Alle Artikel

SAML SSO: Implementierungsleitfaden

Tabelle 1. Verfügbarkeit — Legacy Tarife

Free

Professional

Business

Enterprise

Verfügbarkeit: Legacy Enterprise.; Nichtverfügbarkeit: Legacy Free, Legacy Professional, Legacy Business.;

Tabelle 2. Verfügbarkeit

Free

Team

Business

Enterprise

Pinnacle

Verfügbarkeit: Enterprise, Pinnacle. ; Nichtverfügbarkeit: Free, Team, Business;

Overview

Account-Inhaber und Administratoren mit der Berechtigung Erweiterte Sicherheitseinstellungen konfigurieren können SSO für das Konto aktivieren.

Enterprise-Nutzer können mit Unternehmenslegitimationen auf Wrike zugreifen, wenn SAML-basiertes SSO (SSO/SAML-Integration) für ihren Account aktiviert ist. Single-Sign-On (SSO) ist der allgemeine Begriff für die verschiedenen Techniken, die Nutzern den Zugriff auf mehrere Anwendungen von einem einzigen Autorisierungspunkt aus ermöglichen, der von einem Identitätsanbieter (IDP) verwaltet wird. Security Assertion Markup Language (SAML 2.0) ist ein führender Industriestandard für den Austausch von Authentifizierungs- und Autorisierungsdaten, den Wrike als Service Provider (SP) unterstützt. Während der Autorisierung werden keine tatsächlichen Passwörter an oder von Wrike übertragen. Stattdessen erhält Wrike eine SAML-Bestätigung der Benutzeridentität, die für eine begrenzte Zeit gültig und digital signiert ist.

Tipp

Es ist möglich, verschlüsselte SAML SSO-Assertions zu aktivieren, sofern der IDP dies zulässt. Wenden Sie sich an unser Support-Team, wenn diese Option bei der Konfiguration von SAML SSO aktiviert werden soll.

Weitere Informationen darüber, wie SSO nach der Aktivierung funktioniert, finden Sie auf unserer Seite: SAML-SSO: Benutzerhandbuch.

Single-Sign-On – die Vorteile

  • Skalierbare Nutzerverwaltung für große Unternehmen. Mit der Just-in-Time-Benutzerbereitstellung können Sie Zeit sparen, die normalerweise für das Einrichten Ihres Enterprise-Kontos und der entsprechenden Verwaltungsprozesse benötigt wird. Wrike kann jedes Mal ein Nutzerprofil in Ihrem Account erstellen, wenn sich ein neuer Nutzer aus Ihrem Verzeichnis über SSO bei Wrike anmeldet – zusätzlichen Einladungen sind nicht erforderlich. Mitarbeiter, die aus Ihrem Unternehmensverzeichnis entfernt werden, verlieren automatisch den Zugriff auf das Wrike-Abonnement des Unternehmens, aber ihre Aufgaben und historischen Aktivitätsaufzeichnungen bleiben intakt.

  • Einheitliches Format für Benutzernamen. Die Benutzeridentität wird von einer zentralen Stelle aus verwaltet. Das bedeutet, dass die Benutzernamen in Wrike mit den Namen in Ihrem Verzeichnis übereinstimmen.

  • Einhaltung der internen Sicherheitsrichtlinien. Ihre IT-Administratoren erhalten mehr Kontrolle über die Authentifizierung. Nutzer können nicht eigenständig ihre Namen oder E-Mail-Adressen ändern. Alle Sicherheitsrichtlinien, die Sie intern eingeführt haben, gelten auch für Wrike.

  • Weniger Passwortmüdigkeit für Nutzer. Sobald sich jemand im Unternehmensnetzwerk anmeldet, kann er Wrike öffnen, ohne einen weiteren Satz von Anmeldedaten eingeben zu müssen.

  • Der einfache Zugriff, den SSO bietet, ist ein Treiber für die nahtlose Akzeptanz von Wrike. Sie können auch die Anmeldeaktivitäten überwachen und die gesammelten SSO-Metriken verwenden, um die Akzeptanz von Wrike zu verfolgen.

Single-Sign-On – die Einschränkungen

Sobald die SSO/SAML-Integration aktiviert ist, können die in SSO integrierten Nutzer nicht mehr:

  • Ihre Namen in Wrike bearbeiten. Vor- und Nachnamen werden von Ihrem Identitätsanbieter vergeben.

  • Änderungen an ihrer E-Mail-Adresse von ihrem Wrike-Profil aus vornehmen. Dies schließt das Hinzufügen zusätzlicher Adressen ein. Ein Wrike-Administrator kann das jedoch für sie tun vorausgesetzt, dass ein Nutzer die neue Adresse bestätigen kann. Dazu muss der Nutzer mit der ursprünglichen E-Mail-Adresse bei Wrike angemeldet sein und Zugang zur ursprünglichen E-Mail-Inbox haben, um den Bestätigungslink anzuklicken. In anderen Fällen müssen sich Administratoren weiterhin an den Support wenden, um die E-Mails der Nutzer zu ändern. E-Mails von Account-Inhabern können nur über eine Kontaktaufnahme mit dem Support geändert werden.

  • Die zweistufige Verifikation über Wrike aktivieren. Wenn Sie Ihren Account mit dieser Sicherheitsfunktion schützen möchten, muss der Account mit Ihrem Identitätsanbieter konfiguriert werden.

  • Sich bei Wrike mit einem Wrike-Passwort anmelden. Wenn Nutzer versuchen, über ihren Browser auf Wrike zuzugreifen, werden sie in der Regel auf die Anmeldeseite weitergeleitet, die von Ihrem Identitätsanbieter verwaltet wird. Einige integrierte Tools haben keine native Unterstützung für SSO (z. B. das Backup-Tool und ältere API-v2-Apps). SSO-Nutzer müssen Einmalpasswörter generieren, um diese Tools zu autorisieren.

Den Umfang von Single-Sign-On festlegen

Wie Sie Ihr SSO einrichten, ist davon abhängig, wie Sie Wrike nutzen (oder nutzen wollen):

  • Der optionale Modus: Dies bedeutet, dass sich jeder im Account per Passwort oder IDP-basiertem Login anmelden kann. Diese Option wird standardmäßig eingerichtet und eignet sich, die neue SSO-Integration zu testen. Wir empfehlen, mit dieser Option zu beginnen, um sicherzustellen, dass alles korrekt funktioniert, bevor SSO für den gesamten Account durchgesetzt wird.

    Hinweis

    Im optionalen Modus führt die Seite login.wrike.com/login den Nutzer durch die normale Anmeldung, als ob SAML SSO nicht für den Account eingerichtet wäre.

    Um den SAML SSO-Flow zu durchlaufen, benutzen Sie die Seite login.wrike.com/sso in einem Browser. Bitte beachten Sie, dass die Wrike Desktop-App und mobile Apps nur die reguläre Wrike-Anmeldeseite (login.wrike.com/login/) verwenden und im optionalen Modus führt die Anmeldung über sie die Nutzer nur durch den regulären Anmeldeablauf (mit einem Wrike-Passwort).

  • Wenn Wrike nur von Mitarbeitern des Unternehmens genutzt wird: SSO kann für alle Nutzer des Accounts aktiviert werden.

  • Wenn Wrike sowohl von Mitarbeitern des Unternehmens als auch von Nicht-Mitarbeitern genutzt wird: SSO kann für Nutzer auf der Grundlage ihrer E-Mail-Domäne aktiviert werden.

    Hinweis

    In diesem Fall müssen Sie im Tab \"Security\" des Abschnitts \"Account Management\" E-Mail-Domains hinzufügen und genehmigen, bevor Sie SAML SSO aktivieren. E-Mail-Domänen müssen zum Unternehmen gehören, um genehmigt zu werden.

    Nutzer mit E-Mails mit genehmigten E-Mail-Domänen können sich über SSO bei Wrike anmelden, und Nutzer mit E-Mails ohne genehmigte E-Mail-Domänen melden sich über einen Wrike-Benutzernamen und ein Passwort an. Die 2-Schritt-Verifikation kann aktiviert werden, um eine sicherere Anmeldeoption für Nutzer ohne genehmigte Domains zu bieten.

    Wenn Sie zusätzliche zugelassene Domains hinzufügen möchten, nachdem SSO aktiviert wurde, muss ein Administrator denselben oben genannten Prozess befolgen.

    In den meisten Fällen erfordert der Genehmigungsprozess die Hilfe Ihres System-Ops-Teams, da die DNS-Einträge der Domänen aktualisiert werden müssen. Wir empfehlen, zugelassene Domänen vor der Aktivierung von SAML hinzuzufügen, damit sie sofort angewendet werden, wenn SAML aktiviert ist.

Voraussetzungen: Bevor Sie Single-Sign-On aktivieren

Bevor Sie SSO aktivieren, ist es wichtig, folgende Punkte zu verifizieren:

  • Die E-Mail-Adresse, die mit dem Wrike-Account eines jeden Nutzers verbunden ist, stimmt mit der E-Mail-Adresse im Unternehmensverzeichnis überein.

  • SSO ist noch nicht für den Account aktiviert. Um das zu prüfen:

    • Klicken Sie auf Ihr Profilbild.

    • Wählen Sie Einstellungen aus der Dropdown-Liste.

    • Klicken Sie im linken Panel auf Sicherheit.

    • Scrollen Sie auf der Seite Sicherheit zum Abschnitt SAML SSO.

    • Prüfen Sie, ob der Tag Deaktiviert in der Nähe des SAML-SSO Headers angezeigt wird.

Ferner muss die Kompatibilität überprüft werden:

  • Prüfen Sie, dass Ihr Identitäts- oder SSO-Anbieter die föderierte Identifizierung mit SAML 2.0 unterstützt. Zur Liste der kompatiblen SSO-Lösungen gehören unter anderem: Okta, OneLogin, PingFederate, Microsoft AD FS und Google Apps Identity Service. Wenn Sie Identitätsverwaltungsdienste von Okta nutzen, können Sie Wrike mithilfe dieser Anleitung zu Ihrer Anwendungsliste hinzufügen.

  • Um ein benutzerdefiniertes SAML-basiertes SSO für Ihren Account einzurichten, beachten Sie bitte unsere Metadaten-Datei für Standardparameter und Optionen, die von Wrike verwendet werden. Die folgenden Nutzerattribute sollten enthalten sein: Vorname; Nachname; NameID (muss eine E-Mail-Adresse sein).

Single-Sign-On aktivieren

  1. Klicken Sie auf Ihr Profilbild.

  2. Wählen Sie Einstellungen aus der Dropdown-Liste.

  3. Klicken Sie im linken Panel auf Sicherheit.

  4. Scrollen Sie auf der Seite Sicherheit zum Abschnitt SAML SSO.

  5. Auf die Schaltfläche SAML SSO einrichten klicken.

  6. In dem sich öffnenden Fenster richten Sie Ihren Identitätsanbieter mit Wrike-Metadaten ein und klicken auf Fortfahren.

  7. Als Nächstes werden Sie aufgefordert, die Metadaten Ihres Providers anzugeben. Dazu können Sie eine der beiden Optionen wählen:

    • Geben Sie einen Link ein, um XML bereitzustellen

    • Geben Sie die XML als Text ein.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie, dass Sie die richtigen Parameter ausgewählt haben, und bestätigen Sie Ihre Entscheidung, indem Sie auf die Schaltfläche Fortfahren und SAML aktivieren klicken.

  10. Sie erhalten eine E-Mail mit dem Code, um die Implementierung von SSO zu bestätigen.

  11. Geben Sie den Code aus der E-Mail in das eingeblendete Pop-up-Fenster ein.

  12. Klicken Sie auf Bestätigen.

  13. (Optional) Testen Sie die neuen Account-Einstellungen.

  14. Klicken Sie auf die Schaltfläche SAML-Einstellungen speichern.

Wir empfehlen, dass Sie unmittelbar nach der Aktivierung von SSO einen Benutzerakzeptanztest durchführen und verschiedene Nutzerfälle testen. Weitere Informationen zur Verwendung von SSO nach der Aktivierung finden Sie auf unserer Seite Single Sign-on mit SAML.

Hinweis

Arbeitsgegenstände (wie Aufgaben, Ordner, Projekte, Spaces und benutzerdefinierte Element-Typen) werden nicht automatisch mit neuen Benutzern geteilt, die Ihrem Konto über SSO beitreten. Das Einloggen mit SAML SSO ändert keine bestehenden Freigabeeinstellungen – Elemente bleiben wie zuvor mit denselben Personen geteilt.

Benutzergruppen aus dem Active Directory Ihres Unternehmens werden ebenfalls nicht automatisch auf Wrike übertragen, aber Sie können Benutzergruppen direkt in Wrike erstellen.

Mehr erfahren über das Teilen von Aufgaben, Ordnern und Projekten auf unseren Hilfeseiten.

Genehmigte E-Mail-Domains hinzufügen

Hinweis

Um genehmigte E-Mail-Domänen hinzuzufügen, benötigen Sie eventuell die Unterstützung Ihres Sys-Ops-Teams.

  1. Klicken Sie auf Ihr Profilbild in der oberen rechten Ecke des Wrike-Arbeitsbereichs.

  2. Wählen Sie Einstellungen aus der Dropdown-Liste.

  3. Klicken Sie im linken Panel auf Sicherheit.

  4. Scrollen Sie zum Bereich Genehmigte Domains.

  5. Klicken Sie auf Domain hinzufügen und geben Sie die entsprechende E-Mail-Domain ein.

  6. Klicken Sie auf Hinzufügen.

  7. Es wird ein Pop-up-Fenster eingeblendet mit Anweisungen, wie Domains genehmigt werden.

    Hinweis

    Wenn Domains zu den Einstellungen in Wrike hinzugefügt werden, wird der optionale SAML SSO Modus nicht verfügbar oder ausgegraut. Dies liegt daran, dass durch das Vorhandensein genehmigter Domains SAML SSO für Nutzer dieser Domains erzwungen wird, und das System in diesem Setup keinen optionalen Modus zulässt. Der optionale Modus ist nur verfügbar, wenn dem Account keine genehmigten Domains hinzugefügt werden.

  8. Folgen Sie den angezeigten Anweisungen. Die Genehmigung von Domains kann bis zu 24 Stunden dauern und erfordert möglicherweise die Unterstützung durch Ihr Sys-Ops-Team.

  9. Klicken Sie auf Änderungen speichern.

  10. Die E-Mail mit dem Bestätigungscode wird an Ihre Haupt-E-Mail-Adresse gesendet.

  11. Kopieren Sie den Code aus Ihrer E-Mail und fügen Sie ihn in das eingeblendete Pop-up-Fenster ein.

  12. Klicken Sie auf Bestätigen.

Nutzern erlauben, mehreren SAML-integrierten Konten beizutreten

Große Unternehmensteams, die mehrere Wrike-Accounts mit SAML-basiertem SSO über dieselbe IDP aktiviert haben, können alle ihre Accounts in ein einziges Netzwerk integrieren. Infolgedessen können Nutzer zu allen verbundenen Wrike-Accounts eingeladen werden oder ihnen beitreten, indem sie ihre Unternehmenslegitimationen über die IDP verwenden.

Hinweis: Für die Implementierung dieses Schemas sind mehrere Voraussetzungen erforderlich, und es kann nur vom Wrike Customer Support aktiviert werden. Für weitere Informationen wenden Sie sich bitte an den Wrike-Kundensupport.

Wie geht es weiter?

Oben

Verwandte Beiträge