Single Sign-On (Administrator)

In folgender Dokumentation erfahren Sie, wie Sie mit einmaliger Anmeldung in Ihrem Unternehmensportal Zugriff auf alle Dienste erhalten.

Einführung

Mit Single Sign-On, kurz SSO, haben Sie mit der einmaligen Anmeldung in Ihrem Unternehmensportal Zugriff auf alle Dienste. Binden Sie HRworks in Ihr Intranet- oder Internetportal ein. Ihre Mitarbeiter und Ihr Unternehmen profitieren von einem zusätzlichen Plus an Sicherheit und Komfort.

HRworks nutzt SAML (Security Assertion Markup Language), ein XML-basiertes Framework zur User-Authentifizierung, das ohne den Austausch von Passwörtern funktioniert. Für noch mehr Sicherheit sorgt zusätzlich auch die digitale XML-Signatur.

Ihre Mitarbeiter müssen sich nur noch ein Passwort merken. Dieses kann dementsprechend umso aufwändiger und sicherer gestaltet werden. Zudem muss das Passwort durch eine SSO-Lösung nur einmalig übertragen werden.

Single Sign-On aktivieren

Durch den SAML Standard funktioniert die Einbindung von HRworks ohne großen Aufwand. Das HRworks Single Sign-On kann mit allen SAML unterstützenden Produkten, u. a. mit den Active Directory®-Verbunddiensten von Microsoft oder dem SAML von Google G Suite, verbunden werden.

Die Einrichtung des Single Sign-Ons für HRworks erfolgt in nur zwei Schritten:

SSO in HRworks konfigurieren

Um die Funktion einzurichten, öffnen Sie das Menü “Admin/Grundlagen/Sicherheit/SingleSign-On” und setzen zunächst den Haken auf “Single Sign-On aktivieren”. Entscheiden Sie unter “Metadaten-Eingabemethode”, ob Sie die Metadaten Ihres Identity Providers manuell über ein Formular eintragen oder über die XML-Metadaten importieren möchten.

Möchten Sie die XML-Eingabemethode verwenden, wählen Sie unter “Wert für NameID” aus, welches Stammdatenattribut der Personen in HRworks als NameID-Attribut für den Login via SAML SSO genutzt werden soll. Dieser Wert muss später auch von Ihrem IdP in der SAML-Response übermittelt werden. Als mögliche Optionen stehen Ihnen hier die Benutzerkennung, die Personalnummer oder die Vergabe eines individuellen NameID-Identifiers zur Verfügung. Falls letztere Option gewählt wurde, muss der entsprechende Wert noch in der Stammdaten-Ansicht aller Personen hinterlegt oder über einen Import eingefügt werden (siehe dazu auch Anhang 3 in diesem Dokument).

Fügen Sie anschließend die kompletten XML-Metadaten Ihres Identity Providers in den Eingabebereich ein.

Zur Kontrolle der Daten wechseln Sie anschließend in die Formularansicht und prüfen, ob alle Werte korrekt geparst wurden. Sollte das Parsing der XML-Datei fehlschlagen, können Sie die nötigen Werte auch direkt über das integrierte Formular eingeben.

Haben Sie sich für die “Eingabe über Formular” entschieden, tragen Sie die erforderlichen Daten selektiert in die jeweiligen Textfelder ein. Geben Sie unter “SingleSignOn-Url” die URL ein, die HRworks für AuthenticationRequest bei Ihrem IdentityProvider verwenden kann. Anschließend tragen Sie in das nächste Feld Ihren Public Key oder Ihr X.509-Zertifikat im PEM/Base64-Format ein. Unter “Issuer” geben Sie den Wert des SAML-Tags ein, den Ihr IdentityProvider in den AuthenticationResponses sendet. Entscheiden Sie sich schließlich über das Dropdown-Menü “Format NameID” für ein SAML-Format, das für den Wert des SAML-Tags NameID gültig werden soll.

HRworks als Service Provider im Identity Provider Ihres Unternehmens hinterlegen

Tragen Sie die Metadaten von HRworks in Ihren Authentifizierungsserver ein. Die HRworks-Metadaten sind je nach Unternehmen leicht parametrisiert (betrifft die SLO-Url).
Diese können im Menü “Admin/Grundlagen/Sicherheit/Single Sign-On” über den Button “HRworks-Metadaten herunterladen” abgerufen werden.

Schließen Sie die Einrichtung der SSO-Funktion mit Klick auf “Speichern” ab. Möchten Sie zukünftig Ihre Angaben ändern, wählen Sie dafür die Option “Zurücksetzen”, um alle eingegeben Werte für Ihren Identity Provider wieder zu entfernen.

Einrichtung von Microsoft Azure

Falls Sie Azure Active Directory von Microsoft verwenden, können Sie HRworks dort ganz einfach über den Anwendungskatalog hinzufügen.
Eine Schritt-für-Schritt-Anleitung dazu finden Sie in der Microsoft-Dokumentation.

Single Sign-On testen

Nachdem Sie Schritt eins und zwei der Einrichtung abgeschlossen haben, prüfen Sie den SSO. Es empfiehlt sich, den Test möglichst zu einem Zeitraum durchzuführen, in dem wenig “Traffic” in HRworks zu erwarten ist. Stellen Sie dabei sicher, dass der Wert NameID dem Stammdaten-Attribut in HRworks entspricht, das in den Einstellungen als NameID-Wert festgelegt wurde. Rufen Sie anschließend den Link zum direkten SSO (siehe Direkte Login-Url im Anhang) auf. War die Einrichtung erfolgreich, werden Sie
nach der Authentifizierung im IdP direkt in HRworks eingeloggt.

Fehler beheben

Sollte der SSO nicht erfolgreich sein und die Fehlermeldung des Login-Servers hilft Ihnen nicht weiter, senden Sie bitte die AuthResponse als XML-Datei zur Problemlösung an Ihren zuständigen Consultant oder wenden sich an die Support-Hotline oder den HRworks Online Support.

Bitte prüfen Sie zusätzlich, ob alle Einstellungen gemäß der Checkliste in Anhang 1 gesetzt sind. Falls Sie einen ADFS-Server verwenden, prüfen Sie auch, ob Sie die in Anhang 2 beschriebenen Regeln korrekt konfiguriert haben.

Überprüfen Sie ebenfalls, ob das NameID-Format in HRworks und auf dem IdP (Ihrem Authentifizierungsserver) identisch sind.

Sollte das ausgewählte NameID-Format in HRworks nicht funktionieren, wählen Sie als NameID-Format: SAML:1.1:nameid-format:unspecified

Login-Url mit FLOW verbinden

Möchten Sie, dass sich Ihre Mitarbeiter direkt über die FLOW anmelden, können Sie den Login-Url für SSO mit “useflow=true” entsprechend ergänzen.

Beispiel:
https://login.hrworks.de/?companyId=&directssologin=true&useflow=true

Somit werden die User direkt zur FLOW-Oberfläche geführt bzw. wird der Haken “Mobile Oberfläche verwenden” automatisch gesetzt.

Anhang 1

Zusatzinformationen Konfiguration auf IdP/Unternehmensseite

SSO

  • HRworks unterstützt nur SAML 2.0
  • HRworks unterstützt nur SP-initiierten SSO
  • HRworks erwartet die AuthResponse als POST-Request (Format application/x-www-form-urlencoded)
  • HRworks erwartet, dass die Assertion (AuthResponse) digital signiert ist
  • HRworks unterstützt RsaSha256 und RsaSha1
  • HRworks unterstützt keine (XML-)Encryption der Assertions/AuthResponse
  • Eine Signierung der AuthRequests durch HRworks erfolgt nicht
  • Das NameID-Attribut muss dem in HRworks gewählten Stammdatenattribut
  • entsprechen (Benutzerkennung, Personalnummer oder individueller NameID-Identifier)
  • HRworks benötigt außer NameID keine weiteren Attribute
  • InResponseTo muss in Assertions gesetzt sein
 

SLO

  • HRworks unterstützt nur IdP-initiierten SLO 
  • HRworks erwartet, dass Logout-Requests digital signiert sind
  • HRworks unterstützt RsaSha256 und RsaSha1
  • HRworks unterstützt keine (XML-)Encryption der Logout-Requests

Allgemeine Daten SSO/SLO (auch in den HRworks-Metadaten enthalten)

ACS-Url: 

https://login.hrworks.de/saml-sso

Entity-ID:

https://login.hrworks.de/HrwMeLoginView

SLO-Url: 

https://login.hrworks.de/saml-slo?customerNumber=<Kundennummer> (Die Kundennummer finden Sie unter Administrator/Grundlagen/Firmendaten (hier noch <> entfernen)

Direkte Login-Url:

(Ihre Mitarbeiter werden zur Authentifizierung direkt zu Ihrem IdP weitergeleitet): https://login.hrworks.de/?companyId=<Firmenkennung>&directssologin=true (hier noch <> entfernen)

Die Metadaten können in der Maske Admin/Sicherheit/Single Sign-On abgerufen werden.

Anhang 2

Beispiel Claim Rules für Microsoft ADFS-Server

Für die Konfiguration von HRworks als SP in einem ADFS-IdP müssen sogenannte Claim Rules (Anspruchsregeln) hinterlegt werden, die sicherstellen, dass die korrekten ActiveDirectory-Attribute über die SAML-Response an HRworks weitergegeben werden. Hierbei muss lediglich das AD-Attribut in den Wert NameID-überführt werden, das dem in HRworks als NameID gewählten Stammdatenattribut (Benutzerkennung, Personalnummer oder individueller NameID-Identifier) entspricht. Weitere Attribute
müssen nicht mitgesendet werden.

Im Folgenden finden Sie ein Beispiel für diese Regeln, das Sie für Ihre AD-Struktur anpassen können. Es müssen zwei Regeln erstellt werden:

Regel 1:

Die erste Regel dient dazu, den gewünschten Wert (der dem gewählten NameID-Attribut in HRworks entsprechen muss) aus dem Attribut in AD zu holen und in einer lokalen Variable zu speichern. Im Beispiel wird der Wert aus dem AD-Attribut “initials” geholt und in die lokale Variable “surname” gespeichert.

c:[Type == „http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname“,
Issuer == „AD AUTHORITY“]
=> issue(store = „Active Directory“, types =
(„http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname“), query = „;initials;{0}“,
param = c.Value);

Regel 2:

Mit der zweiten Regel wird der Wert in der lokalen Variable in den Wert für das SAML-Attribut NameID umgewandelt. 

Im Beispiel wird dafür das NameID-Format “unspecified” verwendet, das Sie jedoch
gemäß Ihren Anforderungen natürlich auch abändern können.

c:[Type == „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname“]
=> issue(Type = „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier“,
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType =
c.ValueType,
Properties[„http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format“] =
„urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified“);

Anhang 3

SSO-NameID allen Mitarbeitern über einen Änderungsimport hinzufügen.

Erstellen Sie zunächst im Menü “Admin/Grundlagen/Listen/Erstellen” einen Bericht mit allen Personendaten Ihrer Mitarbeiter. Wählen Sie in der Registerkarte “Listen” den „Import – Alle Personendaten in der Form, wie der Import sie benötigt“ und entscheiden Sie sich für ein Dateiformat, in dem der Bericht heruntergeladen werden soll. Überprüfen Sie in den Registerkarten “Organisationseinheiten” und “Personen”, ob alle Mitarbeiter Ihres Unternehmens selektiert sind und klicken Sie anschließend auf “Bericht erstellen”.

Sobald der Status des Berichts auf “Erfolgreich erstellt” steht, laden Sie diesen mit Klick auf “Download” herunter. Anschließend kopieren Sie den Bericht (Strg + A und Strg + C) und fügen Sie diesen in Excel ein (Strg + V). Löschen Sie die ersten drei sowie die letzte Zeile aus der Datei heraus. Um eine bessere Übersicht zu erhalten, können Sie alle Spalten bis auf die Benutzerkennung/Personalnummer und den SSO-NameID aus der Datei entfernen und die NameID-Werte Ihrer Mitarbeiter eintragen.
Haben Sie die Datei soweit bearbeitet, speichern Sie diese im CSV-Format. Um die bearbeitete Personendaten in die Software zu importieren, öffnen Sie das Menü “Admin/Personen/Personen” und klicken Sie auf den Button „Import“. Laden Sie die CSV-Datei hoch und bestätigen Sie den Vorgang mit Klick auf “Upload”. In der Auswahl des Importfensters wählen Sie „Bestehende Personen ändern“ aus und schließen die Änderung mit “Import” ab.

Letztes Update am 09. Dezember 2020

Diese Artikel könnten Ihnen auch weiterhelfen: