (SAML) ist ein XML-basierter Standard für den Austausch von Authentifizierungs- und Berechtigungsdaten zwischen Sicherheitsdomänen oder einem Identity-Provider (einem Produzenten von Assertions) und einem Service-Provider (einem Consumer von Assertions). Das Qualtrics-System kann so eingerichtet werden, dass es sich automatisch über einen Drittanbieter-Identity-Provider (IdP) mit SAML authentifiziert, wenn sich ein Benutzer am Qualtrics-System anmeldet. Um eine SAML-Integration einzurichten, wird davon ausgegangen, dass der Drittanbieter über eine funktionierende SAML-2.0- oder Shibbolah-2.0-Implementierung verfügt und vom Service-Provider (SP) initiierte Anmeldungen unterstützen kann.
Qualtrics unterstützt sowohl IdP- als auch SP-initiierte Workflows für SAML-Anmeldungen. Die häufigere von beiden ist ein von SP initiierter Austausch, bei dem Benutzer den Ablauf unter https://brandID.datacenter.qualtrics.com, oder die Vanity-URL ihrer Organisation. Der IdP-initiierte Austausch wird in erster Linie verwendet, wenn sich Benutzer in einem internen Netzwerk authentifizieren, wobei Benutzer den Ablauf in einem internen Anwendungsportal starten.
Anschließend müssen die folgenden Konfigurationsparameter bereitgestellt werden:
- Identity-Provider-Metadaten (IdP-Metadaten) (im XML-Format als Link oder Anlage)
- Erforderliche Tags:
- EntityDescriptor
- KeyDescriptor
- SingleSignOnService
- Es werden sowohl HTTP-Post- als auch HTTP-Redirect-Bindungen innerhalb des SingleSignOnService unterstützt. HTTP Post muss jedoch verwendet werden, wenn unser AuthnRequest signiert werden muss.
- SingleLogoutService
- Dieses Feld wird verwendet, um Benutzer auf eine URL umzuleiten, die die Anmeldesitzungen der Benutzer bei der Abmeldung löscht. Wenn keine SingleLogoutService-URL angegeben ist, kann Qualtrics Benutzer zu https://qualtrics.com oder einer anderen URL Ihrer Wahl umleiten. Die Anmeldesitzung der Benutzer wird jedoch nicht gelöscht, und die Benutzer können sich sofort wieder anmelden, indem sie auf die Drucktaste “Zurück” klicken oder wieder zur Anmeldeseite wechseln.
- Erforderliche Tags:
- SAML-Attribute
- Erforderlich:
- Feldattribut Benutzername (d.h. samAccountName)
- Das Attribut muss eindeutige, unveränderliche und nicht vertrauliche Werte enthalten.
- Attribut des E-Mail-Adressfelds (z.B. E-Mail)
Tipp: Dieses Attribut muss Werte im Format einer E-Mail-Adresse enthalten. Beispiel: value@email.com.
- Feldattribut Benutzername (d.h. samAccountName)
- Optional:
-
- Attribut Feld Vorname (z.B. firstname)
- Attribut Feld Nachname (z.B. sn)
- Attribut für Benutzertypzuordnung
- Attribut für Spartenzuordnung
- Gruppenzuordnungsattribut
- CX-Dashboards-Metadatenattribut(e)
-
- Erforderlich:
Sobald die oben genannten Informationen bereitgestellt wurden, kann Qualtrics eine Shibboleth/SAML-Integration mit dem Drittanbieter einrichten.
SAML-Antwort abrufen und entschlüsseln
Nach erfolgreicher SAML-Authentifizierung wird vom Identity-Provider eine SAML-Antwort an den Service-Provider gesendet. Die SAML-Antwort enthält alle vom Identity-Provider übergebenen Informationen wie Attribute, Zertifikate, Bindungen usw. Diese Informationen sind nützlich, wenn Probleme mit der Berechtigung oder während des Anmeldeprozesses behoben werden.
Es stehen viele Werkzeuge zur Verfügung, um eine SAML-Antwort zu erhalten. Nachfolgend finden Sie eine Methode, die in den meisten Browsern verfügbar sein sollte, aber Sie können jede Methode verwenden.
- Öffnen Sie eine neue Registerkarte in Ihrem Browser.
- Öffnen Sie die Entwicklertools.
Tipp: Diese können sich je nach verwendetem Browser an unterschiedlichen Orten befinden. Die Screenshots auf dieser Seite verweisen auf das optische Erscheinungsbild eines Chrome-Browsers.
- Wählen Sie die Registerkarte Netzwerk.
- Wählen Sie Protokoll beibehalten.
- Geben Sie die Anmelde-URL auf dieser Browserregisterkarte ein, und melden Sie sich über SSO an.
- Unter Name möchten Sie das Element mit “default-sp” auswählen.
- Unter Header sehen Sie unten unter Form Headers einen Block von Zeichen mit der Bezeichnung SAML response.
Tipp: Wenn unser Supportteam eine SAML-Antwort angefordert hat, können Sie bei diesem Schritt anhalten.
- Die SAML-Antwort ist derzeit Base64-kodiert. Um die SAML-Antwort in ein lesbares Format zu dekodieren, können Sie einen beliebigen Base64-Decoder verwenden, der online gefunden wird.
Tipp: Sehen Sie sich diese Tools an, um base64 zu kodieren und base64 zu dekodieren.
Lesen einer SAML-Antwort
Eine SAML-Antwort enthält einige wichtige Informationen, die Ihnen bei der Fehlerbehebung helfen können.
- Destination: Entspricht der Service-Provider-Assertion-Consumer-Service-URL und befindet sich in der Regel ganz oben in der SAML-Antwort.
- Aussteller: Entspricht der Identity-Provider-Entitäts-ID und befindet sich in der Regel ganz oben in der SAML-Antwort.
- X509Certificate: Entspricht dem Signaturzertifikat des Identity-Providers und befindet sich in der Regel mitten in der SAML-Antwort.
- Zielgruppe: Entspricht der Service-Provider-Entitäts-ID und befindet sich in der Regel mitten in der SAML-Antwort.
- Attributanweisung: Enthält alle Attributnamen und -werte, die vom Identity-Provider gesendet werden, und befindet sich in der Regel unten in der SAML-Antwort.