Zum Hauptinhalt springen
Alle KollektionenGeschäftskundenAusbildungsmanagement: Talent2GoHR/Admin Bereich
Single Sign-on mit Microsoft Entra ID (vormals Azure) bei Talent2Go einrichten | SAML
Single Sign-on mit Microsoft Entra ID (vormals Azure) bei Talent2Go einrichten | SAML

Dieser Artikel enthält eine Schritt-für-Schritt Anleitung zur Einrichtung des SSO mittels SAML.

Marietta Südkamp avatar
Verfasst von Marietta Südkamp
Vor über einem Monat aktualisiert

Die Authentifizierungsmethode Single Sign-on (SSO) über SAML ist ein kostenpflichtiges Talent2Go-Addon und ermöglicht es Ihnen und allen anderen Talent2Go-Nutzer:innen aus Ihrem Unternehmen, sich einmalig anzumelden und anschließend auf mehrere Anwendungen und Dienste zuzugreifen, ohne sich erneut authentifizieren zu müssen. Die Anmeldeinformationen werden zentralisiert verwaltet, was zu einer erhöhten Sicherheit beiträgt.

Der folgende Artikel enthält eine detaillierte Schritt-für-Schritt Anleitung, wie Sie den SSO mit Microsoft Entra ID in Talent2Go einrichten können. (SAML)

❗️Anforderungen:

Sie benötigen einen Talent2Go und Microsoft Entra ID - Administratorzugriff, sowie das gebuchte Talent2Go-Addon SSO um Single Sign-on einzurichten.

1. Talent2Go bei Micosoft zu Ihren Unterneh-mensanwendungen hinzufügen

  1. Melden Sie sich in Ihrem Microsoft Entra ID Admin Center an

  2. Wählen Sie im linken Navigationsbereich den Dienst Microsoft Entra ID aus.

  3. Wählen Sie im linken Menü den Punkt "Unternehmensanwendungen"

  4. Klicken Sie auf "Neue Anwendung"

  5. Klicken Sie auf "Eigene Anwendung erstellen"

  6. Als Namen "Talent2Go" wählen und die Option "Beliebige andere, nicht im Katalog gefundene Anwendung integrieren"

  7. Klicken Sie im linken Menü auf "Verwalten" und dann auf "Eigenschaften", hier können Sie zur besseren Kenntlichmachung das Talent2Go Icon hochladen. Die entsprechende Datei in den richtigen Abmessungen können Sie hier herunterladen.

2. Vorbereitung der der Talent2Go SAML Konfiguration

  1. Loggen Sie sich bei Talent2Go ein

  2. Wählen Sie den Menüpunkt Einstellungen und wechseln Sie zu den Unternehmenseinstellungen (entsprechende Rechte erforderlich)

  3. Wählen Sie den Reiter SSO

  4. Lassen Sie diesen Browser-Tab geöffnet, um in den späteren Schritten schnell und einfach auf die Einstellungen zugreifen zu können.

3. Konfiguration von Entra ID SSO

  1. Wechseln Sie zu den Unternehmensanwendungen und wählen Sie die zuvor erstelle App "Talent2Go!"

  2. Klicken Sie auf "Verwalten", "Einmaliges Anmelden" und "SAML"

  3. Klicken Sie auf das Stift Symbol (Bearbeiten) bei "Grundlegende SAML-Konfiguration"

  4. Wechseln Sie zu Talent2Go, kopieren Sie der Reihe nach die Werte und fügen Sie sie bei Microsoft ein (siehe Bild) und klicken Sie auf speichern.

4. Konfiguration von Entra ID SSO

  1. Nachdem Sie die SAML-Basiskonfiguration gespeichert haben, sollten Sie zur SSO-Seite "Einmaliges Anmelden" im Entra-Portal zurückkehren, wir empfehlen, die Seite zu aktualisieren, bevor Sie mit der Anleitung fortfahren.

  2. Als Nächstes müssen Sie das Zertifikat (Base64) herunterladen und die heruntergeladene Zertifikatsdatei in einem Texteditor öffnen.

  3. Kopieren Sie den Inhalt der Base64-Zertifikatsdatei und fügen Sie ihn bei Talent2Go ein. Hierzu klicken Sie auf den Bleistift und dann befüllen Sie alle entsprechenden Felder, siehe Bilder:

  4. Wenn Sie alles eingetragen haben, setzen Sie den Haken bei "Aktiv" und klicken Sie auf "Speichern". Ist alles korrekt, erscheint ein grüner Haken.

5. Erstellen von Benutzerrollen und Zuweisen von Benutzern

Die nächsten Schritte dienen der Vorbereitung für die Einrichtung der SCIM-Bereitstellung

  1. Wechsel Sie wieder ins Microsoft Entra ID Portal und wählen Sie Talent2Go aus den Unternehmensanwendungen.

  2. Suchen Sie im linken Menü nach dem Abschnitt "Verwalten" und wählen Sie "Benutzer und Gruppen" aus.

  3. Klicken Sie auf "Anwendungsregistrierung"

  4. Klicken Sie auf "App-Rolle erstellen", befüllen Sie auf der rechten Seite die gleich folgenden App-Rollen vollständig und klicken Sie nach jeder Rolle auf "Anwenden". Die Beschreibung können Sie zu internen Zwecken frei wählen.

    Anzeigename: Superadmin

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: superadmin

    *Benutzerrolle “Superadmin” ist nur 1 Benutzer pro Unternehmen

    Anzeigename: Admin

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: admin

    Anzeigename: B2B-Azubi

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: azubi

    Anzeigename: Ausbilder/in

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: ausbilder

    Anzeigename: HR

    Zulässige Mitgliedstypen:: Benutzer / Gruppen

    Wert: hr

    Anzeigename: Geschäftsführung

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: geschaeftsfuehrung

    Anzeigename: Verantwortliche/r Lernstation

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: verantwortlicher_lernstation

  5. Für individuelle Rollen die Sie bei Talent2Go angelegt haben gilt:

    Anzeigename: (frei wählbar - wird nicht zu Talent2Go übertragen, nur für Ihre Übersicht)

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: (Bezeichnung der individuellen Rolle)

    z.B.:

    Anzeigename: Ausbildungspate Elektro

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: ausbildungspate_elektro

    Fall 1 = Wenn die benutzerdefinierte Rolle „Ausbildungspate Elektro“ bei Talent2Go noch nicht angelegt wurde, wird die Rolle mit dem Namen „Ausbildungspate Elektro“ bei Talent2Go erstellt. In diesem Fall stehen alle Berechtigungen der neuen Rolle auf „Darf nicht sehen“. Die Berechtigungen können nachträglich von einem Admin angepasst werden. Der Wert „ausbildungspate_elektro“ wird automatisch durch die Anwendung in „Abteilungsleiter Elektro“ konvertiert.

    Fall 2 = Man könnte auch zuerst bei Talent2Go eine benutzerdefinierte Rolle „Ausbildungspate Elektro“ erstellen, die Berechtigungen anpassen und danach bei Microsoft eine App-Rolle mit folgenden Werten hinzufügen:

    Anzeigename: Ausbildungspate Elektro

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: ausbildungspate_elektro

    Wichtig: Die Worttrennung bei "Wert" soll nur über das Zeichen „_“ (Unterstrich) erfolgen-

  6. Nachdem die Rollen erstellt wurden, können Sie zu "Benutzer und Gruppen" zurückkehren, sich selbst mit der App-Rolle "superadmin" ausstatten und mit den finalen Schritten dieser Anleitung fortfahren. An dieser Stelle könnten Sie aber auch schon alle anderen Personen hinzufügen und die Rollen zuweisen.

    Wichtig bei Rollenwechsel: Die Benutzerrollen können technisch sowohl bei Talent2Go als auch bei Microsoft geändert werden (z.B. von Ausbilder/in zu Verantwortliche/r Lernstation).

    Beachten Sie hierbei bitte, dass Sie Anpassungen direkt bei Microsoft vornehmen sollten. Eine Änderung bei Talent2Go würde nach dem nächsten Login von Microsoft überschrieben werden.

6. Validieren und speichern

  1. Stellen Sie sicher, dass Ihre Microsoft Entra ID Active Directory-Benutzer mit der E-Mail-Adresse des Talent2Go-Benutzers übereinstimmen, Talent2Go verwendet die User-Mail als Kennung für SSO.

  2. Um die SAML-Konfiguration zu testen und zu validieren, wechseln Sie zu der von Ihnen erstellten Anwendung, suchen Sie auf der linken Seite nach Verwalten, und wählen Sie Single Sign-On aus.

  3. Klicken Sie unten auf der Seite auf die Schaltfläche "Test".

  4. Auf der rechten Seite wird ein neues Fenster angezeigt, klicken Sie auf die Schaltfläche "Anmeldung testen", um den Test für den aktuellen Benutzer zu starten.

  5. Ein weiterer Tab sollte sich in wenigen Sekunden öffnen, melden Sie sich mit Ihrem Microsoft-Konto an und überprüfen Sie, ob Sie als der richtige Benutzer in der richtigen Entität bei Talent2Go angemeldet sind. Wenn alles funktioniert, sind Sie mit der SAML-Konfiguration fertig.

7. Zugriffsmöglichkeiten steuern

Standardmäßig ist der Zugriff so eingestellt, dass sich User nach Einrichtung nur über das Microsoft App Dashboard einloggen können. Wenn Sie wünschen, dass sich Ihre User sowohl über das Microsoft App Dashboard, als auch per E-Mail Adresse und Passwort (von Talent2Go generiert) und über Fortfahren mit Microsoft einloggen dürfen, deaktivieren Sie bitte die folgende Checkbox:

Bei Rückfragen wenden Sie sich gerne jederzeit an unser Customer Success Team.

FAQ

Kann man sich als User eines Unternehmens (z.B. Azubi oder Ausbilderin) bei Talent2Go einloggen, ohne dass man vorher von einem Admin manuell bei Talent2Go hinzugefügt wurde?

Ja, sobald Sie einen User über Microsoft Entra zur angelegten Microsoft App Talent2Go hinzugefügt haben, kann sich der User bei Talent2Go per SSO einloggen und wird automatisch Ihrem Unternehmensaccount angelegt und zugeordnet. Beachten Sie hier dass Sie im Nachgang noch die Stammdaten ergänzen müssten.

Können unsere Auszubildenden bzw. auch andere Rollen unseres Unternehmens die Funktion "Fortfahren mit Microsoft Account" nutzen um sich einzuloggen?

Ja, hierzu muss die Checkbox bei „Autorisierung ausschließlich über Microsoft SSO“ deaktiviert werden. Die Benutzer können sich dann über E-Mail + Passwort, „Anmelden mit Microsoft“ und das Microsoft App-Dashboard anmelden.

Wir möchten unserer internen IT-Abteilung die Einrichtung von SSO über Microsoft Entra überlassen, wie machen wir das?

Das ist kein Problem. Als Administrator/in können Sie einfach zunächst eine individuelle Rolle anlegen, z.B: "IT-Support". Jetzt können Sie in den Talent2Go Unternehmenseinstellungen die Berechtigungen anpassen, wichtig ist die Berechtigung "Unternehmenseinstellungen", hier muss "Darf sehen und bearbeiten" ausgewählt sein. Danach können Sie die betreffende Person über das Stammdatenmenü einladen und sie kann die technische Integration vornehmen.

Funktioniert die SSO auch in Kombination mit anderen Integrationen?

Ja, es ist möglich SSO auch mit anderen Integration zu nutzen, z.B. in Kombination mit Personio. Die Benutzer, die nur bei Microsoft hinterlegt sind, loggen sich dann über SSO ein. Benutzer, die nicht im Active Directory des Unternehmens integriert sind und z.B. über eine Integration importiert werden, bekommen bei der Synchronisation mit dem Stammdatensystem eine E-Mail mit einem initialen Passwort und können sich ganz normal über den Loginscreen mit ihrer E-Mail Adresse und ihrem Passwort einloggen.

Benutzer, die sowohl bei Microsoft als auch bei der Integration hinterlegt sind, bekommen bei der Synchronisation eine E-Mail mit Passwort und können sich sowohl über den Loginscreen mit ihrer E-Mail-Adresse und ihrem Passwort als auch über SSO einloggen. Beim letzten Fall ist es wichtig, dass die E-Mail Adressen übereinstimmen.

Verwandte Artikel
Single Sign-on mit Microsoft bei Talent2Go einrichten | OAUTH2
Hat dies deine Frage beantwortet?