archi bot Produktdokumentation

Diese Übersetzung wurde maschinell erstellt (Beta). Maßgeblich ist die englische Anleitung.

Zugriff

ArchibotChat-Zugriff und SSO

Übermitteln Sie die Daten Ihres Identitätsanbieters im Schritt Single Sign-On, damit ISM die Organisationsanmeldung einrichten kann.

KundenadministratorenPlattformbetreiber

Zuletzt aktualisiert

Schritt Single Sign-On der Console mit IdP-Typ, Anmeldedomänen, Discovery-Metadaten-URL, Claim-Zuordnung, Rollengruppen und einem SSO-Bereitschaftsbereich.
Von der Console gerendertes Beispiel mit sicheren Daten: Der Schritt Single Sign-On erfasst nicht geheime OIDC- oder SAML-Daten, damit ISM den Organisationszugriff zuordnen kann. Fügen Sie niemals Client-Geheimnisse oder Signaturschlüssel ein.

Der Schritt Single Sign-On ist der Ort, an dem ein Kundenadministrator ISM die nicht geheimen Daten übergibt, die zum Verbinden Ihres Identitätsanbieters (IdP) mit ArchibotChat und der Console erforderlich sind. Sie übermitteln Metadaten, Claim-Zuordnungen und Rollengruppen; ISM schließt den Geheimnisaustausch über einen genehmigten Kanal ab und bestätigt, wenn die Anmeldung zum Testen bereit ist.

Diese Anleitung behandelt das Formular unter der Route /account/sso. Sie gewährt oder ändert keinen individuellen Produktzugriff. Wie Produktsperren und Abrechnung entscheiden, was ein angemeldeter Benutzer öffnen kann, erfahren Sie unter ArchibotChat-Einrichtung und ArchibotChat-Abrechnung und -Guthaben.

Bevor Sie beginnen

  • Sie müssen Kundenadministrator sein, um die SSO-Einrichtung zu übermitteln.
  • Halten Sie Ihren IdP-Administrator bereit, oder seien Sie selbst der IdP-Administrator, damit Sie die App-Metadaten lesen können.
  • Wissen Sie, mit welchen E-Mail-Domänen sich Ihre Benutzer anmelden.
  • Entscheiden Sie sich für das Protokoll, das Sie verwenden: OIDC oder SAML.

Kleine Teams müssen SSO nicht verwenden. Der Schritt ist optional, und Sie können weiterhin E-Mail-Einladungen verwenden, bis Sie bereit sind, einen IdP zu verbinden. Übermitteln Sie SSO-Daten nur, wenn Sie beabsichtigen, einen Anbieter zu verbinden.

Den Schritt Single Sign-On öffnen

  1. Öffnen Sie die Console und gehen Sie zu Kontoeinrichtung.
  2. Wählen Sie in der Navigation der Kontoeinrichtung Single Sign-On aus.
  3. Lesen Sie das Banner für die sichere Übermittlung oben im Schritt. Es ist eine Erinnerung daran, dass dieses Formular nur nicht geheime Metadaten entgegennimmt.

Kopfzeile des Schritts Single Sign-On der Console mit dem IdP-Typ-Selektor, den Anmeldedomänen und der Zeile für die Discovery-Metadaten-URL.

Die Kopfzeile des Schritts zeigt seinen Status (Nicht begonnen, In Bearbeitung, Prüfung erforderlich oder Bereit) und, für Self-Service-Konten, eine Optional-Markierung.

IdP-Typ und Anmeldedomänen wählen

  1. Setzen Sie den IdP-Typ auf eine der folgenden Optionen:
    • OIDC für OpenID-Connect-Anbieter.
    • SAML für SAML-2.0-Anbieter.
    • Noch kein SSO (Einladungs-E-Mails verwenden), wenn Sie noch nicht bereit sind, einen Anbieter zu verbinden.
  2. Geben Sie unter Anmeldedomänen eine durch Kommas getrennte Liste der E-Mail-Domänen ein, mit denen sich Ihre Benutzer anmelden, zum Beispiel example.com, example.co. Wenn die Console bereits Domänen für Ihr Konto kennt, können Sie eine aus der Suche auswählen, um sie hinzuzufügen.

Das Ändern des IdP-Typs oder der Domänen löscht alle früheren Ergebnisse der Metadatenprüfung, prüfen Sie also nach dem Anpassen erneut.

Die Console auf Ihre Anbieter-Metadaten verweisen

Die Zeile Discovery- / Metadaten-URL hilft Ihnen, die richtige Metadaten-URL zu finden und zu bestätigen.

  1. Wählen Sie Ihren Anbieter aus der Voreinstellungsliste. Die Voreinstellungen umfassen Microsoft Entra ID, Okta, Google Workspace, Auth0, OneLogin und Anderer Anbieter. Jede Voreinstellung zeigt den erwarteten Host-Hinweis an, etwa eine Mandanten-ID oder company.okta.com.
  2. Wählen Sie Anbieter-URL verwenden, um das Metadatenfeld mit einer vorgeschlagenen Discovery-URL zu füllen, die aus Ihrem Anbieter und Ihren Domänen erstellt wird. Wenn der Vorschlag noch nicht erstellt werden kann, teilt Ihnen die Console mit, was Sie zuerst eingeben müssen (eine Anmeldedomäne oder einen Mandantenwert).
  3. Wählen Sie Anbieterkonsole öffnen, um die Administrationskonsole des Anbieters in einem neuen Tab zu öffnen.
  4. Einige Voreinstellungen fügen anbieterspezifische Einrichtungs-Übergabeschaltflächen hinzu (z. B. zum Öffnen der App-Registrierung oder des Claims-Bildschirms). Verwenden Sie diese, um direkt zu dem Bildschirm zu springen, auf dem Sie die IdP-Anwendung erstellen oder prüfen.
  5. Wenn Sie bereits die genaue Metadaten-URL haben, geben Sie sie stattdessen in das Metadatenfeld ein oder fügen Sie sie ein, zum Beispiel https://idp.example.com/.well-known/openid-configuration.

Die Console erstellt Vorschläge und Links nur aus Ihren Auswahlen. Sie liest oder speichert keine Geheimnisse.

Die Metadaten verifizieren

  1. Wählen Sie Metadaten verifizieren. Die Console erreicht die Metadaten-URL des Anbieters und prüft auf die erwarteten Felder. Die Schaltfläche zeigt während der Ausführung Wird verifiziert… an.
  2. Lesen Sie das Ergebnisfeld unter dem Feld:
    • Metadaten verifiziert bedeutet, dass die Console den Anbieter erreicht und die erwarteten Felder gefunden hat. Es zeigt den ermittelten Aussteller oder die Entitäts-ID an, damit Sie bestätigen können, dass sie zu Ihrem Anbieter passt.
    • Metadaten erfordern Aufmerksamkeit bedeutet, dass die Console die Metadaten nicht verifizieren konnte. Überprüfen Sie URL, Domäne und Protokoll erneut und versuchen Sie es dann noch einmal.

Die Verifizierung ist schreibgeschützt. Sie bestätigt, dass die URL erreichbar und wohlgeformt ist; sie schließt die Verbindung nicht ab.

Claims und Rollengruppen zuordnen

ISM verwendet diese Werte, um angemeldete Benutzer der richtigen Identität und den richtigen Rollen zuzuordnen. Jedes Feld akzeptiert gängige Werte aus einer Schnellauswahlliste oder Ihre eigene Eingabe.

FeldWas es istBeispiel
Anbieter-App-ReferenzNicht geheime App-, Client- oder Unternehmensanwendungs-ID Ihres Anbieters00000000-0000-0000-0000-000000000000
Benutzernamen-ClaimClaim, der den Benutzernamen trägtpreferred_username
E-Mail-ClaimClaim, der die E-Mail-Adresse trägtemail
Gruppen-ClaimClaim, der die Gruppen- oder Rollenmitgliedschaft trägtgroups
Name der Admin-GruppeGruppe, deren Mitglieder zu Archibot-Administratoren werdenarchibot-admins
Name der Mitglieder-GruppeGruppe, deren Mitglieder zu Standardmitgliedern werdenarchibot-users
Test-Admin-E-MailEin Administratorkonto, das ISM zum Testen der Anmeldung verwenden kannadmin-test@example.com
Test-Mitglieds-E-MailEin Mitgliedskonto, das ISM zum Testen der Anmeldung verwenden kannmember-test@example.com

Die Anbieter-App-Referenz ist nur eine nicht geheime Kennung. Sie ermöglicht es ISM, die Übergabenotizen der Console mit genau der IdP-Anwendung zu verknüpfen. Geben Sie hier kein Client-Geheimnis ein.

Den SSO-Bereitschaftsbereich lesen

Unter den Feldern fasst der Bereich SSO-Bereitschaft zusammen, wie vollständig Ihre Übermittlung ist, mit einem bereit/gesamt-Abzeichen. Jede Kachel wird bereit, wenn Sie das passende Detail ausfüllen:

  • Anmeldedomänen — mindestens eine Anmeldedomäne ist festgelegt.
  • Metadatenprüfung — eine Metadaten-URL ist vorhanden und verifiziert.
  • Anbieteranwendung — eine Anbieter-App-Referenz ist angegeben.
  • Claim-Zuordnung — Benutzernamen- und E-Mail-Claims sind zugeordnet.
  • Rollengruppen — Admin- und Mitgliedergruppen sind benannt.
  • Callbacks — die anbieterseitige Callback-Einrichtung ist berücksichtigt.
  • Testbenutzer — mindestens ein Testkonto ist angegeben.

Sie müssen nicht jedes Element erreichen, bevor Sie übermitteln, aber eine vollständigere Bereitschaftsübersicht ermöglicht es ISM, schneller fertig zu werden.

Ihre SSO-Einrichtung übermitteln

  1. Wenn Sie einen temporären Passwort-Fallback für einen genehmigten Benutzer benötigen, der die geräteba­sierte MFA noch nicht abschließen kann, setzen Sie die Option Passwort-Fallback, um ihn anzufordern. Dies ist nur verfügbar, wenn der Passwort-Fallback für Ihr Konto aktiviert ist, und ISM muss die Richtlinie genehmigen und aktivieren, bevor sie das Anmeldeverhalten ändert.
  2. Fügen Sie alles, was ISM wissen sollte, in SSO-Notizen hinzu, etwa ein Wartungsfenster oder eine Besonderheit des Anbieters.
  3. Wählen Sie SSO-Einrichtung übermitteln.

Die Console bestätigt die Übermittlung und teilt Ihnen mit, dass ISM sich melden wird, sobald die Konfiguration zum Testen bereit ist. ISM schließt die Verbindung ab und tauscht alle Geheimnisse über einen genehmigten Kanal aus, niemals über dieses Formular.

Was nicht in dieses Formular gehört

Der Schritt Single Sign-On nimmt nur nicht geheime OIDC- oder SAML-Metadaten entgegen. Fügen Sie nicht ein:

  • Client-Geheimnisse oder Signaturschlüssel.
  • Private Schlüssel oder Zertifikate, die privates Material enthalten.
  • Cookies, Sitzungstoken oder Einladungstoken.
  • Passwörter.

Wenn ISM ein Geheimnis benötigt, um die Verbindung abzuschließen, fordern sie es über einen genehmigten Kanal an.

Nach der Übermittlung

  • ISM prüft Ihre Übermittlung und meldet sich, um zu bestätigen oder Nachfragen zu stellen.
  • Sobald die Verbindung aktiv ist, melden sich Ihre Benutzer über Ihre Organisation auf der ArchibotChat-URL an.
  • Eine erfolgreiche Anmeldung ist nicht dasselbe wie ein aktiviertes Produkt. Produktsperren und Abrechnung entscheiden weiterhin, was jeder Benutzer öffnen kann. Siehe ArchibotChat-Einrichtung.

Verwandte Anleitungen

Fertig, wenn

  • Sie können den Schritt Single Sign-On unter Kontoeinrichtung öffnen.
  • Die Metadatenprüfung liefert ein verifiziertes Ergebnis.
  • Die SSO-Bereitschaft zeigt die für Sie wichtigen Elemente als bereit an.
  • Ihre SSO-Einrichtung wird ohne Geheimnisse an ISM übermittelt.