Erleichtertes Umschalten zwischen IdPs für Single-Sign On (SSO) in IGEL OS 12.2
Übersicht
Das Umschalten zwischen Okta und Microsoft Entra ID wurde mit IGEL OS 12 erleichtert.2.
Bei IGEL OS 12.01 verhielt sich die SSO-Konfiguration wie folgt: Wenn man den IdP zwischen Okta und Microsoft Entra ID wechseln wollte, musste man jedes Mal die öffentliche Client-Kennung und das Geheimnis löschen und neu eingeben. Dies ist darauf zurückzuführen, dass diese Werte nicht als separate Parameter auf dem Gerät gespeichert waren.
Mit IGEL OS 12.2 oder höher wurde die SSO-Konfiguration optimiert. Die öffentlichen Client-Identifikatoren und die Geheimnisse werden nun für Okta und Microsoft Entra ID getrennt behandelt. Um von dieser Verbesserung zu profitieren, muss das Profil auf IGEL OS 12.2 basieren.
Automatische Aktualisierung führt zu defektem SSO
Wenn Ihre Geräte aktualisiert wurden, weil Auto-update Default Version to newest version aktiv ist (siehe Universal Management Suite > IGEL UMS Web App > Apps - Importieren und Konfigurieren von Apps für IGEL OS 12-Geräte über die IGEL UMS Web App > Aktualisieren von IGEL OS Apps > Konfigurieren von Update-Einstellungen für Apps in der IGEL UMS Web App), und die SSO-Einstellungen sind noch durch ein Profil für IGEL Base System 12.01 definiert sind, wird SSO nicht mehr funktionieren. In diesem Fall müssen Sie umgehend ein entsprechendes Profil für IGEL OS Base System 12.2 erstellen, wie in diesem Artikel beschrieben.
Wichtige Maßnahmen für Geräte, die das Basissystem 12.01 beibehalten
Wenn einige Ihrer Geräte das IGEL OS Base System 12.01 verwenden, stellen Sie Folgendes sicher:
Das aktuelle SSO-Profil ist auf die Version 12.01.x des IGEL OS Base System eingestellt, nicht auf die Standardversion. Dies geschieht, indem der App Selector explizit auf die Version 12.01.x gesetzt wird. Wenn die Version des Basissystems auf die Standardversion gesetzt bleibt und die Standardversion dann auf 12.2 oder höher gesetzt wird, gehen die Einstellungen beim Speichern des Profils verloren.
Das aktuelle SSO-Profil (basierend auf IGEL OS Base System 12.01) bleibt diesen Geräten zugewiesen.
Setting Up a New Profile for Easy IdP Switching
Erstellen Sie in der UMS Web App ein neues Profil für das IGEL OS Base System auf Basis der Version 12.2. Dies kann geschehen, indem der App Selector des Profils explizit auf die Version 12.2.0 gesetzt wird oder indem die Standardversion des Basissystems auf 12.2 und der App Selector des Profils auf Standardversion gesetzt wird.
Gehen Sie für Ihre Okta-Konfiguration zu Security > Logon > Single Sign-On und bearbeiten Sie die Einstellungen wie folgt:
Aktivieren Sie Single Sign-On mit Identity Provider.
Setzen Sie Identitätsanbieter auf Okta.
Geben Sie die Okta URL für Ihren Benutzer an. Dies ist die URL der Okta-Organisation. Beispiel: "https://mycompany.okta.com"
Geben Sie die Client ID an. Dies ist die Client-ID, die in Okta erstellt wurde.
Geben Sie das Client-Geheimnis an.
Für Ihre Microsoft Entra-Konfiguration gehen Sie zu Security > Logon > Single Sign-On und bearbeiten die Einstellungen wie folgt:
Aktivieren Sie Single Sign-On mit Identity Provider.
Setzen Sie Identitätsanbieter auf Azure ID.
Geben Sie den Azure AD Tenant Name/ID ein. Dies ist der Wert, den Sie als Directory (tenant) IDim Microsoft Entra Portal.
Setzen Sie die entsprechende Anwendungs-(Client-)ID. Dies ist der Wert, den Sie als Anwendungs-(Client-)ID in Ihrem Microsoft Entra ID Portal erhalten haben.
Geben Sie das Client-Geheimnis ein.
Das Geheimnis für Microsoft Entra ID kann nur einmal eingesehen werden. Wenn Sie es nicht gespeichert haben, müssen Sie ein neues generieren.
Werden Sie dieses Profil allen relevanten Geräten zuordnen.
Wenn Sie zwischen Okta und Microsoft Entra ID wechseln möchten, wählen Sie einfach den entsprechenden Identitätsanbieter: