Tutorial: Integration des einmaligen Anmeldens (SSO) von Microsoft Entra in SuccessFactors

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie SuccessFactors in Microsoft Entra ID integrieren. Die Integration von SuccessFactors in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf SuccessFactors hat.
  • Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei SuccessFactors anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • SuccessFactors-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • SuccessFactors unterstützt SP-initiiertes einmaliges Anmelden.

Zum Konfigurieren der Integration von SuccessFactors in Microsoft Entra ID müssen Sie SuccessFactors über den Katalog zur Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff SuccessFactors in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich SuccessFactors aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für SuccessFactors

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra (SSO) mit SuccessFactors mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in SuccessFactors eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit SuccessFactors die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra-SSO mit dem Testbenutzer B. Simon zu testen.
    2. Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für SuccessFactors , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
    1. Erstellen eines SuccessFactors-Testbenutzers, um in SuccessFactors eine Entsprechung von B. Simon zu erhalten, die mit ihrer Darstellung in Microsoft Entra verknüpft ist.
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie über Identität>Anwendungen>Unternehmensanwendungen>SuccessFactors zur Anwendungsintegrationsseite und dann zum Abschnitt Verwalten, und wählen Sie Einmaliges Anmelden aus.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Edit Basic SAML Configuration

  5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

    a. Geben Sie im Textfeld Anmelde-URL eine URL in einem der folgenden Formate ein:

    • https://<companyname>.successfactors.com/<companyname>
    • https://<companyname>.sapsf.com/<companyname>
    • https://<companyname>.successfactors.eu/<companyname>
    • https://<companyname>.sapsf.eu

    b. Geben Sie im Textfeld Bezeichner eine URL in einem der folgenden Formate ein:

    • https://www.successfactors.com/<companyname>
    • https://www.successfactors.com
    • https://<companyname>.successfactors.eu
    • https://www.successfactors.eu/<companyname>
    • https://<companyname>.sapsf.com
    • https://hcm4preview.sapsf.com/<companyname>
    • https://<companyname>.sapsf.eu
    • https://www.successfactors.cn
    • https://www.successfactors.cn/<companyname>

    c. Geben Sie im Textfeld Antwort-URL eine URL in einem der folgenden Formate ein:

    • https://<companyname>.successfactors.com/<companyname>
    • https://<companyname>.successfactors.com
    • https://<companyname>.sapsf.com/<companyname>
    • https://<companyname>.sapsf.com
    • https://<companyname>.successfactors.eu/<companyname>
    • https://<companyname>.successfactors.eu
    • https://<companyname>.sapsf.eu
    • https://<companyname>.sapsf.eu/<companyname>
    • https://<companyname>.sapsf.cn
    • https://<companyname>.sapsf.cn/<companyname>

    Hinweis

    Hierbei handelt es sich um Beispielwerte. Ersetzen Sie diese Werte durch die tatsächliche Anmelde-URL, den tatsächlichen Bezeichner und die tatsächliche Antwort-URL. Die entsprechenden Werte erfahren Sie vom SuccessFactors-Supportteam.

  6. Suchen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat den Eintrag Zertifikat (Base64) . Klicken Sie auf Herunterladen, um das Zertifikat herunterzuladen, und speichern Sie es auf Ihrem Computer.

    The Certificate download link

  7. Kopieren Sie im Abschnitt SuccessFactors einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    Copy configuration URLs

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens, indem Sie ihr Zugriff auf SuccessFactors gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>SuccessFactors.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für SuccessFactors

  1. Melden Sie sich in einem anderen Webbrowserfenster als Administrator beim SuccessFactors-Verwaltungsportal an.

  2. Rufen Sie Anwendungssicherheit auf, und navigieren Sie zum Feature für einmaliges Anmelden.

  3. Geben Sie unter Reset Token (Token zurücksetzen) einen beliebigen Wert an, und klicken Sie auf Save Token (Token speichern), um SAML-SSO zu aktivieren.

    Screenshot shows Application Security tab with Single Sign On Features called out where you can enter a token.

    Hinweis

    Dieser Wert wird als Ein-/Ausschalter verwendet. Sobald ein beliebiger Wert gespeichert wird, wird SAML-SSO aktiviert. Wird kein Wert gespeichert, ist SAML-SSO deaktiviert.

  4. Sehen Sie sich den folgenden Screenshot an, und führen Sie die folgenden Aktionen aus:

    Screenshot shows the For SAML-based S S O pane where you can where you can enter the values described.

    a. Wählen Sie das Optionsfeld SAML v2 SSO aus.

    b. Legen Sie den Namen der SAML-Assertionspartei fest (beispielsweise auf SAML-Aussteller und Unternehmensname).

    c. Fügen Sie in das Textfeld Aussteller-URL den Wert von Microsoft Entra-Bezeichner ein, den Sie zuvor kopiert haben.

    d. Wählen Sie unter Require Mandatory Signature (Pflichtsignatur erforderlich) Assertion aus.

    e. Wählen Sie für Enable SAML Flag (SAML-Flag aktivieren) die Option Aktiviert aus.

    f. Wählen Sie für Login Request Signature(SF Generated/SP/RP) (Anmeldeanforderungssignatur (SF-generiert/SP/RP)) die Option Nein aus.

    g. Wählen Sie für SAML Profile (SAML-Profil) die Option Browser/Post Profile (Browser/Post-Profil) aus.

    h. Wählen Sie für Enforce Certificate Valid Period (Gültigkeitszeitraum des Zertifikats erzwingen) die Option Nein aus.

    i. Kopieren Sie den Inhalt der heruntergeladenen Zertifikatdatei aus dem Azure-Portal, und fügen Sie ihn in das Textfeld SAML Verifying Certificate (SAML-Verifizierungszertifikat) ein.

    Hinweis

    Der Inhalt des Zertifikats muss über Tags für Beginn und Ende des Zertifikats verfügen.

  5. Navigieren Sie zu „SAML V2“, und führen Sie die folgenden Schritte aus:

    Screenshot shows the SAML v2 S P initiated logout pane where you can where you can enter the values described.

    a. Wählen Sie für Support SP-initiated Global Logout (SP-initiiertes globales Abmelden unterstützen) die Option Ja aus.

    b. Fügen Sie in das Textfeld Global Logout Service URL (LogoutRequest destination) (URL des globalen Abmeldediensts (LogoutRequest-Ziel)) den Wert für die Sign-Out URL (Abmelde-URL) ein, den Sie aus dem Azure-Portal kopiert haben.

    c. Wählen Sie für Require sp must encrypt all NameID elements (SP muss alle NameID-Elemente verschlüsseln) die Option Nein aus.

    d. Wählen Sie für NameID Format (NameID-Format) die Option unspecified (keine Angabe) aus.

    e. Wählen Sie für Enable sp initiated login (AuthnRequest) (SP-initiierte Anmeldung aktivieren (AuthnRequest)) die Option Ja aus.

    f. Fügen Sie den Wert der Anmelde-URL, den Sie zuvor kopiert haben, in das Textfeld Send request as Company-Wide issuer ein.

  6. Führen Sie die folgenden Schritte aus, wenn bei den Anmeldebenutzernamen die Groß-/Kleinschreibung nicht beachtet werden soll.

    Configure Single Sign-On

    a. Rufen Sie Unternehmenseinstellungen (im unteren Bereich der Seite) auf.

    b. Aktivieren Sie das Kontrollkästchen Enable Non-Case-Sensitive Username(Groß-/Kleinschreibung bei Benutzernamen nicht beachten).

    c. Klicken Sie auf Speichern.

    Hinweis

    Wenn Sie diese Funktion aktivieren, überprüft das System, ob ein doppelter SAML-Anmeldename erstellt wird. Dies wäre etwa der Fall, wenn der Kunde die Benutzernamen „Benutzer1“ und „benutzer1“ verwendet. Ohne Beachtung der Groß-/Kleinschreibung werden diese zu Duplikaten. In diesem Fall gibt das System eine Fehlermeldung aus, und das Feature wird nicht aktiviert. Der Kunde muss für einen der Benutzernamen eine abweichende Schreibweise verwenden.

Erstellen eines SuccessFactors-Testbenutzers

Damit sich Microsoft Entra-Benutzer bei SuccessFactors anmelden können, müssen sie in SuccessFactors bereitgestellt werden. Im Fall von SuccessFactors ist die Bereitstellung eine manuelle Aufgabe.

Wenn Sie in SuccessFactors erstellte Benutzer abrufen möchten, wenden Sie sich an das SuccessFactors-Supportteam.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Klicken Sie auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL von SuccessFactors weitergeleitet, wo Sie den Anmeldeflow initiieren können.

  • Rufen Sie direkt die Anmelde-URL für SuccessFactors auf, und initiieren Sie den Anmeldeflow.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie in „Meine Apps“auf die Kachel „SuccessFactors“ klicken, werden Sie zur Anmelde-URL für SuccessFactors weitergeleitet. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von SuccessFactors können Sie Sitzungssteuerungen erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützen. Sitzungssteuerungen basieren auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.