🌐 Web | 👤 Organisations-Admin
Um Yokoy für die Verwendung von Okta mit SAML 2.0 einzurichten, müssen sowohl Yokoy als auch Okta konfiguriert werden. Abhängig vom jeweiligen Schritt sind bestimmte Aktionen entweder in Yokoy oder in Okta durchzuführen.
Weitere Informationen findest Du in der Okta-Dokumentation unter Create SAML app integrations.
Um SSO einzurichten, damit sich User über Okta bei Yokoy anmelden können:
Passwortauthentifizierung deaktivieren (optional)
Domain(s) konfigurieren und das Authentifizierungsprotokoll auswählen
Zuerst musst Du das von Okta genutzte SAML 2.0-Protokoll in Yokoy einrichten.
Gehe zu Admin > Organisation, und wähle den Tab Authentifizierung aus.
🚧 Vorsicht
Stelle sicher, dass die Funktion Authentifizierung für Deine Organisation aktiviert wurde. Andernfalls ist dieser Tab nicht sichtbar.
Füge eine spezifische Domain hinzu, die zu Deinem Unternehmen gehört, indem Du auf + Domain hinzufügen klickst. Die Domain ist Teil der E-Mail-Adresse Deines Unternehmens. Achte darauf, nur Deine konkrete Unternehmensdomain im Format yourcompany.com einzugeben.
Klicke anschließend auf Speichern, um sie zu speichern.
Du kannst mehrere Domains hinzufügen – z. B. für verschiedene Länder oder Niederlassungen Deines Unternehmens (z. B. company.it, company.ch, company.de).
Sobald Du alle Domains hinzugefügt hast, kannst Du die gewünschte Authentifizierungsmethode festlegen. Klicke auf Anbieter hinzufügen und wähle das SAML-Protokoll aus.
SP Entity ID und ACS-URL kopieren
Nach der Auswahl von SAML werden folgende Informationen angezeigt:
SP entity ID (metadata endpoint)
ACS URL (ACS endpoint)
Klicke auf das Kopiersymbol neben dem Feld, um die URLs zu kopieren.
So kannst Du Okta konfigurieren, um mit Yokoy zu kommunizieren.
Yokoy als neue SAML-Applikation hinzufügen
Gehe zu OKTA admin und füge eine neue Applikation hinzu. Wähle SAML 2.0 aus.
✏️ Hinweis
Falls Du auch die User Provisioning in Yokoy aktivieren möchtest, musst Du die Authentifizierung über SAML 2.0 verwenden.
Okta unterstützt für Single Sign-On ausschließlich die Authentifizierung über OpenID Connect.
Hinzufügen von SP entity ID und ACS URL in der SAML-Konfiguration
Gebe Yokoy als Namen der Applikation ein – optional kannst Du auch ein Logo für die Applikation hinzufügen.
Gebe die SP entity ID in das Audience URI-Feld (SP Entity ID) und die ACS URL in das Single sign-on URL-Feld ein.
Gebe die sign-on URL für die jeweilige Umgebung ein:
Umgebung | URL |
Production | |
Sandbox |
Die Standardwerte unter User Attributes & Claims (Benutzerattribute und -ansprüche) können beibehalten werden. Sie können jedoch bei Bedarf angepasst werden.
Herunterladen die IdP-Metadaten
Lade das SAML-Signaturzertifikat als Metadata-XML herunter.
Suche in der Metadatendatei (die ein sehr langes XML-Dokument sein kann), nach dem Tag IDPSSODescriptor, um die relevanten Informationen zu finden.
Du musst folgende Angaben aus der Datei entnehmen:
○X509-Zertifikat: Der Zeichenfolgenwert innerhalb des Tags
<ds:X509Certificate>○POST-Binding-SSO-URL: Die URL, die direkt im Attribut
Location="..."des folgenden Tags angegeben ist:<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="
💡 Tipp
Wenn Du die OPOST-Binding-SSO-URL erhalten hast (die bekannte URL für SSO), versuche, diese zuerst im Browser zu öffnen. Diese URLs erfordern keine Authentifizierung, und Du kannst sofort erkennen, ob sie gültig ist.
Das kann helfen, bestimmte Probleme zu identifizieren,
die durch eine fehlerhafte Konfiguration entstehen.
Beispiel einer Metadata-XML
○X509-Zertifikat und die ○POST binding SSO URL hinzufügen
Du kannst nun die Konfiguration in Yokoy vornehmen.
Stelle beim Einfügen des Zertifikats sicher, dass:
Nur der Text ab der tatsächlichen Zeichenkette eingefügt wird.
Keine XML-Tags (z. B. </ds:X509Certificate>) enthalten sind.
Keine line breaks (Zeilenumbrüche) vorhanden sind.
Füge das X509 Zertifikat in das Feld Zertifikat ein und die POST-Binding-SSO-URL in das Feld IdP-Login-URL.
Füge eine Beschriftung für den SSO-Anmeldebutton hinzu
Zum Schluss kannst Du einen Text eingeben, der auf dem Button angezeigt wird, den der End user sieht. Beachte, dass dieser Text mit der Standardbeschriftung Login mit kombiniert wird. Wenn bspw. Okta eingegeben wird, dann wird der Button als Login mit Okta angezeigt.
Konfiguration speichern und mit dem Testen fortfahren
Sobald Du die Konfiguration abgeschlossen hast, führe einen Test durch.
Gib auf der Haupt-Anmeldeseite von Yokoy eine Test-E-Mail-Adresse ein und klicke auf Weiter. Sobald Yokoy erkennt, dass die E-Mail-Adresse zur Unternehmensdomain gehört, wird die SSO-Option angezeigt.
Richte einen Testbenutzer ein, mit dem Du den gesamten Anmeldeprozess durchspielen kannst, um sicherzustellen, dass SSO korrekt eingerichtet ist.
Der Test kann das Klicken auf den SSO-Button beinhalten. Dabei zeigt sich, ob die Anwendung korrekt konfiguriert ist. Beispielsweise kann im Fehlerfall eine Okta-Fehlermeldung erscheinen.
💡 Tipp
Falls der Button nicht angezeigt wird, überprüfe die folgenden Dinge:
Umgebung: Stelle sicher, dass Du die richtige Umgebung (Sandbox/Production) konfiguriert hast.
Domain: Überprüfe, dass die E-Mail-Domain korrekt geschrieben ist und mit der konfigurierten Domain übereinstimmt.
Passwortauthentifizierung deaktivieren
Sobald Du überprüft hast, dass SSO korrekt eingerichtet ist und User sich über SSO anmelden können, kann die Passwortauthentifizierung für die Organisation deaktiviert werden, um Anmeldeprobleme zu vermeiden. Obwohl dieser Schritt empfohlen wird, kannst Du wahlweise beide Authentifizierungsmethoden zulassen.
Gehe dazu zu Admin > Organisation, Tab Authentifizierung, und deaktiviere den Schalter Passwort einschalten.
