Zusammenfassung
- Was ist SAML-Authentifizierung (SSO)?
- Voraussetzungen für die Aktivierung der SAML-Authentifizierung (SSO) auf Mailjet
- Zugriff auf und Aktivierung von SAML-SSO bei Mailjet
- Deaktivieren von SAML-SSO
- Identitätsanbieter
- Benutzerverwaltung
- Anmeldung mit SSO
Was ist SAML-SSO?
Mithilfe des SAML 2.0-Protokolls ermöglicht Mailjet die Integration mit Ihrem Identitätsanbieter zur Authentifizierung von Benutzern über Single Sign-On, auch bekannt als SSO. Solange Ihr aktueller Identitätsanbieter das SAML 2.0-Protokoll unterstützt (Okta, Auth0, OneLogin, Azure AD usw.), sollten Sie theoretisch in der Lage sein, Ihren Anbieter mit Mailjet zu nutzen.
Voraussetzungen für die Aktivierung der SAML-Authentifizierung (SSO) auf Mailjet
Geprüfte Domain
Um SAML einzurichten, müssen Sie überprüfen, ob Sie Eigentümer Ihrer Unternehmensdomäne sind (die Domain, die in der SAML-Konfiguration zur Anmeldung verwendet wird). Derzeit verwendet die Mailjet-Plattform TXT-Einträge für die Überprüfung der Domäne.
Mailjet kann einen eindeutigen TXT-Eintrag für Sie generieren, den Sie dem DNS Ihrer Unternehmensdomain hinzufügen, damit wir überprüfen können, ob Sie Eigentümer dieser Domain sind. Um diese Methode zu verwenden, gehen Sie zur SAML-Einrichtungsseite (Einstellungen > Details in der linken Navigationsleiste und scrollen Sie dann nach unten zum Abschnitt Authentifizierung und klicken Sie im Unterabschnitt SAML-Authentifizierung auf SAML-SSO einrichten), geben Sie Ihre Unternehmensdomain in das Feld Domainname unter Domain-TXT-Eintrag generieren ein und klicken Sie auf Generieren. Kopieren Sie den TXT-Eintrag aus dem Modal und fügen Sie ihn zu den DNS-Einträgen für Ihre Domain hinzu.
Stellen Sie sicher, dass alle Benutzerkontodomänen verifiziert sind, bevor Sie versuchen, SAML auf Mailjet einzurichten. Wenn die Domänen beispielsweise mailjet.com und mailgun.com sind, müssen diese Aktionen für jede von ihnen durchgeführt werden.
Angaben zum Identitätsanbieter
Sie müssen Mailjet die folgenden Informationen von Ihrem Identitätsanbieter zur Verfügung stellen:
-
IdP-Entitäts-ID (auch bekannt als Identity Provider Issuer)
-
Single Sign-On URL
-
X509-Zertifikat
Angaben zum Service-Provider
Sie müssen Ihrem Identity Provider von Mailjet die folgenden SAML-Provider-Details zur Verfügung stellen:
-
Entitäts-ID
-
Assertion Consumer Service URL
-
Einzelne Logout-Dienst-URL
Zugriff auf und Aktivierung von SAML-SSO bei Mailjet
Um auf die SAML-Konfiguration in Mailjet zuzugreifen, klicken Sie auf Kontoeinstellungen > SAML-Auth (SSO) auf der Seite Kontoinformationen:
Dort finden Sie die entsprechenden Angaben zum Service-Provider sowie das Formular, das Sie ausfüllen müssen:
Um Ihre Konfiguration zu aktivieren, müssen alle erforderlichen Felder mit den Angaben zum Identitätsanbieter ausgefüllt werden.
Deaktivieren von SAML-SSO
Um SAML-SSO für Ihr Konto zu deaktivieren, klicken Sie auf Kontoeinstellungen > SAML-Auth (SSO) auf der Seite Kontoinformationen. Dort klicken Sie auf das Zahnradsymbol und dann auf SAML deaktivieren.
Identitätsanbieter
Es können verschiedene Identitätsanbieter verwendet werden: Okta, Auth0, OneLogin, Azure AD, usw. Dieser Artikel erklärt, wie man es bei Okta einstellt.
Einrichten von SAML-SSO mit Okta
Zunächst benötigen Sie ein Okta-Konto. Wenn Sie bereits eines haben, prima! Wenn nicht, können Sie sich unter https://developer.okta.com registrieren und den Anweisungen folgen, um ein kostenloses Entwicklerkonto zu erhalten.
Sobald Sie ein Okta-Konto haben, navigieren Sie zu "Applications" (Anwendungen).
Klicken Sie dort auf App-Integration erstellen. Wenn das Modal erscheint, wählen Sie SAML 2.0 als Anmeldemethode und klicken Sie auf Weiter.
Geben Sie Ihrer App einen beschreibenden Namen und ein Logo, wenn Sie möchten. Sie können die Optionen zur Sichtbarkeit der App ignorieren und dann auf Weiter klicken.
Geben Sie Ihre:
-
URL für Einmalanmeldung (diese wird in Ihrem Mailjet Dashboard als "Assertion Consumer Service URL" bezeichnet)
-
Lassen Sie das Kontrollkästchen Dies für Empfänger-URL und Ziel-URL verwenden aktiviert
-
-
Zielgruppen-URI (Entity ID in Ihrem Mailjet Dashboard)
-
Standard-RelayState leer lassen
-
Name ID Format sollte auf `EmailAddress` gesetzt werden.
-
Der Anwendungsbenutzername sollte auf "email" gesetzt werden.
-
Belassen Sie Anwendungsbenutzername aktualisieren auf als Standard.
Lassen Sie den Abschnitt Attribut-Anweisungen leer und klicken Sie auf Weiter.
Wählen Sie auf der nächsten Seite "I’m an Okta customer adding an internal app" (Ich bin ein Okta-Kunde, der eine interne Anwendung hinzufügt), und klicken Sie auf Fertig stellen.
Sie landen auf der Registerkarte Anmelden der Anwendung, die Sie gerade konfiguriert haben.
Suchen Sie nach der Schaltfläche Einrichtungsanweisungen anzeigen und klicken Sie darauf, um die tatsächlichen Daten anzuzeigen, die Sie in Mailjet hinzufügen müssen. Es sollte wie folgt aussehen:
Kopieren Sie die Daten in die SAML-Authentifizierungsseite (SSO) in Mailjet und übermitteln Sie das Formular. Wenn alles korrekt ist, sollten Sie startklar sein.
Einrichten von SAML-SSO mit Azure
Um SAML einzurichten, müssen Sie zunächst auf beiden Plattformen (Mailjet und Azure) verifizieren, dass Sie Eigentümer Ihrer Unternehmensdomain (der Domain, die in der SAML-Konfiguration für die Anmeldung verwendet wird) sind.
Verifizieren einer Domain im Azure Active Directory (Azure AD)
Gehen Sie zu Ihrem "Azure Active Directory" und wählen Sie "Namen der benutzerdefinierten Domänen" aus .
Klicken Sie auf "Benutzerdefinierte Domäne hinzufügen" und folgen Sie dem Verfahren.
Nachdem die Domain hinzugefügt wurde, wird sie auf Ihrer Seite "Benutzerdefinierte Domänennamen" angezeigt . Der Status der Domain sollte "Verfügbar" sein, damit SSO funktioniert.
Verifizieren einer Domain in der Mailjet App
Folgen Sie dem hier beschriebenen Verfahren.
Sobald Ihre Domain auf beiden Seiten verifiziert ist, beginnen wir mit der Einrichtung der SSO-Authentifizierung zwischen Azure und Mailjet.
SSO-Konfiguration in Azure
Geben Sie Ihr Azure-Konto ein und navigieren Sie zum "Azure Active Directory" (AD).
Klicken Sie dort auf "Unternehmensanwendungen".
Wählen Sie oben auf dem Bildschirm "Neue Anwendung".
Klicken Sie dann auf "Eigene Anwendung erstellen" und folgen Sie den Konfigurationsschritten.
Sobald Sie Ihre Anwendung erstellt haben, klicken Sie darauf...
...und wählen Sie die zweite Option "SSO einrichten".
Wählen Sie die Methode "SAML" für die SSO-Konfiguration.
Auf der nächsten Seite finden Sie die entsprechenden Angaben zum Identitätsanbieter und die Formulare, die Sie ausfüllen müssen.
Im ersten Schritt"Grundlegende SAML-Konfiguration" müssen Sie die relevanten Dienstanbieterdetails von Mailjet übernehmen und die markierten Abschnitte unten ausfüllen.
Bereitstellen von Mailjet-Informationen für Azure
Azure
|
Mailjet
|
Identifikator (Entitäts-ID) |
Entitäts-ID |
Antwort-URL (Assertion Consumer Service URL) |
ACS-URL |
Abmelde-URL (Optional) |
Einmaliges Abmelden (SLO) |
Gehen Sie zum dritten Schritt "SAML-Zertifikate" und wählen Sie"SAML-Antwort und-Assertion signieren" aus dem Dropdown-Menü unter "Signaturoption". Das "Signaturalgorithmus"-Feld sollte nicht bearbeitet werden (SHA-256).
Vergessen Sie nicht, das Base64-Zertifikat herunterzuladen, da Sie es später für die Mailjet-Konfiguration benötigen.
Wenn Sie die Schritte 1 und 3 abgeschlossen haben, müssen Sie dasselbe auf der Mailjet-Seite tun.
Um auf die SAML-Konfiguration auf Mailjet zuzugreifen, klicken Sie auf der Seite Kontoinformationen auf Kontoeinstellungen --> SAML-Auth.(SSO) .
Wählen Sie "SAML-Auth. einrichten".
Dort finden Sie das Formular, das Sie ausfüllen müssen
Um die SSO-Konfiguration zu aktivieren, müssen alle erforderlichen Felder mit den Identitätsanbieterdetails von Azure ausgefüllt werden.
Bereitstellen von Azure-Informationen für Mailjet
Mailjet |
Azure |
Comment |
Assoziierte Domain(s) |
- |
Der benutzerdefinierte Domänenname muss in Azure und Mailjet hinzugefügt und verifiziert werden |
Entitäts-ID des IdP |
Azure AD-Kennung |
|
Präferenz für die Signierung von Anfragen |
Abschnitt SAML-Signaturzertifikat > Bearbeiten > Signaturoption |
Sollte sein Sign SAML response and assertion |
Einfacher Anmeldungs-URL |
Anmelde-URL |
|
Dienst-URL für einmaliges Abmelden |
Abmelde-URL |
|
X.509-Zertifikat |
Zertifikat (Base64) |
Muss als Base64 heruntergeladen und in einem Texteditor geöffnet werden, damit der Wert im erforderlichen Format kopiert werden kann |
Verwaltung der Benutzer
Mailjet
Unsere SAML-basierte SSO-Funktion kann Ihren Endbenutzern den Zugriff auf die Mailjet-Anwendung über einen Identitätsanbieter (IdP) ermöglichen. Alle Benutzer, denen Sie gemeinsamen Zugriff auf Ihr Konto gewährt haben, werden im Abschnitt "Nutzer" aufgeführt.
Hinweis: Single Sign-On ist standardmäßig für alle Benutzer deaktiviert. Nur aktive Benutzer mit einer zugeordneten Domäne in der SAML-Konfiguration können sich über SSO bei Ihrem Konto anmelden.
Sie können die SSO-Funktionalität für alle Benutzer auf einmal aktivieren, indem Sie auf die Schaltfläche "Enable SAML for all" (SAML für alle aktivieren) klicken...
... oder manuell wählen, um den Zugang für einzelne Benutzer einzeln zu aktivieren oder zu deaktivieren.
Identitätsanbieter (Okta)
Sobald Sie Ihre Endbenutzer in der Mailjet-Anwendung aktiviert haben, müssen Sie sie auch zu Ihrem Identitätsanbieter (IdP), in diesem Fall Okta, hinzufügen.
Öffnen Sie Ihr Okta-Konto, gehen Sie zu "Directory --> People" (Verzeichnis --> Personen) und klicken Sie auf "Add person" (Person hinzufügen).
Nachdem Sie alle erforderlichen Informationen eingegeben haben, wählen Sie "Save" (Speichern).
Hinweis: Wenn Sie den neuen Benutzer sofort benachrichtigen und ihm eine Aktivierungs-E-Mail senden möchten, aktivieren Sie das Kontrollkästchen "Send user activation email now" (Benutzer-Aktivierungs-E-Mail jetzt senden). Der Benutzer wird dann aufgefordert, auf einen Link zu klicken, um sein Okta-Konto zu aktivieren.
Im nächsten Schritt besuchen Sie die "Applications page" (Anwendungsseite) und wählen die Anwendung aus, der Sie den neu hinzugefügten Benutzer zuweisen möchten.
Wählen Sie im Drop-down-Menü Zuweisen die Option "Assign to people" (Personen zuweisen) aus.
Klicken Sie bei dem zuvor hinzugefügten Benutzer auf "Assign" (Zuweisen).
Hinweis: Es werden nur nicht zugewiesene Benutzer angezeigt.
Sie werden dann zur "People page" (Seite Personen) weitergeleitet, um alle Benutzer zu finden, die Ihrem Okta-Konto hinzugefügt wurden, und ihren aktuellen Status.
Wenn alle oben genannten Schritte korrekt befolgt wurden, sollten Endbenutzer mit Zugriff auf Ihre Mailjet-Anwendung keine Probleme haben, sich über SSO anzumelden.
Identitätsanbieter (Azure)
Sobald Sie Ihre Endbenutzer in der Mailjet-Anwendung aktiviert haben, müssen Sie sie auch zu Ihrem Identitätsanbieter (IdP), in diesem Fall Azure, hinzufügen.
Öffnen Sie Ihr Azure-Konto, gehen Sie zu Azure Active Directory (AD) --> Benutzer und klicken Sie auf "Neuer Benutzer .
Befolgen Sie alle Schritte und fügen Sie den neuen Benutzer hinzu, der auf der Seite "Benutzer" angezeigt wird .
Hinweis: Geben Sie die E-Mail-Adresse in Kleinbuchstaben ein. ( Hierbei muss darauf geachtet werden, dass die Überprüfung case sensitive ist. )
Nun müssen Sie den neu erstellten Benutzer der zuvor erstellten Mailjet-Anwendung zuweisen.
Gehen Sie zur Anwendung und wählen Sie "Benutzer und Gruppen zuweisen" aus .
Klicken Sie dann auf "Benutzer/Gruppe hinzufügen" ...
...und wählen Sie den Benutzer, dem Sie SSO-Zugriff gewähren möchten, aus der Liste aus.
Nach der Auswahl und Zuweisung wird der Benutzer auf der Seite "Benutzer und Gruppen" angezeigt . Alle auf dieser Seite angezeigten Benutzer haben SSO-Zugriff auf Ihre Anwendung.
Wenn alle oben genannten Schritte korrekt ausgeführt wurden, sollten sich Endbenutzer mit Zugriff auf Ihre Mailjet-Anwendung problemlos über SSO anmelden können.
Anmeldung mit SSO
Um sich anzumelden, klicken Sie auf die Schaltfläche "mit SSO anmelden" auf der Anmeldeseite von Mailjet.
Daraufhin wird ein neues Fenster mit einem einzigen Eingabeformular für Ihre E-Mail angezeigt.
Geben Sie Ihre E-Mail-Adresse ein und klicken Sie auf die Schaltfläche "Anmelden" , dann werden Sie zu Ihrem Konto-Dashboard weitergeleitet.