In folgendem Artikel erfahren Sie als Administrator, wie Sie mit einmaliger Anmeldung in Ihrem Unternehmensportal Zugriff auf alle Dienste erhalten.
Inhaltsverzeichnis
- Lernvideo
- Single Sign-On aktivieren
- Single Sign-On testen
- Fehler beheben
- Login-Url mit Admin-Oberfläche verbinden
1. Lernvideo
Schauen Sie hier das Video zum Artikel:
Mit Single Sign-On, kurz SSO, haben Sie mit der einmaligen Anmeldung in Ihrem Unternehmensportal Zugriff auf alle Dienste. Binden Sie HRworks in Ihr Intranet- oder Internetportal ein. Ihre Mitarbeiter und Ihr Unternehmen profitieren von einem zusätzlichen Plus an Sicherheit und Komfort.
HRworks nutzt SAML (Security Assertion Markup Language), ein XML-basiertes Framework zur User-Authentifizierung, das ohne den Austausch von Passwörtern funktioniert. Für noch mehr Sicherheit sorgt zusätzlich auch die digitale XML-Signatur.
Ihre Mitarbeiter müssen sich nur noch ein Passwort merken. Dieses kann dementsprechend umso aufwändiger und sicherer gestaltet werden. Zudem muss das Passwort durch eine SSO-Lösung nur einmalig übertragen werden.
Durch den SAML Standard funktioniert die Einbindung von HRworks ohne großen Aufwand. Das HRworks Single Sign-On kann mit allen SAML unterstützenden Produkten, u. a. mit den Active Directory®-Verbunddiensten von Microsoft oder dem SAML von Google Workspace, verbunden werden.
Die Einrichtung des Single Sign-Ons für HRworks erfolgt in nur zwei Schritten:
SSO in HRworks konfigurieren
Um die Funktion einzurichten benötigen Sie den Sicherheitsgrundlagen-Administrator. Öffnen Sie nun das Admin-Menü “Grundlagen/Sicherheit/Single Sign-On” und setzen zunächst den Haken auf “Single Sign-On aktivieren”. Entscheiden Sie unter “Metadaten-Eingabemethode”, ob Sie die Metadaten Ihres Identity Providers manuell über ein Formular eintragen oder über die XML-Metadaten importieren möchten.
Möchten Sie die XML-Eingabemethode verwenden, wählen Sie unter “Wert für NameID” aus, welches Stammdatenattribut der Personen in HRworks als NameID-Attribut für den Login via SAML SSO genutzt werden soll. Dieser Wert muss später auch von Ihrem IdP in der SAML-Response übermittelt werden.
Als mögliche Optionen stehen Ihnen hier die Benutzerkennung, die Personalnummer oder die Vergabe eines individuellen NameID-Identifiers zur Verfügung. Falls letztere Option gewählt wurde, muss der entsprechende Wert noch in der Stammdaten-Ansicht aller Personen hinterlegt oder über einen Import eingefügt werden (siehe dazu auch Anhang 3 in diesem Dokument).
Fügen Sie anschließend die kompletten XML-Metadaten Ihres Identity Providers in den Eingabebereich ein.
Zur Kontrolle der Daten wechseln Sie anschließend in die Formularansicht und prüfen, ob alle Werte korrekt geparst wurden. Sollte das Parsing der XML-Datei fehlschlagen, können Sie die nötigen Werte auch direkt über das integrierte Formular eingeben.
Haben Sie sich für die “Eingabe über Formular” entschieden, tragen Sie die erforderlichen Daten selektiert in die jeweiligen Textfelder ein. Geben Sie unter “SingleSignOn-Url” die URL ein, die HRworks für AuthenticationRequest bei Ihrem IdentityProvider verwenden kann.
Anschließend tragen Sie in das nächste Feld Ihren Public Key oder Ihr X.509-Zertifikat im PEM/Base64-Format ein.
Unter “Issuer” geben Sie den Wert des SAML-Tags ein, den Ihr IdentityProvider in den AuthenticationResponses sendet. Entscheiden Sie sich schließlich über das Dropdown-Menü “Format NameID” für ein SAML-Format, das für den Wert des SAML-Tags NameID gültig werden soll.
EntityID personalisieren
Möchten Sie mehrere Accounts bzw. Unternehmen über den gleichen Identity Provider einbinden, können Sie die Checkbox "EntityID mit Kundennummer personalisieren" aktivieren.
Die EntityID kann so um die Kundennummer erweitert werden.
HRworks als Service Provider im Identity Provider Ihres Unternehmens hinterlegen
Tragen Sie die Metadaten von HRworks in Ihren Authentifizierungsserver ein. Die HRworks-Metadaten sind je nach Unternehmen leicht parametrisiert (betrifft die SLO-Url).
Diese können im Admin-Menü “Grundlagen/Sicherheit/Single Sign-On” über den Button “HRworks-Metadaten herunterladen” abgerufen werden.
Schließen Sie die Einrichtung der SSO-Funktion mit Klick auf “Speichern” ab. Möchten Sie zukünftig Ihre Angaben ändern, wählen Sie dafür die Option “Zurücksetzen”, um alle eingegeben Werte für Ihren Identity Provider wieder zu entfernen.
Einrichtung von Microsoft Entra ID (ehem. Azure)
Falls Sie Entra ID (ehem. Azure Active Directory) von Microsoft verwenden, können Sie HR WORKS dort ganz einfach über den Anwendungskatalog hinzufügen.
Eine Schritt-für-Schritt-Anleitung dazu finden Sie in der Microsoft-Dokumentation.
Einrichtung von Google Workspace
Falls Sie Google Workspace verwenden, können Sie HR WORKS dort in wenigen Schritten hinzufügen.
Eine Schritt-für-Schritt-Anleitung dazu finden Sie in unserer Dokumentation.
Nachdem Sie Schritt eins und zwei der Einrichtung abgeschlossen haben, prüfen Sie den SSO. Es empfiehlt sich, den Test möglichst zu einem Zeitraum durchzuführen, in dem wenig “Traffic” in HRworks zu erwarten ist.
Stellen Sie dabei sicher, dass der Wert NameID dem Stammdaten-Attribut in HRworks entspricht, das in den Einstellungen als NameID-Wert festgelegt wurde. Rufen Sie anschließend den Link zum direkten SSO (siehe Direkte Login-Url im Anhang) auf. War die Einrichtung erfolgreich, werden Sie nach der Authentifizierung im IdP direkt in HRworks eingeloggt.
Login-Fenster überspringen
Um Ihren Mitarbeitern den Login so einfach wie möglich zu gestalten, können diese durch das Abspeichern der Direkt-URL das Login-Fenster inkl. des Popups, ob SSO zum einloggen benutzt werden soll, überspringen und gelangen somit direkt in die Benutzeroberfläche.
Bitte prüfen Sie, ob alle Einstellungen gemäß der Checkliste in Anhang 1 gesetzt sind. Falls Sie einen ADFS-Server verwenden, prüfen Sie auch, ob Sie die in Anhang 2 beschriebenen Regeln korrekt konfiguriert haben.
Überprüfen Sie ebenfalls, ob das NameID-Format in HRworks und auf dem IdP (Ihrem Authentifizierungsserver) identisch sind.
Sollte das ausgewählte NameID-Format in HRworks nicht funktionieren, wählen Sie als NameID-Format: SAML:1.1:nameid-format:unspecified
Sollte der SSO weiterhin nicht erfolgreich sein und die Fehlermeldung des Login-Servers hilft Ihnen nicht weiter, senden Sie bitte die AuthResponse als XML-Datei zur Problemlösung an Ihren zuständigen Consultant oder wenden sich an die Support-Hotline oder den HRworks Online Support.
Möchten Sie als Standard innerhalb der Admin-Oberfläche eingeloggt werden, können Sie den Login-Url für SSO mit “useflow=false” entsprechend ergänzen.
Beispiel:
https://login.hrworks.de/?companyId=<Firmenkennung>&directssologin=true&useflow=false
Ohne die Ergänzung des Parameters im Login-Url werden Sie standardmäßig in der User-Oberfläche eingeloggt.
Zusatzinformationen Konfiguration auf IdP/Unternehmensseite
SSO
- HRworks unterstützt nur SAML 2.0
- HRworks unterstützt nur SP-initiierten SSO
- HRworks erwartet die AuthResponse als POST-Request (Format application/x-www-form-urlencoded)
- HRworks erwartet, dass die Assertion (AuthResponse) digital signiert ist
- HRworks unterstützt RsaSha256 und RsaSha1
- HRworks unterstützt keine (XML-)Encryption der Assertions/AuthResponse
- Eine Signierung der AuthRequests durch HRworks erfolgt nicht
- Das NameID-Attribut muss dem in HRworks gewählten Stammdatenattribut
entsprechen (Benutzerkennung, Personalnummer oder individueller NameID-Identifier) - HRworks benötigt außer NameID keine weiteren Attribute
- InResponseTo muss in Assertions gesetzt sein
SLO
- HRworks unterstützt nur IdP-initiierten SLO
- HRworks erwartet, dass Logout-Requests digital signiert sind
- HRworks unterstützt RsaSha256 und RsaSha1
- HRworks unterstützt keine (XML-)Encryption der Logout-Requests
Allgemeine Daten SSO/SLO (auch in den HRworks-Metadaten enthalten)
ACS-Url:
https://login.hrworks.de/saml-sso
Entity-ID:
https://login.hrworks.de/HrwMeLoginView
SLO-Url:
https://login.hrworks.de/saml-slo?customerNumber=<Kundennummer> (Die Kundennummer finden Sie unter Administrator/Grundlagen/Firmendaten (hier noch <> entfernen)
Direkte Login-Url:
(Ihre Mitarbeiter werden zur Authentifizierung direkt zu Ihrem IdP weitergeleitet): https://login.hrworks.de/?companyId=<Firmenkennung>&directssologin=true (hier noch <> entfernen)
Die Metadaten können im Admin-Menü "Sicherheit/Single Sign-On" abgerufen werden.
Beispiel Claim Rules für Microsoft ADFS-Server
Für die Konfiguration von HRworks als SP in einem ADFS-IdP müssen sogenannte Claim Rules (Anspruchsregeln) hinterlegt werden, die sicherstellen, dass die korrekten ActiveDirectory-Attribute über die SAML-Response an HRworks weitergegeben werden.
Hierbei muss lediglich das AD-Attribut in den Wert NameID-überführt werden, das dem in HRworks als NameID gewählten Stammdatenattribut (Benutzerkennung, Personalnummer oder individueller NameID-Identifier) entspricht. Weitere Attribute
müssen nicht mitgesendet werden.
Im Folgenden finden Sie ein Beispiel für diese Regeln, das Sie für Ihre AD-Struktur anpassen können. Es müssen zwei Regeln erstellt werden:
Regel 1:
Die erste Regel dient dazu, den gewünschten Wert (der dem gewählten NameID-Attribut in HRworks entsprechen muss) aus dem Attribut in AD zu holen und in einer lokalen Variable zu speichern. Im Beispiel wird der Wert aus dem AD-Attribut “initials” geholt und in die lokale Variable “surname” gespeichert.
c:[Type == „http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname“,
Issuer == „AD AUTHORITY“]
=> issue(store = „Active Directory“, types =
(„http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname“), query = „;initials;{0}“,
param = c.Value);
Regel 2:
Mit der zweiten Regel wird der Wert in der lokalen Variable in den Wert für das SAML-Attribut NameID umgewandelt.
Im Beispiel wird dafür das NameID-Format “unspecified” verwendet, das Sie jedoch
gemäß Ihren Anforderungen natürlich auch abändern können.
c:[Type == „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname“]
=> issue(Type = „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier“,
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType =
c.ValueType,
Properties[„http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format“] =
„urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified“);
Anhang 3
SSO-NameID allen Mitarbeitern über einen Änderungsimport hinzufügen.
Erstellen Sie zunächst im Admin-Menü “Grundlagen/Listen/Erstellen” einen Bericht mit allen Personendaten Ihrer Mitarbeiter. Wählen Sie in der Registerkarte “Listen” den „Import – Alle Personendaten in der Form, wie der Import sie benötigt“ und entscheiden Sie sich für das Dateiformat HTML, um die Liste später in Excel problemlos öffnen zu können.
Überprüfen Sie in den Reitern “Organisationseinheiten” und “Personen”, ob alle Mitarbeiter Ihres Unternehmens selektiert sind und klicken Sie anschließend auf “Bericht erstellen”.
Sobald der Status des Berichts auf “Erfolgreich erstellt” steht, laden Sie diesen mit Klick auf “Download” herunter. Anschließend kopieren Sie den Bericht (Strg + A und Strg + C) und fügen Sie diesen in Excel ein (Strg + V).
Löschen Sie die ersten drei sowie die letzte Zeile aus der Datei heraus. Um eine bessere Übersicht zu erhalten, können Sie alle Spalten bis auf die Benutzerkennungund den SSO-NameID aus der Datei entfernen und die NameID-Werte Ihrer Mitarbeiter eintragen.
Haben Sie die Datei soweit bearbeitet, speichern Sie diese im CSV-Format. Um die bearbeitete Personendaten in die Software zu importieren, öffnen Sie das Admin-Menü “Personen/Personen” und klicken Sie auf den Button „Import“. Laden Sie die CSV-Datei hoch und bestätigen Sie den Vorgang mit Klick auf “Upload”. In der Auswahl des Importfensters wählen Sie „Bestehende Personen ändern“ aus und schließen die Änderung mit “Import” ab.
Näheres zum Änderungsimport erfahren Sie in diesem Artikel.