Die neue einheitliche SSO-App bietet mehrere Authentifizierungsmethoden wie SAML und One-Time-Token. Dadurch wird der Anmeldevorgang sicherer, schlanker und effizienter.


Gut zu wissen:

  • Dies ist eine private Funktion und kann als Add-On für Kunden mit einem Enterprise Plan aktiviert werden. Kontaktieren Sie unser Team, um mehr über diese Lösung und die Gebühren zu erfahren.

  • Die Funktion steht nur für Branch Manager und deren Standorte zur Verfügung, nicht für einzelne Accounts.

  • Sie können nur eine Authentifizierungsmethode aktivieren, nicht mehrere zur gleichen Zeit.

  • Die App limitiert nicht die Standorte, die ein Nutzer nach erfolgreicher Anmeldung in der Standortauswahl sieht.

  • Im Moment unterstützt TIMIFY SAML und One-Time Token als Authentifizierungsmethoden.

  • Es ist möglich, sich über die Web-App, die Mobile App und die Table App anzumelden - aber nicht über die Desktop App -.


Struktur des Artikels:

1. Wie Sie die SSO App installieren

2. Einrichtung (SAML)

3. Einstellungen

4. Nutzerimport

5. Match Parameters

6. Erfolgreiches Onboarding


1. Wie Sie die SSO App installieren

Branch Manager Eigentümer (Owner), Admins und Manager mit Zugangsrechten zur App-Sektion können die App installieren, nachdem sie TIMIFY über die Registerkarte „Private Apps“ einen privaten Zugriffsschlüssel bereitgestellt haben.

Nachdem die App installiert wurde, ist es notwendig festzulegen, ob die App global (also für alle Accounts) oder in den einzelnen Accounts konfiguriert werden soll. Die erste Option bietet Ihnen die Möglichkeit die Einstellungen für alle Accounts im Branch Manager vorzunehmen. Die zweite Option bietet Ihnen die Möglichkeit für jeden Account eigene Einstellungen festzulegen, d.h. jeder Branch Eigentümer oder Admin kann Änderungen an den Einstellungen des Accounts vornehmen.


2. Einrichtung

Die Einrichtung der App hängt davon ab, welche Authentifizierungsmethode Sie im ersten Schritt auswählen.

Bitte beachten Sie, dass Sie aktuell nur folgende Möglichkeiten zur Verfügung haben:

One-Time Token

Wenn Sie die One-Time Token Methode wählen ist die Nutzung sehr einfach. Sie werden einen von TIMIFY generierten Link verwenden, um sich in eine Applikation einzuloggen. Dieser Link ist in Ihr System eingebettet und kann zur Anmeldung bei TIMIFY ausgewählt werden. Dem Link können einige zusätzliche Parameter hinzugefügt werden, wie z. B. Name, E-Mail, Filial-IDs und weitere.

SAML Konfiguration

Wenn Sie die SAML Variante wählen, sollten Sie die Authentifizierungsmethode so einstellen, dass Sie mit dem Identitätsprovider (Identity Provider-IdP) kommuniziert. Dafür müssen Sie aus der SSO App eine Assertion Consumer Service URL kopieren, die von uns generiert wird. Dies ist die URL, unter der wir das Authentifizierungstoken erwarten. Außerdem müssen Sie Ihre IdP-URL einfügen, die wir beim Anmeldeversuch umleiten müssen. Um dies sicherzustellen, müssen Sie ein x.509-Zertifikat, ein sogenanntes öffentliches Zertifikat, bereitstellen.

Optional können Sie einen Identifikator (Entitäts-ID) hinzufügen. Eine eindeutige ID, die Ihre Anwendung gegenüber dem IdP identifiziert (diese sollte dieselbe sein, die Sie in Ihrem IdP verwenden). Der Secret Generator wird automatisch von TIMIFY generiert und diese URL ist einzigartig.

💡 Wenn Sie eine Authentifizierungsmethode auswählen generiert die App automatisch ein secret im Hintergrund der Datenbank. Es ist außerdem möglich einen neuen in den Einstellungen der jeweiligen Authentifizierungsmethode zu generieren. When selecting an authentication method the App generates automatically a secret in the database background. It will be also possible to generate a new one from the method’s configuration.


3. Einstellungen

In diesem Schritt können Sie definieren, wie die SSO App sich verhalten soll. Diese Einstellungen werden auf jede Authentifizierungsmethode angewandt.

  • Beschränken Sie die SSO-Authentifizierung nach Domainnnamen: Für zusätzliche Sicherheit ist der Zugriff nur auf die von unserer App zugelassenen E-Mail-Domain beschränkt. Wenn Benutzer versuchen, sich mit einer anderen als der angegebenen E-Mail-Domain anzumelden, wird der Benutzer auf eine Seite mit blockiertem Zugriff weitergeleitet.

  • Eindeutige Kennung (Unique Identifier): Wählen Sie ihre eindeutige Kennung: Email or ExterneID.

    💡Wenn Sie die ExterneID als eindeutige Kennung wählen, müssen Sie eine Domain zur „Eingeschränkte E-Mail-Domain-Sektion“ hinzufügen, wie zuvor erwähnt. Dieser darf nicht leer bleiben.

  • Regeln für E-Mail Konflikte: Für den Fall einer Nichtübereinstimmung zwischen dem Identitätsanbieter Ihres Benutzers und dem in der App definierten, wählen Sie aus, welchen wir während des Benutzerregistrierungsprozesses verwenden sollen. Es gibt eine dritte Option, die es Ihnen ermöglicht, keine davon zu verwenden (falls Sie beispielsweise eine externe ID verwendet haben). Das bedeutet, dass Ressourcen und SSO-Benutzer unterschiedliche E-Mail-Adressen haben können und diese nicht überschrieben werden

  • Benutzerberechtigungen: Erstellen Sie einen Standardberechtigungstyp oder ordnen Sie alle Berechtigungstypen den Gruppen im Identitätsanbieter zu, je nachdem, was Sie für Ihre Benutzer definiert haben.

  • Benutzerzugriff Standorte: Diese Option erscheint nur, wenn die SSO App auf globaler Ebene (über den Branch Manager) installiert wurde. Auf lokaler Ebene ist dieser Schritt nicht notwendig. Wenn Sie die Option über den Indentitätsprovider gewählt haben (IdP) müssen Sie auf Ihrer Seite einen entsprechenden Parameter anlegen oder einfach die Option SSO App auswählen, Das bedeutet, dass Sie später in der Lage sein werden festzulegen, welche Nutzer Zugang zu welchen Standorten haben.

  • Ressourcen Regeln: Hier können Sie auswählen, ob Sie eine neue Ressource anlegen wollen (falls Sie noch keine angelegt haben) oder nicht.

  • Nutzerdetails überschreiben: Für den Fall, dass sich die Informationen Ihrer Nutzer in IdP und TIMIFY unterscheiden, können Sie hier definieren, ob Sie die Informationen entweder in TIMIFY oder in der SSO App überschreiben wollen.

  • Standradberechtigungstypen: Sie können die Art der Berechtigungen für all ihre importierten oder manuell angelegten Nutzer, die bisher keine Berechtigungen haben festlegen. Sie müssen alle vorhandenen Berechtigungstypen (globale oder lokale Berechtigungstypen, abhängig von der App-Konfiguration) Berechtigungsgruppen innerhalb des Identitätsanbieters zuordnen. Da nicht sichergestellt werden kann, dass die Berechtigungen im Identitätsanbieter mit denen in TIMIFY identisch sind, besteht die beste Lösung darin, beispielsweise zu definieren, dass die Berechtigung „Typ A“ der Identitätsanbieter-Berechtigung „Gruppe A“ entspricht. Dies erfolgt durch die Bereitstellung einer externen ID oder einer eindeutigen Kennung dieser Berechtigungsgruppe. Wenn in TIMIFY keine Berechtigungstypen erstellt wurden, wird in der Liste nur die Admin-Berechtigung angezeigt.


4. Nutzerimport

In diesem Bereich haben Sie die Möglichkeit, eine CSV-Datei mit allen Ihren Benutzern zu importieren. Falls Sie diesen Schritt überspringen, ist es wichtig zu wissen, dass Sie dies später nachholen können, da Sie die Möglichkeit haben, Benutzer manuell hinzuzufügen. Der Upload erfolgt über eine CSV-Datei, auf die Sie durch den Download unserer Vorlage zugreifen können. In der Vorlage müssen Sie möglicherweise externe ID, Namen, E-Mail-Adresse und Standort-IDs angeben. Wenn die Datei von einem einzelnen Konto heruntergeladen wird, wird die Registerkarte der Standort-ID nicht angezeigt. Falls ein Benutzer auf mehrere Konten (Standorte) zugreifen muss, können Sie alle durch ein Komma getrennt hinzufügen (Fügen Sie keine Standorte ein, die nur durch ein Leerzeichen getrennt sind).

Falls beim Upload ein Fehler auftritt, erscheint eine Fehlermeldung und ein Link wird zur Verfügung gestellt über den eine CSV-Datei mit allen Fehlern abrufbar ist.

Bitte beachten Sie, dass auch bei Verwendung der Option „Externe ID“ zum Anmelden das Hinzufügen einer E-Mail-Adresse erforderlich ist (Sie können auch eine Dummy-E-Mail-Adresse verwenden), da Sie sonst nicht speichern und fortfahren können.


5. Match Parameters

Sobald SAML vollständig eingestellt ist, können Sie auf die drei Punkte in SAML (Aktuelle Authentifizierungsmethode) klicken, um all Ihre Parameter anzupassen.

  • Namen: Nicht alle Kunden verfügen wie wir über ein einziges Feld für Namen. Hierzu können Sie mehrere Parameter kombinieren +, zum Beispiel: user.FName + user.LName.

  • Email

  • User External ID

  • Standort ID: Wenn die App über den Branch Manager verwendet und konfiguriert wird, ist es nicht erforderlich, eine Standort-ID hinzuzufügen, da Benutzer nur Zugriff auf die Standorte haben, die ihnen zugewiesen wurde.

  • Berechtigungstypen: Dieser Parameter erscheint je nachdem, welche Auswahl Sie in den vorherigen Schritten bei den Nutzerberechtigungen ausgewählt haben.


6. Erfolgreiches Onboarding

Im letzten Schritt erscheint eine Meldung, dass das Onboarding erfolgreich abgeschlossen wurde, wenn alle erforderlichen Einstellungen vorgenommen wurden.