Kontakt Menü

Single Sign-on (SSO)

Erfahre hier mehr Neue Features Trouble Shooting Unterstützte Browser Support Zeiten Kontakt

Konfiguration der Anmeldung mit SAML SSO

SAML-basiertes-Anmelden (SSO) gewährt Usern mittels eines Identity-Providers (IdP) deiner Wahl Zugang zu Radancys Mitarbeiterempfehlungsprogramm.

 

Provisioning

 

Radancys Mitarbeiterempfehlungsprogramm unterstützt Identity Provider (IdP) Initiated Flow, Service Provider (SP) Initiated Flow sowie Just-In-Time-Provisioning.

Für SP-initiiertes-Anmelden, gehe zu https://DEINEDOMAIN.1brd.com/login.

Dein IdP sollte sicherstellen, dass ein User sowohl authentifiziert als auch autorisiert ist, bevor eine Anfrage gesendet wird. Wenn ein User nicht autorisiert ist, sollte keine Anfrage gesendet werden.

 

Step 1: Einrichten deines Identity Providers (IdP Konfiguration)

Um zu beginnen, richte bitte eine Verbindung (oder einen Connector) für Radancys Mitarbeiterempfehlungsprogramm zu deinem IdP ein. Einige Anbieter, mit denen wir zusammenarbeiten, haben Hilfeseiten für die Aktivierung von SAML mit dem Mitarebeiterempfehlungsprogramm erstellt:


Manuelle Identity Provider (IdP) Konfiguration

Um die Einrichtung einfach zu gestalten, findest du alle wichtigen Informationen, die für die Konfiguration deines IdP notwendig sind, direkt im Unternehmens-Account in den "Account-Einstellungen" - "Authentifizierung" - "Single-Sign-on" (nur sichtbar, wenn SSO gebucht und von Radancy aktiviert wurde).

Hier auf einen Blick zusammengefasst:

  • Entity-ID
    https://DEINEDOMAIN.auth.1brd.com/saml/sp

  • Post-Backup-URL für die SSO-Anmeldung (SSO)
    https://DEINEDOMAIN.auth.1brd.com/saml/callback

  • Adresse zur Metadata.xml 
    https://DEINEDOMAIN.auth.1brd.com/saml/sp/metadata
    (Falls eine autom. Konfiguration möglich ist)

Bitte beachten!

Radancy unterstützt http-POST-Binding. Du kannst das http-POST-Bindung in den IdP-Metadaten konfigurieren.

 

Einstellungen, die in deinem Identity Provider vorgenommen werden müssen

  • NameID (Pflichtfeld)


<saml:Subject>

    <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">

Dein eindeutiger Identifikator

   </saml:NameID>

</saml:Subject>

 

Bitte beachten!

Um die SAML-Spezifikationen zu erfüllen, muss die „Name-ID“ eindeutig sein.

  • E-Mail-Attribut (Pflichtfeld)


<saml:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

    <saml:AttributeValue

     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">your.user@deinedomäne.com

    </saml:AttributeValue>

</saml:Attribute>

 

  • SessionDuration-Attribut (optional)

 

Dieses Attribut hat lediglich Auswirkungen auf die Anmeldedauer. Das Element enthält ein "AttributeValue-Element", das angibt, wie lange die Benutzerin bzw. der Benutzer auf das Mitarbeiterempfehlungsprogramm zugreifen kann, bevor eine neue Anmeldung erfolgen muss.

Der Wert ist eine Ganzzahl, die die Anzahl der Sekunden für die Sitzung angibt. Der Wert muss mindestens auf 1200 Sekunden (20 Minuten) eingestellt sein. Ist ebenfalls das Attribut "SessionNotOnOrAfter" des "AuthnStatement" Elements gesetzt, wird der niedrigere Wert von beiden Attributen genutzt. 

 

<saml:Attribute Name="https://auth.1brd.com/saml/attributes/sessionduration">

    <saml:AttributeValue

        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">86400

    </saml:AttributeValue>

</saml:Attribute>

 

Step 2: Einrichten deines Mitarbeiter-werben-Mitarbeiter Accounts (SP Konfiguration)

Zur finalen Konfiguration in Radancys Mitarbeiter-werben-Mitarbeiter-Programm benötigen wir folgende drei wichtige Informationen deines IdP:

  1. Entity-ID 
    Das ist der eindeutige Identifikator für die Radancy-Verbindung. Diese Informationen wird von deinem IdP zur Verfügung gestellt.

  2. SSO Service URL
    Dies ist die Adresse deines IdP, an die Radancy Authentifizierungsanfragen sendet.

  3. Signing Certificate
    Radancy verlangt, dass die SAML-Assertions signiert sind und ein gültiges X.509 .pem-Zertifikat in Radancy hinterlegt ist, um deine Identität zu validieren.

 

Die oben beschrieben Einstellungen sind alle in den Metadata XML deines IdP zu finden.

Um die Konfiguration möglichst einfach zu gestalten, bietet Radancys Mitarbeiterempfehlungsprogramm folgende drei Optionen:

1. Konfiguration via IdP Metadata.XML upload
2. Konfiguration via IdP Metadata URL
3. Manuelle Konfiguration

 

1. Konfiguration via IdP Metadata.XML upload

Hierbei kannst du das Metadata-XML deines IdP hochladen. Wurde das XML erfolgreich hochgeladen, sind die Einstellungen entsprechend vorkonfiguriert. Eine manuelle Korrektur ist im Anschluss jederzeit möglich.

 

2. Konfiguration via IdP Metadata URL

Hierbei kannst du einfach die Adresse zum Metadata-XML deines IdP eingeben. Sobald wir das XML geprüft haben, sind die Einstellungen entsprechend vorkonfiguriert. Eine manuelle Korrektur ist im Anschluss jederzeit möglich.


3. Manuelle Konfiguration

Falls die oben genannten Optionen für dich nicht in Frage kommen, kannst du die Konfiguration auch manuell vornehmen.

 

Bitte beachten!

Für den Fall, dass zwei Zertifikate angezeigt werden, bitte immer nur das Zertifikat für „signing“ bei „Zertifikat zur Signierung“ eintragen.

 

screenshot-1.png

Sobald du mit den Einstellungen fertig bist, klicke auf den Button "Konfiguration speichern".

 

Step 3: Aktivieren von SSO

Sobald deine SSO-Konfiguration gespeichert wurde, kannst du Single-Sign-On aktivieren.

Sobald SSO aktiv ist, erscheint ein neuer Button auf der Login-Seite, mit der sich die User via SSO einloggen können.

 

Bitte beachten!

Wenn SSO aktiviert ist, bitte User NICHT manuell einladen.

Bei Problemen mit SSO bitte unseren Support kontaktieren.

 

SSO für bestehende Benutzer

Sollten sich bereits User im Mitarbeiter-werben-Mitarbeiter-Programm registriert haben, bevor SSO aktiviert wurde, kann im Nachhinein eine automatische Verlinkung vorgenommen werden. Dabei ist zu beachten, dass die E-Mail-Adresse, die im Assertion-Attribute vom IdP an das Mitarbeiterempfehlungsprogramm übergeben wird, identisch mit der E-Mail-Adresse ist, mit sich der User registriert hat.


Ist dies nicht der Fall, wird ein neuer User-Account angelegt!

 

 

Authentifizierung nur über Single Sign-On (SSO)

Neben Login mit SSO und Passwort, gibt es auch die Möglichkeit, die Anmeldung nur über SSO zu erlauben. Das funktioniert nur, wenn Single-Sign-On für deinen Unternehmens-Account aktiviert wurde und auch in Verwendung ist.

 

Empfohlene Schritte vor dem einschränken der Authentifizierung via Single Sign-On (SSO)

Bevor die Authentifizierung  für den Unternehmens-Account eingeschränkt wird, empfehlen wir dringend, einen Backup-Administrator-Benutzer mit einer E-Mail-Adresse und dediziertem Passwort zu erstellen.

Sollte SSO einmal nicht funktioniert, könnt ihr euch an unseren Support wenden. Einer unserer Supportmitarbeiter wird dann die SSO-Authentifizierung für euch deaktivieren. Im Anschluss könnt ihr dann euren Backup-Account nutzen, um Zugang zu eurem Unternehmens-Account zu erhalten.

 

Bevor du dieses Feature aktivierst, bitte zusammen mit eurer IT sicherstellen, dass SSO einwandfrei funktioniert. Wenn es Probleme mit SSO gibt und ihr das Feature aktiviert, kann es sein, dass ihr euch aussperrt.

 

Authentifizierung nur mit Single Sign-On aktivieren

Nachdem du Single Sign-on (SSO) erfolgreich für deinen Unternehmens-Account, zusammen mit eurer IT eing erichtet hast (siehe Artikel "Konfiguration der Anmeldung mit SAML SSO"), gehe zu den "Account Einstellungen", "Authentifizierung" und als nächstes zu "Single Sign-on".

Um die ausschließliche Registrierung bzw. Authentifizierung mit Single Sign-On zu aktivieren, klicke auf den Schalter neben "Authentifizierung nur über Single Sign-on".

Nach der Aktivierung des Features sieht der User Folgendes auf der Login Seite:

Screenshot_2023-02-24_at_12.54.01.png

 

Bitte beachten!

Sobald die Authentifizierung ausschließlich mit SSO aktiviert wurde, sind folgende Features deaktiviert:

  • User über das Mitarbeiterempfehlungsprogramm einladen
  • Registrierungsseite
  • Multi-Faktor-Authentifizierung
  • Passwort-Richtlinien

 

Das Zertifikat des IdP wurde aktualisiert

Falls das Zertifikat eures IdP aktualisiert wurde, muss dies auch im Unternehmens-Account angepasst werden, da sich die User ansonsten nicht mehr über SSO anmelden können.

Dabei empfehlen wir, einen Zugang mit Administrationsrechten zusammen mit einer E-Mail Adresse anzulegen (Bsp: bewerbung@domain.com), die nicht über SSO läuft. Dann könnt ihr euch trotz eines abgelaufenen Zertifikats anmelden und das Zertifikat in den "Account-Einstellungen" zusammen mit eurer IT aktualisieren.

Das neue Zertifikat eures IdP muss in den "Account-Einstellungen", "Authentifizierung" weiter zu "Single-Sign-On" und dann "Erweitern" bei "SAML-IdP-Metadata-Konfiguration" eingefügt werden.

Je nachdem welche Konfiguration vorhanden ist, musst du

  1. eine neue "Metadatendatei" hochladen,
    HC_SSO_Account_Einstellungen_1_DE.jpg

  2. eine neue "Metadata-URL" einfügen oder
    HC_SSO_Account_Einstellungen_2_DE.jpg

  3. nur den neuen Link bei "Zertifikat zur Signierung" bei "Manuelle Einstellungen" einfügen.
    HC_SSO_Account_Einstellungen_5_DE.jpg

Bitte beachten!

Für den Fall, dass seine IdP-Konfiguration verschiedene Zertifikate für „signing“ und „encryption“ vorsieht, stelle bitte sicher, dass nur das „signing“-Zertifikat bei „Zertifikat zur Signierung“ eingefügt wird.

 

screenshot-1.png

 

Klicke auf den Button "Konfiguration speichern", um die Änderungen zu speichern.

Wir empfehlen diese Anpassung zusammen mit eurer IT durchzuführen, damit die Änderungen korrekt übernommen werden.

Bitte beachten!

Eure IT kann die Änderungen im Radancy-Unternehmens-Account nicht allein durchführen, wenn kein Account mit Administrationsrechten zur Verfügung steht. 

 

Just-In-Time Bereitstellung für SAML SSO

Die Bereitstellung von Attributen mit JIT-Bereitstellung ermöglicht es Talent Scouts, entsprechende Registrierungsschritte zu überspringen.

Recruiter*innen erhalten alle relevanten Informationen für die Prämienvergabe und können Talent Scouts schneller identifizieren (z.B. über die bereitgestellte Mitarbeiter-ID). 

Personen mit Administrationsrechten müssen Benutzerrollen nicht mehr manuell anpassen. Mit der JIT-Bereitstellung kann allen Mitarbeitenden bei der Registrierung direkt die entsprechende Rolle zugewiesen werden.

Änderungen in ihrem System werden beim nächsten Login der Benutzer*innen im Mitarbeiterempfehlungsprogramm automatisch übernommen. Dadurch bleiben Benutzerdaten immer auf dem neuesten Stand. Die mit der JIT-Bereitstellung bereitgestellten Profilinformationen können von Benutzern und Benutzerinnen nicht geändert werden.

 

  • Vornamen-Attribut (optional)


<saml:Attribute Name="first_name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

    <saml:AttributeValue

        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Max

    </saml:AttributeValue>

</saml:Attribute>

 

  • Nachnamen-Attribut (optional)


<saml:Attribute Name="last_name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Mustermann</saml:AttributeValue>

</saml:Attribute>

 

  • Mitarbeiter-ID-Attribut (optional)

 

<saml:Attribute Name=“employee_id” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname- format:basic”>

<saml:AttributeValue

xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>DE123456789

</saml:AttributeValue>

</saml:Attribute>

 

  • Fachbereich-ID-Attribut (optional)

 

<saml:Attribute Name=“department” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname- format:basic”>

<saml:AttributeValue

 xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>Verkauf

</saml:AttributeValue>

</saml:Attribute>

 

  • Standort-ID-Attribut (optional)

 

  <saml:Attribute Name=“location” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname-format:basic”>

  <saml:AttributeValue

    xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>Wien

   </saml:AttributeValue>

   </saml:Attribute>

 

  • User-Rolle-Attribut (optional)

 

Bitte beachten! Dieses Attribut ist vordefiniert und der Wert muss einer der folgenden sein, um die entsprechende Rolle zuzuweisen:

    • Talent Scout: ROLE_TALENT_SCOUT
    • Recruiter: ROLE_RECRUITER
    • Company-Administrator: ROLE_COMPANY_ADMIN

 

   <saml:Attribute Name=“role” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname-format:basic”>

   <saml:AttributeValue

    xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance”           xsi:type=“xs:string”>ROLE_TALENT_SCOUT

    </saml:AttributeValue>

    </saml:Attribute>

 

FAQ


Was passiert, wenn die Benutzerrolle nicht verfügbar ist oder nicht erkannt wird?

Die zugewiesene Rolle wird nicht bereitgestellt und die Standardrolle Talent Scout wird zugewiesen.

 


Was passiert, wenn Standort oder/und Fachbereich nicht verfügbar sind?

In diesem Fall wird der Standort/Fachbereich nicht bereitgestellt und betreffende Nutzer müssen ihren Standort/Fachbereich bei der Registrierung auswählen.

 


Was ist passiert, wenn es Standorte/Fachbereiche mit demselben Namen gibt?

Wenn zwei oder mehr Standorte/Fachbereiche mit demselben Namen existieren, wird der in den Account Einstellungen hinterlegte Standort/Fachbereich zugewiesen.

 

Können die bereitgestellten Profilinformationen aktualisiert werden

Ja. Geänderte Profilinformationen eines Benutzers werden automatisch bei dessen darauf folgendem Login aktualisiert.