Mithilfe der Single Sign-On-(SSO)-Funktion von Dashlane können sich Ihre Benutzer im Dashlane-Tresor anstatt mit einem Master-Passwort mit ihren SSO-Zugangsdaten anmelden. Nachstehend finden Sie Anweisungen, wie Sie die Funktion mittels ADFS einrichten.
Bitte beachten Sie, dass diese Funktion ausschließlich Benutzern von Dashlane Business zur Verfügung steht.
Inhalt
Übersicht über Single Sign-On (SSO)
Das Master-Passwort wird heutzutage als einer der Schlüssel zur Ver-/Entschlüsselung von Benutzerdaten verwendet. Mithilfe von SSO können sich Ihre Benutzer jetzt jedoch anstatt mit einem Master-Passwort mit ihren SSO-Zugangsdaten im Dashlane-Tresor anmelden. In Kombination mit der SSO-Verbindung von Dashlane haben sie die Möglichkeit, die Anmeldung mit ihren SSO-Zugangsdaten vorzunehmen, während Dashlane seine Zero-Knowledge-Sicherheitsarchitektur beibehält.
Wenn ein Benutzer versucht, sich mithilfe von SSO anzumelden, wird er an die SSO-Verbindung von Dashlane weitergeleitet, die mit dem Identitätsanbieter verknüpft ist.
Nachdem der Benutzer sich erfolgreich angemeldet hat, sendet die SSO-Verbindung einen einzigartigen Schlüssel an den Client, durch den die Benutzerdaten dann entschlüsselt werden.
Alle Benutzerschlüssel werden von der SSO-Verbindung verwaltet. Um unsere patentierte Zero-Knowledge-Sicherheitsarchitektur aufrechtzuerhalten, muss die SSO-Verbindung in einer Umgebung gehostet werden, die von Ihrem Unternehmen kontrolliert wird. Die SSO-Verbindung läuft auf Docker und kann in einer Umgebung gehostet werden, in der Docker vorhanden ist.
Systemanforderungen
Besondere Anforderungen an Dashlane
- Dashlane Business (Dashlane-Team unterstützt kein SSO)
- Mindestversion der Dashlane-App:
- Web: v6.2030.3
- iOS: v6.2029.0
- Android: v6.2030.1
- Desktop-Apps werden nicht unterstützt
Anforderungen an die Kundenumgebung
- Active Directory Federation Services (ADFS) für den Identitätsanbieter
- Linux als virtuelle Maschine, die Docker unterstützt (zur Implementierung der SSO-Verbindung sind keine Vorkenntnisse zu Linux oder Docker nötig)
- Der SSO-Verbindungsdienst muss Endbenutzern zur Verfügung stehen, die HTTPS nutzen. Ein SSL-Zertifikat muss vorhanden sein, falls direkt über das Internet auf die Linux-Maschine zugegriffen werden kann.
SSO aktivieren
Domain verifizieren
Sie müssen die Domain Ihres Unternehmens bestätigen. Nachdem Sie SSO aktiviert haben, müssen sich alle Benutzer Ihrer Unternehmens-Domain über SSO anmelden.
1. Öffnen Sie die Administrator-Konsole von Dashlane und gehen Sie zum Tab Einstellungen.
2. Klicken Sie auf den Tab SAML-SSO. Im Feld Verifizieren Sie die E-Mail Domain Ihres Unternehmens geben Sie anschließend den Domain-Namen Ihres Unternehmens ein und klicken Sie auf die Schaltfläche Verifizieren.
3. Kopieren Sie die Werte Hostname sowie TXT und fügen Sie sie zu einem neuen DNS TXT Record für Ihre Domain hinzu. Klicken Sie anschließend auf die Schaltfläche Domain verifizieren. Die Verifizierung der Domain kann bis zu 24 Stunden dauern.
Konfigurationsschritte mit der SSO-Verbindung
Ihre Domain muss verifiziert werden, bevor Sie die SSO-Verbindung konfigurieren können.
1. Gehen Sie zurück zum Abschnitt SAML-SSO des Tabs Einstellungenin der Administrator-Konsole.
2. Kopieren Sie die SAML-Metadaten von ADFS und fügen Sie sie in das Feld Geben Sie hier die Metadaten des Identitätsanbieters ein ein. Wenn Sie Ihre Metadaten nicht finden, können Sie Ihre ADFS-Metadaten-URL aufrufen. „ADFSName.Domain.com“ ist dort die URL Ihres ADFS-Servers bzw. Ihrer ADFS-Serverfarm.
https://ADFSName.Domain.com/FederationMetadata/2007-06/FederationMetadata.xml
Alternativ können Sie auch die Tools von Microsoft zum Herunterladen Ihres Federation Metadata Document nutzen.
3. Geben Sie die URL ein, unter der Ihre SSO-Verbindungsinstanz zu finden sein wird. Es handelt sich um die URL, über die der SSO-Verbindungsdienst erreicht werden kann (wie https://ssoconnector.company.com).
Hinweis: Das Suffix „/saml/login“ wird eventuell automatisch an das Ende Ihres Pfades angehängt.
4. Klicken Sie auf die Schaltfläche SSO-Verbindungsschlüssel erzeugen. Ein Schlüssel wird erstellt, mit dem die gesamten Daten Ihres Computers verschlüsselt werden. Kopieren Sie daraufhin den erstellten Schlüssel und speichern Sie ihn an einem sicheren Ort (z. B. als eine sichere Notiz in Dashlane). Wir empfehlen darüber hinaus, ihn mit allen anderen Administratoren zu teilen. Sie werden diesen Schlüssel anschließend nicht mehr aufrufen können.
5. Klicken Sie auf die Schaltfläche Konfigurationsdatei herunterladen.
6. Klicken Sie auf die Schaltfläche Installationsskript, um die Einrichtung für den SSO-Verbindungsdienst abzuschließen.
Konfigurationsschritte mit ADFS
Sie müssen zunächst die SSO-Verbindung einrichten , bevor Sie fortfahren können.
1. Für die Konfiguration von ADFS benötigen Sie die SAML-Metadaten des SSO-Verbindungsdienstes. Öffnen Sie dazu https://<SSO Connector Endpoint>/saml/ auf einem ADFS-Server oder einem Gerät, das die SSO-Verbindung erreichen kann. Dadurch wird eine lokale Kopie der SAML-Metadaten heruntergeladen.
2. Übertragen Sie die SAML-Metadatendatei auf den ADFS-Server.
3. Öffnen Sie die ADFS-Verwaltungskonsole und klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen.
4. Wählen Sie im Menü Ansprüche unterstützen aus und klicken Sie auf Start.
5. Wählen Sie Daten über die vertrauende Seite aus einer Datei importieren aus und klicken Sie auf die Schaltfläche Durchsuchen. Jetzt können Sie die XML-Datei mit den Metadaten Ihrer SSO-Verbindung, die Sie im zweiten Schritt oben gespeichert haben, hochladen. Klicken Sie danach auf Weiter.
6. Geben Sie „Dashlane SSO-Verbindung“ als Anzeigename ein und klicken Sie auf Weiter.
7. Wählen Sie Ihre Autorisierungsrichtlinie und klicken Sie auf Weiter. Die Ausstellungsautorisierung ist abhängig von den Sicherheitsvorschriften Ihres Unternehmens. Für unser Beispiel erlauben wir allen Benutzern den Zugriff.
8. Überprüfen Sie die Vertrauensstellung der vertrauenden Seite, die konfiguriert wurde. Klicken Sie anschließend auf Weiter und dann auf Schließen. Die neue Vertrauensstellung wird schließlich erstellt.
9. Als Nächstes müssen Sie der Dashlane SSO-Verbindung erlauben, die E-Mail-Adresse des Benutzers von ADFS abzurufen. Wählen Sie die neu erstellte Vertrauensstellung der vertrauenden Seite aus. Sollten Sie sie nicht sehen, klicken Sie auf Vertrauensstellung der vertrauenden Seite in der linken Seitenleiste. Klicken Sie dann auf Anspruchsausstellungsrichtlinie bearbeiten.
10. Klicken Sie links unten im Fenster auf die Schaltfläche Regel hinzufügen ….
11. Klicken Sie in der Liste „Anspruchsregelvorlage“ auf Eingehenden Anspruch transformieren und klicken Sie auf Weiter.
12. Geben Sie im Feld Anspruchsregelname „E-Mail als Namens-ID senden“ ein. Setzen Sie den Eingehenden Anspruchstyp auf „UPN“. Setzen Sie den Ausgehenden Anspruchstyp auf „Namens-ID“. Setzen Sie das ID-Format des ausgehenden Namens auf „E-Mail“. Klicken Sie zum Schluss auf die Schaltfläche Fertigstellen.
SSO testen und aktivieren
1. Anhand eines Schnelltests können Sie sichergehen, dass die SSO-Verbindung und ADFS korrekt konfiguriert sind. Gehen Sie dazu wieder zurück zur Administrator-Konsole von Dashlane und klicken Sie auf Verbindung testen.
Sie können sich mit jedem Benutzerkonto anmelden, das in ADFS für Kontotests registriert ist. Sobald Sie sich erfolgreich angemeldet haben, sollten Sie die Nachricht Erfolgreich! angezeigt bekommen. Falls Sie keine Nachricht erhalten, kontaktieren Sie bitte den Dashlane-Support für Unterstützung.
2. Sie können nun SSO für alle Benutzer aktivieren. Administratoren in Dashlane sind davon ausgenommen. Sie melden sich weiterhin mit ihrem Master-Passwort an. Alle anderen Benutzer müssen SSO für die Anmeldung verwenden.
Achtung: Solange sich SSO im Vorschaumodus befindet, können Sie keine Benutzer mit bestehenden Dashlane-Konten einladen oder einen Administrator ernennen. Weitere Informationen finden Sie in den Einschränkungen für SSO.