Alle Artikel

SAML SSO: Implementierungsleitfaden

Tabelle 1. Verfügbarkeit — Legacy Tarife


Überblick

Account-Inhaber und Administratoren mit der Berechtigung Erweiterte Sicherheitseinstellungen konfigurieren können SSO für das Konto aktivieren.

Enterprise-Nutzer können mit Unternehmenslegitimationen auf Wrike zugreifen, wenn SAML-basiertes SSO (SSO/SAML-Integration) für ihren Account aktiviert ist. Single-Sign-On (SSO) ist der allgemeine Begriff für die verschiedenen Techniken, die Nutzern den Zugriff auf mehrere Anwendungen von einem einzigen Autorisierungspunkt aus ermöglichen, der von einem Identitätsanbieter (IDP) verwaltet wird. Security Assertion Markup Language (SAML 2.0) ist ein führender Industriestandard für den Austausch von Authentifizierungs- und Autorisierungsdaten, den Wrike als Service Provider (SP) unterstützt. Während der Autorisierung werden keine tatsächlichen Passwörter an oder von Wrike übertragen. Stattdessen erhält Wrike eine SAML-Bestätigung der Benutzeridentität, die für eine begrenzte Zeit gültig und digital signiert ist.

Tipp

Es ist möglich, verschlüsselte SAML SSO-Assertions zu aktivieren, sofern der IDP dies zulässt. Wenden Sie sich an unser Support-Team, wenn diese Option bei der Konfiguration von SAML SSO aktiviert werden soll.

Weitere Informationen darüber, wie SSO nach der Aktivierung funktioniert, finden Sie auf unserer Seite: SAML SSO: Benutzerleitfaden.

Single-Sign-On – die Vorteile

  • Skalierbare Nutzerverwaltung für große Unternehmen. Mit Just-in-Time-Nutzerbereitstellung können Sie Zeit sparen, die Sie normalerweise für die Einrichtung Ihres Enterprise Accounts und die Verwaltungsmethoden aufwenden. Wrike kann jedes Mal ein Nutzerprofil in Ihrem Account erstellen, wenn sich ein neuer Nutzer aus Ihrem Verzeichnis über SSO bei Wrike anmeldet – zusätzlichen Einladungen sind nicht erforderlich. Mitarbeiter, die aus Ihrem Unternehmensverzeichnis entfernt werden, verlieren automatisch den Zugriff auf das Wrike-Abonnement des Unternehmens, aber ihre Aufgaben und historischen Aktivitätsaufzeichnungen bleiben intakt.

  • Einheitliches Format für Benutzernamen. Die Benutzeridentität wird von einer zentralen Stelle aus verwaltet. Das bedeutet, dass die Benutzernamen in Wrike mit den Namen in Ihrem Verzeichnis übereinstimmen.

  • Einhaltung der internen Sicherheitsrichtlinien. Ihre IT-Administratoren erhalten mehr Kontrolle über die Authentifizierung. Nutzer können nicht eigenständig ihre Namen oder E-Mail-Adressen ändern. Alle Sicherheitsrichtlinien, die Sie intern eingeführt haben, gelten auch für Wrike.

  • Weniger Passwortmüdigkeit für Nutzer. Sobald sich jemand im Unternehmensnetzwerk anmeldet, kann er Wrike öffnen, ohne einen weiteren Satz von Anmeldedaten eingeben zu müssen.

  • Der einfache Zugriff, den SSO bietet, ist ein Treiber für die nahtlose Akzeptanz von Wrike. Sie können auch die Anmeldeaktivitäten überwachen und die gesammelten SSO-Metriken verwenden, um die Akzeptanz von Wrike zu verfolgen.

Single-Sign-On – die Einschränkungen

Sobald die SSO/SAML-Integration aktiviert ist, können die in SSO integrierten Nutzer nicht mehr:

  • Ihre Namen in Wrike bearbeiten. Vor- und Nachnamen werden von Ihrem Identitätsanbieter vergeben.

  • Änderungen an ihrer E-Mail-Adresse in ihrem Wrike-Profil vornehmen. Auch keine zusätzlichen Adressen hinzufügen. Ein Wrike-Administrator kann das jedoch für sie tun vorausgesetzt, dass ein Nutzer die neue Adresse bestätigen kann. Dazu muss der Nutzer mit der ursprünglichen E-Mail-Adresse bei Wrike angemeldet sein und Zugang zur ursprünglichen E-Mail-Inbox haben, um den Bestätigungslink anzuklicken. In anderen Fällen müssen sich Administratoren weiterhin an den Support wenden, um die E-Mails der Nutzer zu ändern. E-Mails von Account-Inhabern können nur über eine Kontaktaufnahme mit dem Support geändert werden.

  • Die zweistufige Verifikation über Wrike aktivieren. Wenn Sie Ihren Account mit dieser Sicherheitsfunktion schützen möchten, muss der Account mit Ihrem Identitätsanbieter konfiguriert werden.

  • Sich bei Wrike mit einem Wrike-Passwort anmelden. Wenn Nutzer versuchen, über ihren Browser auf Wrike zuzugreifen, werden sie in der Regel auf die Anmeldeseite weitergeleitet, die von Ihrem Identitätsanbieter verwaltet wird. Einige integrierte Tools haben keine native Unterstützung für SSO (z. B. das Backup-Tool und ältere API-v2-Apps). SSO-Nutzer müssen Einmalpasswörter generieren, um diese Tools zu autorisieren.

Den Umfang von Single-Sign-On entscheiden

Wie Sie Ihr SSO einrichten, ist davon abhängig, wie Sie Wrike nutzen (oder nutzen wollen):

  • Der optionale Modus: Dies bedeutet, dass sich jeder im Account per Passwort oder IDP-basiertem Login anmelden kann. Diese Option wird standardmäßig eingerichtet und eignet sich, die neue SSO-Integration zu testen. Wir empfehlen, mit dieser Option zu beginnen, um sicherzustellen, dass alles korrekt funktioniert, bevor SSO für den gesamten Account durchgesetzt wird.

    Hinweis

    Im optionalen Modus führt die Seite login.wrike.com/login den Nutzer durch die normale Anmeldung, als ob SAML SSO nicht für den Account eingerichtet wäre.

    Um den SAML SSO Fluss zu durchlaufen, benutzen Sie die Seite login.wrike.com/sso.

  • Wenn Wrike nur von Mitarbeitern des Unternehmens genutzt wird: SSO kann für alle Nutzer des Accounts aktiviert werden.

  • Wenn Wrike sowohl von Mitarbeitern des Unternehmens als auch von Nicht-Mitarbeitern genutzt wird: SSO kann für Nutzer auf der Grundlage ihrer E-Mail-Domäne aktiviert werden.

    Hinweis

    In diesem Fall müssen Sie im Abschnitt Account Management E-Mail-Domänen auf der Registerkarte Sicherheit hinzufügen und genehmigen, bevor Sie SAML SSO aktivieren. E-Mail-Domänen müssen zum Unternehmen gehören, um genehmigt zu werden.

    Nutzer mit E-Mails mit genehmigten E-Mail-Domänen können sich über SSO bei Wrike anmelden, und Nutzer mit E-Mails ohne genehmigte E-Mail-Domänen melden sich über einen Wrike-Benutzernamen und ein Passwort an. Die 2-Schritt-Verifikation kann aktiviert werden, um eine sicherere Anmeldeoption für Nutzer ohne genehmigte Domains zu bieten.

    Wenn Sie zusätzliche zugelassene Domains hinzufügen möchten, nachdem SSO aktiviert wurde, muss ein Administrator denselben oben genannten Prozess befolgen.

    In den meisten Fällen erfordert der Genehmigungsprozess die Hilfe Ihres System-Ops-Teams, da die DNS-Einträge der Domänen aktualisiert werden müssen. Wir empfehlen, zugelassene Domänen vor der Aktivierung von SAML hinzuzufügen, damit sie sofort angewendet werden, wenn SAML aktiviert ist.

Voraussetzungen: Bevor Sie Single-Sign-On aktivieren

Bevor Sie SSO aktivieren, ist es wichtig, folgende Punkte zu verifizieren:

  • Die E-Mail-Adresse, die mit dem Wrike-Account eines jeden Nutzers verbunden ist, stimmt mit der E-Mail-Adresse im Unternehmensverzeichnis überein.

  • SSO ist noch nicht für den Account aktiviert. Um das zu prüfen:

    • Klicken Sie auf Ihr Profilbild.

    • Wählen Sie Einstellungen aus der Dropdown-Liste.

    • Klicken Sie im linken Panel auf Sicherheit.

    • Scrollen Sie auf der Seite Sicherheit zum Abschnitt SAML SSO.

    • Prüfen Sie, ob der Tag Deaktiviert in der Nähe des SAML-SSO Headers angezeigt wird.

Ferner muss die Kompatibilität überprüft werden:

  • Prüfen Sie, dass Ihr Identitäts- oder SSO-Anbieter die Verbundauthentifizierung mit SAML 2.0 unterstützt. Die Liste der kompatiblen SSO-Lösungen umfasst, ist aber nicht beschränkt auf: Okta, OneLogin, PingFederate, Microsoft AD FS und Google Apps identity service. Wenn Sie Identitätsverwaltungsdienste von Okta verwenden, können Sie Wrike zu Ihrer Anwendungsliste hinzufügen, indem Sie diese Anweisungen befolgen.

  • Um ein benutzerdefiniertes SAML-basiertes SSO für Ihren Account einzurichten, beachten Sie bitte unsere Metadaten-Datei für Standardparameter und Optionen, die von Wrike verwendet werden. Die folgenden Nutzerattribute sollten enthalten sein: Vorname; Nachname; NameID (muss eine E-Mail-Adresse sein).

Single-Sign-On aktivieren

  1. Klicken Sie auf Ihr Profilbild.

  2. Wählen Sie Einstellungen aus der Dropdown-Liste.

  3. Klicken Sie im linken Panel auf Sicherheit.

  4. Scrollen Sie auf der Seite Sicherheit zum Abschnitt SAML SSO.

  5. Auf die Schaltfläche SAML SSO einrichten klicken.

  6. In dem sich öffnenden Fenster richten Sie Ihren Identitätsanbieter mit Wrike-Metadaten ein und klicken auf Fortfahren.

  7. Als Nächstes werden Sie aufgefordert, die Metadaten Ihres Providers anzugeben. Dazu können Sie eine der beiden Optionen wählen:

    • Geben Sie einen Link ein, um XML bereitzustellen

    • Geben Sie die XML als Text ein.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie, dass Sie die richtigen Parameter ausgewählt haben, und bestätigen Sie Ihre Entscheidung, indem Sie auf die Schaltfläche Fortfahren und SAML aktivieren klicken.

  10. Sie erhalten eine E-Mail mit dem Code, um die Implementierung von SSO zu bestätigen.

  11. Geben Sie den Code aus der E-Mail in das eingeblendete Pop-up-Fenster ein.

  12. Klicken Sie auf Bestätigen.

  13. (Optional) Testen Sie die neuen Account-Einstellungen.

  14. Klicken Sie die Schaltfläche SAML-Einstellungen speichern.

Wir empfehlen, dass Sie unmittelbar nach der Aktivierung von SSO einen Benutzerakzeptanztest durchführen und verschiedene Nutzerfälle testen. Weitere Informationen zur Verwendung der aktivierten SSO finden Sie auf unserer Seite Single Sign-On mit SAML.

Hinweis

Aufgaben, Ordner und Projekte werden nicht automatisch unter SSO-Nutzern geteilt. Mehr über das Teilen von Aufgaben, Ordnern und Projekten erfahren Sie auf unseren Hilfeseiten. Ferner werden interne Nutzergruppen nicht automatisch zu Wrike übertragen, aber Sie können bequem Nutzergruppen innerhalb von Wrike erstellen.

Freigegebene E-Mail Domains hinzufügen

Hinweis

Um genehmigte E-Mail-Domänen hinzuzufügen, benötigen Sie eventuell die Unterstützung Ihres Sys-Ops-Teams.

  1. Klicken Sie auf Ihr Profilbild in der rechten oberen Ecke des Wrike Workspace.

  2. Wählen Sie Einstellungen aus der Dropdown-Liste.

  3. Klicken Sie im linken Panel auf Sicherheit.

  4. Scrollen Sie zum Bereich Genehmigte Domains.

  5. Klicken Sie auf Domain hinzufügen und geben Sie die entsprechende E-Mail-Domain ein.

  6. Klicken Sie auf Hinzufügen.

  7. Es wird ein Pop-up-Fenster eingeblendet mit Anweisungen, wie Domains genehmigt werden.

  8. Folgen Sie den angezeigten Anweisungen. Die Genehmigung von Domains kann bis zu 24 Stunden dauern und erfordert möglicherweise die Unterstützung durch Ihr Sys-Ops-Team.

  9. Klicken Sie auf Änderungen speichern.

  10. Die E-Mail mit dem Bestätigungscode wird an Ihre Haupt-E-Mail-Adresse gesendet.

  11. Kopieren Sie den Code aus Ihrer E-Mail und fügen Sie ihn in das eingeblendete Pop-up-Fenster ein.

  12. Klicken Sie auf Bestätigen.

Nutzern erlauben, mehreren SAML-integrierten Accounts beizutreten

Große Unternehmensteams, die mehrere Wrike-Accounts mit SAML-basiertem SSO über dieselbe IDP aktiviert haben, können alle ihre Accounts in ein einziges Netzwerk integrieren. Infolgedessen können Nutzer zu allen verbundenen Wrike-Accounts eingeladen werden oder ihnen beitreten, indem sie ihre Unternehmenslegitimationen über die IDP verwenden.

Hinweis: Es gibt mehrere Voraussetzungen für die Implementierung dieses Schemas, und es kann nur vom Wrike-Kundensupport aktiviert werden. Bitte kontaktieren Sie den Wrike Kundensupport für weitere Informationen.

Was kommt als Nächstes?

Nach oben