Skip to end of metadata
Go to start of metadata


Problem:


Welche Möglichkeiten haben wir um die SAML-Integration mit unserem Process Manager Arbeitsbereich (und evtl. auch die verknüpfte Workflow-Organisation) erfolgreich herzustellen?

Die englische Version können Sie hier finden.



Solution:

Aktuell bieten wir folgende Möglichkeiten bei der Integration an:

Option 1 - einfache Integration, bei der die lesenden User nicht eingeloggt sind

In diesem Fall kann die Integration ohne die Hilfe des Signavio Customer Support eingerichtet werden. Zuerst muss in dem SAML-Server (IDP) die federationmetadata.xml von Signavio hochgeladen werden und ein entsprechendes Mapping von Ihren AD-Attributen erfolgen:

AD-AttributSignavio Attribut
ein einzigartiges Attribut, deren Wert nicht mehrmals vorkommt
(bspw. Mitarbeiter-Nummer)
Name ID
Mailadresseemail
Vornamefirst_name
Nachnamelast_name

Sobald innerhalb des IDPs alles erstellt wurde, müssen Sie die "Federation Metadata" von Ihrem IDP in Ihrem Arbeitsbereich hochladen. Als letzten Schritt definieren Sie bitte mögliche Leseberechtigungen für die Kollegen oder aktivieren die Checkbox, dass jeder SAML-benutzer Zugriff auf alle veröffentlichten Diagramme besitzt.

Bei dieser Variante wäre KEIN direkter SSO zum Explorer möglich. Die Modellierer hätten folgende zwei Optionen um in den Explorer zu kommen:

  • manueller Login über die Signavio Loginseite
  • SSO-Login zum Collaboration Hub und anschließend rechts oben auf den Namen und auf "Als Modellierer einloggen" klicken.


Untenstehend finden Sie Anleitungen für vier Beispiel-IDPs:



Option 2 - automatische Accounterstellung für lesende User (optional)

Diese Option benötigt Option 1 als Voraussetzung. In diesem Fall würde jeder User, der noch nicht im Arbeitsbereich vorhanden ist und über die SAML-Authentifizierung auf das Collaboration Hub zugreift, automatisch die Hub-Lizenz erhalten. Durch diese Option können die Benutzer/User über den Tab "Berechtigungen" innerhalb der Benutzer-/Usereinstellung verwaltet und in andere Gruppen hinzugefügt werden. Der User selber hätte des Weiteren auch die Möglichkeit seine favorisierten Diagramme zu markieren und Updates zu diesen zu erhalten.
Wir würden bei dieser Option empfehlen, dass Sie eine Standardgruppe (bspw. Hub) erstellen. Wenn die Checkbox für die Standardgruppe aktiviert ist, werden die neuen Accounts direkt zu dieser hinzugefügt und erhalten auch die Berechtigungen dieser Gruppe. Wenn ein Mitarbeiter das Unternehmen verlässt, muss der Account manuell aus dem Signavio-System gelöscht werden.

Diese Option können Sie innerhalb des "Collaboration Hub Authentifizierung"-Fensters aktivieren:



Option 3 - automatische Lizenzzuweisung für neue User (optional)

Diese Option benötigt Option 2 als Voraussetzung. Der Unterschied zu Option 2 ist, dass mithilfe der Erweiterung des o.g. Mappings der Attribute eine Lizenz übergeben wird. In dieser Variante würde das Signavio-System dem neuen User die mitgelieferte Lizenz zuweisen (bspw. Enterprise, Collaboration Hub). Das Zurücknehmen einer Lizenz ist mit dieser Option nicht möglich und auch beim Offboarden des Users muss der Account manuell aus Signavio gelöscht werden.

Hierzu müssten Sie ein weiteres Attribut an uns übermitteln, dass den Namen "signavio_licenses_v1" besitzt. Die möglichen Werte für die entsprechenden Lizenzen wären folgende:

  • Enterprise Plus Edition
  • Enterprise Edition
  • Classic Edition
  • Workflow (Sofern diese Lizenzen bereits über das neue User Management verwaltet werden und nicht eigenständig innerhalb der Workflow-Organisation)

(Sollte keine freie Lizenz vorhanden sein, würde das System dieses Attribut ignorieren und dem User eine Collaboration Hub Lizenz zuweisen)



Option 4 - automatische Gruppenzuweisung (optional)

Diese Option benötigt Option 2 als Voraussetzung. Gruppe(n) können mithilfe eines weiteren Attributes "signavio_groups_v1" zugewiesen werden. Als Parameterwert muss der Signavio Gruppenname übergeben werden (bitte Groß-/Kleinschreibung beachten). Sollte der User in bestimmten Gruppen sein, die nicht mehr über die SSO-Integration übermittelt werden, wird der Benutzer aus diesen Gruppen entfernt. Die Administrator-Gruppe ist die einzige Gruppe, die nicht über die SSO-Schnittstelle verwaltet werden kann.

Wenn die Gruppe, die übermittelt wird, nicht im Signavio Arbeitsbereich existiert, wird diese vom System ignoriert.



Option 5 - Abschaltung des manuellen Logins (Login geht nur über die SAML-Integration) (optional)

Bei dieser Variante können sich die registrierten User nicht mehr manuell über die Loginseite vom Signavio Process Manager anmelden. Beim Versuch eines manuellen Logins erscheint der Hinweistext, dass der manuelle Login deaktiviert wurde. Dementsprechend funktioniert der Login nur noch mit der konfigurierten SSO-Integration.

Diese Option können Sie innerhalb des "Sicherheitseinstellungen vornehmen"-Fensters aktivieren:



Für die erweiterte SAML/SSO Konfiguration wird die Unterstützung des Signavio Customer Support benötigt. Es stehen zusätzliche Optionen zur Verfügung:

Option 6 - Integration, bei der die Modellierer automatisch eingeloggt werden (optional)

Wenn Option 2 aktiviert wurde, ist diese bereits automatisch aktiviert. Hierbei würden die registrierten User im Arbeitsbereich direkt eingeloggt werden. Der Vorteil dabei wäre, dass dementsprechend auch ein SSO-Login auf jeden Ordner im Explorer möglich wäre. 



Option 7 - SAML-Integration des Workflow Arbeitsbereiches (optional)

Diese Option benötigt Option 2 oder 5 als Voraussetzung. Des Weiteren müssen alle Benutzer, die im Workflow vorhanden sind, auch über einen Account im Process Manager (bspw. Hub-Lizenz oder die Workflow-Lizenz in der neuen Benutzerverwaltung) verfügen. Dies ist erforderlich, da beim Workflow Accelerator keine neue Vertrauensstellung zwischen dem Signavio Workflow Accelerator und Ihrem SAML-Server aufgebaut wird. Wenn eine SAML-Anfrage beim Workflow Accelerator ausgelöst wurde, leitet dieser an den Process Manager weiter und erst danach an den SAML-Server. Aufgrund dieser Verbindung wird der Process Manager Account zwingend benötigt. Eine direkte Verbindung vom Workflow Accelerator zu dem SAML-Server funktioniert nicht.



(Status: 13.10.2020)