SAML-Integration mit Active Directory Federation Services (ADFS)

Durch die Integration von Lucidchart mit ADFS können sich Ihre Nutzer mittels SAML-Single-Sign-On über ADFS authentifizieren. Im folgenden Tutorial erfahren Sie Schritt für Schritt, wie Sie ADFS mit Lucidchart integrieren.

Die SAML-Integration ist nur mit Enterprise-Konten verfügbar. Für ein Upgrade Ihres Kontos besuchen Sie bitte unsere Preisinformationen oder kontaktieren Sie unser Vertriebsteam.

Laden Sie zuerst die Föderationsmetadaten herunter und importieren Sie diese in Lucidchart.

    1. Laden Sie die Föderationsmetadaten herunter. Die Föderationsmetadaten finden Sie unter der nachfolgenden URL am ADFS-Server. Ersetzen Sie [myserver.domain], um Ihre ADFS-Server-URL zu erhalten:

      https://[myserver.domain].com/Föderationsmetadaten/2007-06/Föderationsmetadaten.xml
    2. Navigieren Sie zum Admin-Panel von Lucidchart, indem Sie auf dem Dokumentenbildschirm von Lucidchart „Team“ auswählen.

      „Team“-Schaltfläche
    3. Wählen Sie „App-Integration“ aus.

      App-Integration
    4. Wählen Sie auf der Integrationsseite „SAML“ aus.

      SAML
    5. Wählen Sie „SAML-Integration aktivieren“ oben auf der Seite aus.


      SAML aktivieren
    6. Geben Sie Ihre Konto-Domain im Bereich für die Lucidchart-Anmelde-URL ein. Achten Sie darauf, nur die Domain einzugeben und nicht die vollständige URL.

      Domäne
    7. Öffnen Sie die Föderationsmetadaten-XML-Datei mit einem Texteditor. Kopieren Sie den Text aus der XML-Datei, fügen Sie ihn in das Feld unter dem Bereich „Metadaten des Identity Providers“ ein und wählen Sie „Änderungen speichern“ aus.

      Änderungen speichern

Herzlichen Glückwunsch! Sie haben SAML erfolgreich in Lucidchart eingerichtet. Als Nächstes erstellen und konfigurieren wir in ADFS den Relying Party Trust von Lucidchart.

Als Nächstes erstellen und konfigurieren wir mithilfe der Metadaten von Lucidchart einen Relying Party Trust.

  1. Wählen Sie auf der Lucidchart-SAML-Seite „Metadaten herunterladen“ aus, um die Metadaten von Lucidchart herunterzuladen. Speichern Sie die Metdaten an einem Ort, auf den der ADFS-Server Zugriff hat.

    Metadaten herunterladen
  2. Öffnen Sie ADFS und klicken Sie mit der rechten Maustaste auf „Relying Party Trust“. Wählen Sie „Relying Party Trust hinzufügen“ aus dem Menü aus, um den Assistenten zum Hinzufügen eines Relying Party Trust zu öffnen.

    ADFS-Fenster
  3. Klicken Sie sich durch das Willkommensfenster. Wählen Sie auf dem Bildschirm, auf dem die Auswahl der Datenquelle erfolgt, „Daten über die Relying Party aus einer Datei importieren“ aus. Klicken Sie auf „Durchsuchen“ und suchen Sie die Lucidchart-Metadaten-Datei. Passen Sie die restlichen Einstellungen an die Vorlieben Ihres Unternehmens an.

    Assistent zum Hinzufügen eines Relying Party Trust
  4. Klicken Sie mit der rechten Maustaste auf den soeben erstellten Relying Party Trust von Lucidchart und wählen Sie „Eigenschaften“ aus dem Dropdown-Menü aus. Wählen Sie den Tab „Erweitert“ aus, vergewissern Sie sich, dass „SHA-256“ als Hash-Algorithmus ausgewählt ist und wählen Sie „Anwenden“ aus.

  5. Klicken Sie mit der rechten Maustaste auf den Relying Party Trust von Lucidchart und wählen Sie „Anspruchsregeln bearbeiten“ aus. Fügen Sie mithilfe des LDAP eine Anspruchsregel hinzu und konfigurieren Sie die Anspruchsregel, damit sie den unten angezeigten Attributen und Anspruchsarten entspricht. Klicken Sie anschließend auf „Fertigstellen“.

    Assistent zum Hinzufügen einer Transformationsanspruchsregel

Sie haben die ADFS-SAML-Integration in Lucidchart nun abgeschlossen und Ihr Lucidchart-Konto unterstützt jetzt Single Sign-Ons mit SAML durch ADFS.

Selbstverständlich hoffen wir, dass das Einrichten der Integration vollkommen problemlos verläuft. Sollten dennoch Fehler auftreten, finden Sie hier Tipps, wie Sie diese schnell beheben können.

Ungültige SAML-Antwort

Dieser Fehler entspricht einer fehlerhaften SAML-Antwort vom IDP. In der Regel bedeutet es, dass der Hash-Algorithmus in ADFS von „SHA-256“ auf „SHA-1“ geändert werden muss. Navigieren Sie zum Relying Party Trust von Lucidchart, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Eigenschaften“ aus. Klicken Sie auf den Tab „Erweitert“ und ändern Sie den Hash-Algorithmus von „SHA-256“ auf „SHA-1“.

SAML wurde für Ihr Team nicht konfiguriert. Fordern Sie eine Einladung von einem für SAML aktivierten Team an.

Dieser Fehler tritt auf, wenn sich ein Nutzer, der keinem für SAML aktivierten Team zugeordnet ist, über SAML anmelden will. Der Administrator muss diesem Nutzer eine Einladung schicken, damit er in das Team aufgenommen wird. Wählen Sie im Admin-Bereich von Lucidchart die Option „Nutzer“ aus. Klicken Sie oben rechts auf „+ Nutzer“ und geben Sie die E-Mail-Adresse des betreffenden Nutzers ein.

Ungültiges Identitätsattribut

Diese Fehlermeldung weist darauf hin, dass bei der SAML-Antwort ein ungültiges Identitätsattribut erhalten wurde. Konfigurieren Sie ein Anspruchsattribut für den Relying Party Trust von Lucidchart, in dem die Angaben unter „E-Mail-Adressen“ mit den Angaben unter „Name-ID“ in ADFS übereinstimmen.

XML konnte nicht geparst werden

Diese Fehlermeldung zeigt eine fehlerhafte Syntax in den XML-Metdaten des Identity Providers an. Dies kann passieren, wenn Metadaten über ein Internet-Explorer-Fenster heruntergeladen werden. Internet Explorer fügt Gedankenstriche in die XML-Tags zum Auf- und Zuklappen ein. Sie können dieses Problem beheben, indem Sie entweder die XML-Daten in einem Texteditor öffnen oder alle Gedankenstriche im kopierten XML-Text löschen.

Erstellung von Nutzern benutzername_12345@beispiel.com

Die Lucidchart-SAML-Integration kennt drei Attribute: Vorname, Nachmame und E-Mail-Adresse. Wenn der SAML-Identity Provider eine ungültige E-Mail-Adresse überträgt, wird eine gültige E-Mail-Adresse generiert, um den Nutzer zu erstellen: „Übertragungswert“ + „SAML-ID“ + „@beispiel.com“. Dies ist häufig der Fall, wenn anstatt einer gültigen E-Mail-Adresse ein Nutzername oder ein Vorname an das E-Mail-Adressen-Attribut übertragen wird. Sie können dieses Problem beheben, indem Sie Ihre Anspruchsregel so konfigurieren, dass eine gültige E-Mail-Adresse an das E-Mail-Adressen-Attribut gesendet wird.

 

1 von 1 fanden dies hilfreich