Einrichtung des automatischen Logins mit SAML
Generelle Informationen
Für die Einrichtung werden erweiterte Kenntnisse über SAML 2.0, Single-Sign-On und über Ihren Identity Provider vorausgesetzt. Der Login kann nach dem hier beschriebenen Initialisieren über den Admin-Bereich von nele.ai unter https://manage.nele.ai/sso eingerichtet werden, lesen Sie dazu auch den passenden Handbuch-Artikel zum Thema.
Mitglieder, die über Single-Sign-On automatisch einen nele.ai-Account erhalten, werden nicht automatisch gelöscht oder deaktiviert. Diese Mitglieder können manuell unter https://manage.nele.ai/users gelöscht werden.
Identity-Provider-Einstellungen
Erstellen Sie eine neue App bei Microsoft Entra ID. Nutzen Sie dafür den Button „New application“ und dann „Create your own application“.
Wählen Sie danach einen App-Namen und „Integrate any other application you don't find in the gallery”.
Die Single-Sign-On Methode stellen Sie auf „SAML“.
In der nachfolgenden Konfiguration ignorieren Sie zunächst Schritt 1 und 2, laden Sie aus Schritt 3 das Zertifikat „Certificate (Base64)“ herunter und kopieren Sie den Microsoft Entra Identifier und die Login- & Logout-URLs aus Schritt 4.
nele.ai-Einstellungen
Tragen Sie die kopierten Werte in die nele.ai-Einstellungen im Admin-Bereich auf https://manage.nele.ai/sso ein.
- IDP Entity-ID – Microsoft Entry Identifier aus Schritt 4
- IDP Login-URL – Login URL aus Schritt 4
- IDP Logout-URL – Logout URL aus Schritt 4
- IDP x509 Zertifikat – Certificate (Base64) aus Schritt 3
Danach können Sie die Konfiguration in nele.ai speichern und die generierte Metadata XML für die Entra ID Konfiguration öffnen.
In Schritt 1 die Identifier (Entity-ID) den Wert entityID (URL, endet in „/metadata“) und die „Reply-URL“ (URL, endet in „/acs“) eintragen.
In Schritt 2 den „Unique User Identifier (Name ID)“ auf „user.mail [nameid-format:emailAddress]“ einstellen.
Für die Übertragung von Gruppenzugehörigkeiten fügen Sie zusätzlich ein Gruppenattribut mit dem Namen http://schemas.microsoft.com/ws/2008/06/identity/claims/groups hinzu.
Die vollständige Attributskonfiguration in der Metadata XML sieht folgendermaßen aus:
<md:AttributeConsumingService index="1">
<md:ServiceName xml:lang="en">
nele.ai
</md:ServiceName>
<md:ServiceDescription xml:lang="en">
nele.ai SAML service provider
</md:ServiceDescription>
<md:RequestedAttribute
Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/groups"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"
isRequired="false"
/>
</md:AttributeConsumingService>
Konfiguration der Gruppenübertragung
Die Übertragung von Gruppenzugehörigkeiten aus Entra ID zu nele.ai erfolgt nicht automatisch für alle Gruppen eines Benutzers. Stattdessen müssen Sie explizit festlegen, welche Gruppen übertragen werden sollen:
Gruppen in Entra ID erstellen: Erstellen Sie zunächst die gewünschten Gruppen in Microsoft Entra ID.
Benutzer den Gruppen zuweisen: Weisen Sie die entsprechenden Benutzer den erstellten Gruppen zu.
Gruppen der nele.ai-App zuordnen: Navigieren Sie zu Ihrer nele.ai SAML-Anwendung in Entra ID und weisen Sie dort die Gruppen zu, die an nele.ai übertragen werden sollen. Nur Gruppen, die explizit der App zugeordnet sind, werden bei der Übertragung berücksichtigt.
Übertragungslogik: Beim Login werden ausschließlich die Gruppen übertragen, die sowohl dem Benutzer als auch der nele.ai-App in Entra ID zugewiesen sind. Gruppen, die nur dem Benutzer zugeordnet sind, aber nicht der App, werden nicht übertragen.
Durch diese Konfiguration behalten Sie die volle Kontrolle darüber, welche Gruppenzugehörigkeiten mit nele.ai geteilt werden.
Eine erfolgreiche Konfiguration können Sie über einen Link im Administrations-Bereich testen. Ist alles korrekt eingerichtet, werden Sie auf eine Übersichtsseite weitergeleitet, auf der Sie unter anderem wählen können, ob Sie sich in die Desktop-App oder die Web-App einloggen möchten. Alternativ können Sie dort nele.ai für verschiedene Betriebssysteme herunterladen.
