Unser Service ist in der Lage, SAML-Assertions auszupacken und unterstützt das Mapping der Attribute für E-Mail (mail) und Klarnamen (displayName).
Die Einstellungen für einen Shibboleth IdP und die Konfiguration eines Clients können Sie wie folgt vornehmen:
Zur Konfiguration eines Clients in Ihrem IdP nutzen Sie die SAML-Metadaten, die in unserem Administrationsbereich unter "Authentifizierung" -> "SAML" abrufbar sind. Dort geben Sie Ihre SSO-URL und das Zertifikat zur Verifizierung Ihrer SAML-Assertions an.
Unser System unterscheidet zwischen anonymen und persönlichen Accounts:
Sie müssen nur die User-ID als SAML-Attribut übermitteln.
Die ID kann als OID: urn:oid:0.9.2342.19200300.100.1.1
oder als NameID im Format: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
übermittelt werden.
Diese ID muss pro Benutzer konsistent bleiben.
Zusätzlich zur User-ID müssen auch Attribute für den Nutzernamen und die E-Mail-Adresse mitgesendet werden.
Die relevanten SAML-Attribute sind:
User-ID:
OID: urn:oid:0.9.2342.19200300.100.1.1
oder
NameID im Format: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
Klarname:
Claim: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
oder
OID: urn:oid:2.16.840.1.113730.3.1.241
E-Mail-Adresse:
Claim: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
oder
OID: urn:oid:0.9.2342.19200300.100.1.3
Für eine detailliertere Dokumentation und Anleitung zur Konfiguration von SAML-Attributen und Signaturzertifikaten empfehlen wir, die offizielle Dokumentation des SAML-Frameworks zu konsultieren, das Sie verwenden (z.B. Shibboleth, SimpleSAMLphp).
{"statusCode":401,"message":"Unauthorized"}
Bei Verwendung von SSO werden TaskCards-Accounts automatisch bei der ersten Anmeldung erstellt. Die Fehlermeldung erscheint also, wenn sich ein manuell angelegter Nutzer über Iserv anmelden möchte, da kein weiterer Account mit der selben E-Mail-Adresse angelegt werden kann.
{"statusCode":500,"message":"Internal Server Error"}
Bei Verwendung von SSO werden TaskCards-Accounts automatisch bei der ersten Anmeldung erstellt. Die Fehlermeldung erscheint, wenn kein Neuer User erzeugt werden kann, da auf der gemappten Organisation/Unterorganisation keine/zu wenig freien Lizenzen verfügbar sind und somit keine neuen Nutzer innerhalb dieser erzeugt werden können.
In einem solchen Fall wurde der vorher bestehende Account nicht gemappt (alt -> neu) und durch Zugriff mit VIDIS wurde ein neuer Useraccount erzeugt und eine weitere Lizenz belegt. Bitte wenden Sie sich an die Support Mailadresse.