Unser Service ist in der Lage, SAML-Assertions auszupacken und unterstützt das Mapping der Attribute für E-Mail (mail) und Klarnamen (displayName).
Die Einstellungen für einen Shibboleth IdP und die Konfiguration eines Clients können Sie wie folgt vornehmen:
Zur Konfiguration eines Clients in Ihrem IdP nutzen Sie die SAML-Metadaten, die in unserem Administrationsbereich unter "Authentifizierung" -> "SAML" abrufbar sind. Dort geben Sie Ihre SSO-URL und das Zertifikat zur Verifizierung Ihrer SAML-Assertions an.
Unser System unterscheidet zwischen anonymen und persönlichen Accounts:
Sie müssen nur die User-ID als SAML-Attribut übermitteln.
Die ID kann als OID: urn:oid:0.9.2342.19200300.100.1.1
oder als NameID im Format: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
übermittelt werden.
Diese ID muss pro Benutzer konsistent bleiben.
Zusätzlich zur User-ID müssen auch Attribute für den Nutzernamen und die E-Mail-Adresse mitgesendet werden.
Die relevanten SAML-Attribute sind:
User-ID:
OID: urn:oid:0.9.2342.19200300.100.1.1
oder
NameID im Format: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
Klarname:
Claim: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
oder
OID: urn:oid:2.16.840.1.113730.3.1.241
E-Mail-Adresse:
Claim: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
oder
OID: urn:oid:0.9.2342.19200300.100.1.3
Für eine detailliertere Dokumentation und Anleitung zur Konfiguration von SAML-Attributen und Signaturzertifikaten empfehlen wir, die offizielle Dokumentation des SAML-Frameworks zu konsultieren, das Sie verwenden (z.B. Shibboleth, SimpleSAMLphp).
{"statusCode":401,"message":"Unauthorized"}
Bei Verwendung von SSO werden TaskCards-Accounts automatisch bei der ersten Anmeldung erstellt. Die Fehlermeldung erscheint also, wenn sich ein manuell angelegter Nutzer über SAML anmelden möchte, da kein weiterer Account mit der selben E-Mail-Adresse angelegt werden kann.
{"statusCode":500,"message":"Internal Server Error"}
Bei Verwendung von SSO werden TaskCards-Accounts automatisch bei der ersten Anmeldung erstellt. Die Fehlermeldung erscheint, wenn kein Neuer User erzeugt werden kann, da auf der gemappten Organisation/Unterorganisation keine/zu wenig freien Lizenzen verfügbar sind und somit keine neuen Nutzer innerhalb dieser erzeugt werden können.
In einem solchen Fall wurde der vorher bestehende Account nicht gemappt (alt -> neu) und durch Zugriff mit SAML wurde ein neuer Useraccount erzeugt und eine weitere Lizenz belegt. Bitte wenden Sie sich an die Support Mailadresse.
In einem solchen Fall ist dieses über https://xxx.taskcards.app/auth/saml/metadata abrufbar