Zum Hauptinhalt springen
Alle KollektionenTalent2GoErste Informationen
Single Sign-on mit Microsoft Entra ID (vormals Azure) bei Talent2Go einrichten
Single Sign-on mit Microsoft Entra ID (vormals Azure) bei Talent2Go einrichten
Mike Joszko avatar
Verfasst von Mike Joszko
Vor über einer Woche aktualisiert

Die Authentifizierungsmethode Single Sign-on (SSO) ist ein kostenpflichtiges Talent2Go-Addon und ermöglicht es Ihnen und allen anderen Talent2Go-Nutzer:innen aus Ihrem Unternehmen, sich einmalig anzumelden und anschließend auf mehrere Anwendungen und Dienste zuzugreifen, ohne sich erneut authentifizieren zu müssen. Die Anmeldeinformationen werden zentralisiert verwaltet, was zu einer erhöhten Sicherheit beiträgt.

Im folgenden Artikel erfahren Sie, wie Sie den SSO mit Microsoft Entra ID in Talent2Go einrichten können.

Anforderungen:

Sie benötigen einen Talent2Go und Microsoft Entra ID - Administratorzugriff, sowie das gebuchte Talent2Go-Addon SSO um Single Sign-on einzurichten.

Abschnitt 1 - Talent2Go bei Micosoft zu Ihren Unternehmensanwendungen hinzufügen

  1. Melden Sie sich in Ihrem Microsoft Entra ID Admin Center an

  2. Wählen Sie im linken Navigationsbereich den Dienst Microsoft Entra ID aus.

  3. Wählen Sie im linken Menü den Punkt "Unternehmensanwendungen"

  4. Klicken Sie auf "Neue Anwendung"

  5. Klicken Sie auf "Eigene Anwendung erstellen"

  6. Als Namen "Talent2Go" wählen und die Option "Beliebige andere, nicht im Katalog gefundene Anwendung integrieren"

  7. Klicken Sie im linken Menü auf "Verwalten" und dann auf "Eigenschaften", hier können Sie zur besseren Kenntlichmachung das Talent2Go Icon hochladen. Die entsprechende Datei in den richtigen Abmessungen können Sie hier herunterladen.

Abschnitt 2 - Vorbereitung der der Talent2Go SAML Konfiguration

  1. Loggen Sie sich bei Talent2Go ein

  2. Wählen Sie den Menüpunkt Einstellungen und wechseln Sie zu den Unternehmenseinstellungen (entsprechende Rechte erforderlich)

  3. Wählen Sie den Reiter SSO

  4. Lassen Sie diesen Browser-Tab geöffnet, um in den späteren Schritten schnell und einfach auf die Einstellungen zugreifen zu können.

Abschnitt 3 - Konfiguration von Entra ID SSO

  1. Wechseln Sie zu den Unternehmensanwendungen und wählen Sie die zuvor erstelle App "Talent2Go!"

  2. Klicken Sie auf "Verwalten", "Einmaliges Anmelden" und "SAML"

  3. Klicken Sie auf das Stift Symbol (Bearbeiten) bei "Grundlegende SAML-Konfiguration"

  4. Wechseln Sie zu Talent2Go, kopieren Sie der Reihe nach die Werte und fügen Sie sie bei Microsoft ein (siehe Bild) und klicken Sie auf speichern.

Abschnitt 4 - Konfiguration von Entra ID SSO

  1. Nachdem Sie die SAML-Basiskonfiguration gespeichert haben, sollten Sie zur SSO-Seite "Einmaliges Anmelden" im Entra-Portal zurückkehren, wir empfehlen, die Seite zu aktualisieren, bevor Sie mit der Anleitung fortfahren.

  2. Als Nächstes müssen Sie das Zertifikat (Base64) herunterladen und die heruntergeladene Zertifikatsdatei in einem Texteditor öffnen.

  3. Kopieren Sie den Inhalt der Base64-Zertifikatsdatei und fügen Sie ihn bei Talent2Go ein. Hierzu klicken Sie auf den Bleistift und dann befüllen Sie alle entsprechenden Felder, siehe Bilder:

  4. Wenn Sie alles eingetragen haben, setzen Sie den Haken bei "Aktiv" und klicken Sie auf "Speichern". Ist alles korrekt, erscheint ein grüner Haken.

Abschnitt 5 - Erstellen von Benutzerrollen und Zuweisen von Benutzern

Die nächsten Schritte dienen der Vorbereitung für die Einrichtung der SCIM-Bereitstellung

  1. Wechsel Sie wieder ins Microsoft Entra ID Portal und wählen Sie Talent2Go aus den Unternehmensanwendungen.

  2. Suchen Sie im linken Menü nach dem Abschnitt "Verwalten" und wählen Sie "Benutzer und Gruppen" aus.

  3. Klicken Sie auf "Anwendungsregistrierung"

  4. Klicken Sie auf "App-Rolle erstellen", befüllen Sie auf der rechten Seite die gleich folgenden App-Rollen vollständig und klicken Sie nach jeder Rolle auf "Anwenden". Die Beschreibung können Sie zu internen Zwecken frei wählen.

    Anzeigename: Superadmin

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: superadmin

    *Benutzerrolle “Superadmin” ist nur 1 Benutzer pro Unternehmen

    Anzeigename: Admin

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: admin

    Anzeigename: B2B-Azubi

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: azubi

    Anzeigename: Ausbilder/in

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: ausbilder

    Anzeigename: HR

    Zulässige Mitgliedstypen:: Benutzer / Gruppen

    Wert: hr

    Anzeigename: Geschäftsführung

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: geschaeftsfuehrung

    Anzeigename: Verantwortliche/r Lernstation

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: verantwortlicher_lernstation

  5. Für individuelle Rollen die Sie bei Talent2Go angelegt haben gilt:

    Anzeigename: (frei wählbar - wird nicht zu Talent2Go übertragen, nur für Ihre Übersicht)

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: (Bezeichnung der individuellen Rolle)

    z.B.:

    Anzeigename: Ausbildungspate Elektro

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: ausbildungspate_elektro

    Fall 1 = Wenn die benutzerdefinierte Rolle „Ausbildungspate Elektro“ bei Talent2Go noch nicht angelegt wurde, wird die Rolle mit dem Namen „Ausbildungspate Elektro“ bei Talent2Go erstellt. In diesem Fall stehen alle Berechtigungen der neuen Rolle auf „Darf nicht sehen“. Die Berechtigungen können nachträglich von einem Admin angepasst werden. Der Wert „ausbildungspate_elektro“ wird automatisch durch die Anwendung in „Abteilungsleiter Elektro“ konvertiert.

    Fall 2 = Man könnte auch zuerst bei Talent2Go eine benutzerdefinierte Rolle „Ausbildungspate Elektro“ erstellen, die Berechtigungen anpassen und danach bei Microsoft eine App-Rolle mit folgenden Werten hinzufügen:

    Anzeigename: Ausbildungspate Elektro

    Zulässige Mitgliedstypen: Benutzer / Gruppen

    Wert: ausbildungspate_elektro

    Wichtig: Die Worttrennung bei "Wert" soll nur über das Zeichen „_“ (Unterstrich) erfolgen-

  6. Nachdem die Rollen erstellt wurden, können Sie zu "Benutzer und Gruppen" zurückkehren, sich selbst mit der App-Rolle "superadmin" ausstatten und mit den finalen Schritten dieser Anleitung fortfahren. An dieser Stelle könnten Sie aber auch schon alle anderen Personen hinzufügen und die Rollen zuweisen.

    Wichtig bei Rollenwechsel: Die Benutzerrollen können technisch sowohl bei Talent2Go als auch bei Microsoft geändert werden (z.B. von Ausbilder/in zu Verantwortliche/r Lernstation).

    Beachten Sie hierbei bitte, dass Sie Anpassungen direkt bei Microsoft vornehmen sollten. Eine Änderung bei Talent2Go würde nach dem nächsten Login von Microsoft überschrieben werden.

Abschnitt 6 - Validieren und speichern

  1. Stellen Sie sicher, dass Ihre Microsoft Entra ID Active Directory-Benutzer mit der E-Mail-Adresse des Talent2Go-Benutzers übereinstimmen, Talent2Go verwendet die User-Mail als Kennung für SSO.

  2. Um die SAML-Konfiguration zu testen und zu validieren, wechseln Sie zu der von Ihnen erstellten Anwendung, suchen Sie auf der linken Seite nach Verwalten, und wählen Sie Single Sign-On aus.

  3. Klicken Sie unten auf der Seite auf die Schaltfläche "Test".

  4. Auf der rechten Seite wird ein neues Fenster angezeigt, klicken Sie auf die Schaltfläche "Anmeldung testen", um den Test für den aktuellen Benutzer zu starten.

  5. Ein weiterer Tab sollte sich in wenigen Sekunden öffnen, melden Sie sich mit Ihrem Microsoft-Konto an und überprüfen Sie, ob Sie als der richtige Benutzer in der richtigen Entität bei Talent2Go angemeldet sind. Wenn alles funktioniert, sind Sie mit der SAML-Konfiguration fertig.

FAQ

Kann man sich als User eines Unternehmens (z.B. Azubi oder Ausbilderin) bei Talent2Go einloggen, ohne dass man vorher von einem Admin manuell bei Talent2Go hinzugefügt wurde?

Ja, sobald Sie einen User über Microsoft Entra zur angelegten Microsoft App Talent2Go hinzugefügt haben, kann sich der User bei Talent2Go einloggen und wird automatisch Ihrem Unternehmensaccount zugeordnet. Beachten Sie hier dass Sie im Nachgang noch die Stammdaten ergänzen müssten.

Können unsere Auszubildenden bzw. auch andere Rollen unseres Unternehmens die Funktion "Fortfahren mit Microsoft Account" nutzen um sich einzuloggen?

Nein, das ist technisch leider nicht möglich. Der Login erfolgt entweder über die Nutzerkennung (E-Mail und Passwort) oder über die Microsoft App.

Wir möchten unserer internen IT-Abteilung die Einrichtung von SSO über Microsoft Entra überlassen, wie machen wir das?

Das ist kein Problem. Als Administrator/in können Sie einfach zunächst eine individuelle Rolle anlegen, z.B: "IT-Support". Jetzt können Sie die Berechtigungen anpassen, wichtig ist die Berechtigung auf "Unternehmenseinstellungen", hier muss "Darf sehen und bearbeiten" ausgewählt sein. Danach können Sie die betreffende Person über die Stammdaten einladen und sie kann die Einstellungen vornehmen.

Funktioniert die Microsoft Entra Anbindung auch in Kombination mit anderen Integrationen?

Ja, es ist möglich Microsoft Entra zusätzlich zu einer anderen Integration zu nutzen. Die Benutzer, die nur bei Microsoft hinterlegt sind, loggen sich dann über Enta ID ein. Die Benutzer, die nur bei der Integration hinterlegt sind, bekommen bei Synchronisation eine E-Mail mit Passwort und können sich über Login/Passwort einloggen.

Die Benutzer, die sowohl bei Microsoft als auch bei der Integration hinterlegt sind, bekommen bei der Synchronisation eine E-Mail mit Passwort und können sich sowohl über Login/Passwort als auch über Entra ID einloggen. Beim letzten Fall ist es wichtig, dass die E-Mail Adressen die gleichen sind.

Hat dies deine Frage beantwortet?