Single-Sign-On (SSO) hat den Vorteil, dass Benutzer damit zur Anmeldung bei Dashlane kein Master-Passwort benötigen, sondern sich mit ihren SSO-Zugangsdaten anmelden können. Dieser Artikel zeigt Ihnen, wie Sie SSO mit einer vor Ort (oder in der Cloud gehosteten) ADFS-Infrastruktur einrichten.
Bitte vergewissern Sie sich, dass Folgendes der Fall ist, bevor Sie beginnen:
- Sie haben sich die SSO-Übersichtsseite durchgelesen.
- Sie haben sich für Dashlane Business registriert. Bei Dashlane Team kann SSO nicht aktiviert werden. Wenn Sie ein Upgrade durchführen möchten, kontaktieren Sie den Dashlane-Support.
- Sie haben Zugang zu den Metadaten und ggf. der Konsole des SSO-Identitätsanbieters.
Inhalt
Video-Rundgang – Schritt für Schritt
Übersicht über Single Sign-On (SSO)
Das Master-Passwort wird von Dashlane aktuell als Schlüssel zur Ver-/Entschlüsselung von Benutzerdaten verwendet. Mithilfe von SSO können sich Ihre Benutzer jetzt jedoch anstatt mit einem Master-Passwort mit ihren SSO-Zugangsdaten im Dashlane-Tresor anmelden. In Kombination mit der SSO-Verbindung von Dashlane ist die Anmeldung mit SSO-Zugangsdaten unter Beibehaltung der Zero-Knowledge-Sicherheitsarchitektur von Dashlane möglich.
Wenn ein Benutzer versucht, sich mithilfe von SSO anzumelden, wird er an die SSO-Verbindung von Dashlane weitergeleitet, die mit dem Identitätsanbieter verknüpft ist.
Nachdem der Benutzer sich angemeldet hat, sendet die SSO-Verbindung einen einzigartigen Schlüssel an den Client, durch den die Benutzerdaten dann entschlüsselt werden.
Alle Benutzerschlüssel werden von der SSO-Verbindung verwaltet. Um unsere patentierte Zero-Knowledge-Sicherheitsarchitektur aufrechtzuerhalten, muss die SSO-Verbindung in einer Umgebung gehostet werden, die von Ihrem Unternehmen kontrolliert wird. Die SSO-Verbindung läuft auf Docker und kann in einer Umgebung gehostet werden, in der Docker vorhanden ist.
Systemanforderungen
Besondere Anforderungen an Dashlane
- Dashlane Business (Dashlane-Team unterstützt kein SSO)
- Mindestversion der Dashlane-App:
- Web: v6.2030.3
- iOS: v6.2029.0
- Android: v6.2030.1
SSO aktivieren
Schritt 1: Überprüfen Sie Ihre Domain
Sie müssen die Domain Ihres Unternehmens bestätigen. Nachdem Sie SSO aktiviert haben, müssen sich alle Benutzer Ihrer Unternehmens-Domain über SSO anmelden.
- Melden Sie sich in der Administrator-Konsole von Dashlane an, gehen Sie zum Tab Einstellungen und klicken Sie auf Single Sign-On.
- Geben Sie im Feld Verifizieren Sie die E-Mail-Domain Ihres Unternehmens den Domain-Namen Ihres Unternehmens ein und klicken Sie auf die Schaltfläche Hinzufügen.
- Wenn Sie mehrere E-Mail-Domains für Ihren SSO-Anbieter konfiguriert haben, fügen Sie alle zusätzlichen Domains hinzu und verifizieren Sie diese.
- Kopieren Sie die Werte Hostname sowie TXT und fügen Sie diese zu einem neuen DNS TXT Record für Ihre Domain hinzu. Klicken Sie anschließend auf die Schaltfläche Domain verifizieren. Die Verifizierung der Domain kann bis zu 24 Stunden dauern.
- Verifizieren Sie alle E-Mail-Domains, die Ihre Benutzer zur SSO-Anmeldung nutzen werden. Wenn Sie über mehr als 5 Domains verfügen, wenden Sie sich bitte an den Dashlane-Support.
Schritt 2: Konfigurieren Sie die SSO-Verbindung
- Gehen Sie zurück zum Abschnitt SAML-SSO des Tabs Einstellungen in der Administrator-Konsole.
- Kopieren Sie die SAML-Metadaten von ADFS und fügen Sie sie in das Feld Geben Sie hier die Metadaten des Identitätsanbieters ein ein. Wenn Sie Ihre Metadaten nicht finden, können Sie Ihre ADFS-Metadaten-URL aufrufen. ADFSName.Domain.com ist dort die URL Ihres ADFS-Servers bzw. Ihrer ADFS-Serverfarm.
https://ADFSName.Domain.com/FederationMetadata/2007-06/FederationMetadata.xml
Alternativ können Sie auch die Tools von Microsoft zum Herunterladen Ihres Federation Metadata Document nutzen.
- Es gibt drei Möglichkeiten, den SSO Encryption Connector zu installieren. Je nachdem, für welche Möglichkeit Sie sich entscheiden, werden sich Ihre URLs für ACS und Entity ID ändern. Ihre URL sieht dann wie folgt aus, wobei „mycompany“ durch den Namen Ihres Unternehmens ersetzt wird. Wenn Ihr Unternehmensname acmeco lautet, dann wäre der Name Ihres SSO-Connectors auf Azure https://acmecosso.azurewebsites.net.
Service-Host für SSO-Verschlüsselung Endpunkt der SSO-Verbindung Azure (empfohlen) https://mycompanysso.azurewebsites.net AWS https://mycompanysso.mycompany.com Linux VM (erweitert) https://mycompanysso.mycompany.com - Geben Sie den Endpunkt der SSO-Verbindung im Administrator-Portal von Dashlane ein.
- Klicken Sie auf SSO-Verbindungsschlüssel erzeugen. Dadurch wird ein Schlüssel generiert, mit dem alle Daten Ihres Unternehmens verschlüsselt werden. Kopieren Sie den generierten Schlüssel und speichern Sie ihn an einem sicheren Ort (z. B. in einer sicheren Notiz in Dashlane). Wir empfehlen auch, ihn mit allen anderen Administratoren zu teilen. Sie werden diesen Schlüssel anschließend nicht mehr aufrufen können.
- Klicken Sie auf die Schaltfläche Konfigurationsdatei herunterladen.
Einrichtung der SSO-Verbindung abschließen
Bevor Sie fortfahren, muss der Verschlüsselungsdienst für die SSO-Verbindung abgeschlossen sein. Informieren Sie sich über den SSO-Verschlüsselungsdienst und besuchen Sie dann den folgenden Artikel für Ihre bevorzugte Plattform.
Schritt 3: Konfigurieren Sie ADFS
- Für die Konfiguration von ADFS benötigen Sie die SAML-Metadaten des SSO-Verbindungsdienstes. Öffnen Sie dazu https://<SSO Connector Endpoint>/saml/ auf einem ADFS-Server oder einem Gerät, das die SSO-Verbindung erreichen kann. Dadurch wird eine lokale Kopie der SAML-Metadaten heruntergeladen.
- Übertragen Sie die SAML-Metadatendatei auf den ADFS-Server.
- Öffnen Sie die ADFS-Verwaltungskonsole und klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen.
- Wählen Sie im Menü Ansprüche unterstützen aus und klicken Sie auf Start.
- Wählen Sie Daten über die vertrauende Seite aus einer Datei importieren aus und klicken Sie auf die Schaltfläche Durchsuchen, um die XML-Datei mit den Metadaten Ihrer SSO-Verbindung auszuwählen, die Sie im zweiten Schritt oben gespeichert haben. Klicken Sie danach auf Weiter.
- Geben Sie „Dashlane SSO-Verbindung“ als Anzeigename ein und klicken Sie auf Weiter.
- Wählen Sie Ihre Autorisierungsrichtlinie und klicken Sie auf Weiter. Die Ausstellungsautorisierung ist abhängig von den Sicherheitsvorschriften Ihres Unternehmens. Für unser Beispiel erlauben wir allen Benutzern den Zugriff.
- Überprüfen Sie die Vertrauensstellung der vertrauenden Seite, die konfiguriert wurde. Klicken Sie anschließend auf Weiter und dann auf Schließen. Die neue Vertrauensstellung wird schließlich erstellt.
- Als Nächstes müssen Sie der Dashlane SSO-Verbindung erlauben, die E-Mail-Adresse des Benutzers von ADFS abzurufen. Wählen Sie die neu erstellte Vertrauensstellung der vertrauenden Seite aus. Sollten Sie sie nicht sehen, klicken Sie auf Vertrauensstellung der vertrauenden Seite in der linken Seitenleiste. Klicken Sie dann auf Anspruchsausstellungsrichtlinie bearbeiten.
- Klicken Sie unten links im Fenster auf Regel hinzufügen.
- Klicken Sie in der Liste Anspruchsregelvorlage auf Eingehenden Anspruch transformieren und klicken Sie auf Weiter.
- Wählen Sie im Feld Anspruchsregelname E-Mail als Namens-ID senden aus.
- Setzen Sie den Eingehenden Anspruchstyp auf UPN.
- Setzen Sie den Ausgehenden Anspruchstyp auf Namens-ID.
- Setzen Sie das ID-Format des ausgehenden Namens auf E-Mail.
- Klicken Sie auf die Schaltfläche Fertigstellen.
Schritt 4: Testen und aktivieren Sie die SSO-Funktion
Anhand eines Schnelltests können Sie sichergehen, dass die SSO-Verbindung und ADFS korrekt konfiguriert sind.
- Navigieren Sie zur Dashlane-Administrator-Konsole und klicken Sie auf SSO-Verbindung testen.
- Sie können sich mit jedem Benutzerkonto anmelden, das in ADFS für Kontotests registriert ist. Sobald Sie sich erfolgreich angemeldet haben, sollte Ihnen eine Erfolgsnachricht angezeigt werden. Wenn Sie die Meldung nicht sehen, wenden Sie sich bitte an den Dashlane-Support.
- Klicken Sie auf SSO aktivieren.
Sie haben SSO für alle Benutzer aktiviert. Administratoren in Dashlane sind davon ausgenommen. Sie melden sich weiterhin mit ihrem Master-Passwort an. Alle anderen Benutzer müssen SSO für die Anmeldung verwenden.