Sicherheit
      Zurück zur Startseite
      1. Hilfe-Center
      2. Sicherheit und IT
      3. Sicherheit

      Was brauche ich, um SSO mit Finmatics zu nutzen?

      In diesem Artikel erfahren Sie, wie SSO mit Finmatics konfiguriert werden kann.

      Inhalt 

       

      Was sind die Voraussetzungen? 

      • OIDC authorization endpoint:
        Dieser Endpoint wird verwendet, um Benutzer zu identifizieren und zu überprüfen. Beispiel Azure Active Directory: https://login.microsoftonline.com/{UUID}/oauth2/v2.0/authorize
      • OIDC token endpoint: 
        Dieser Endpoint wird verwendet, um Tokens zu erstellen und zu aktualisieren, damit mit dem SSO-Anbieter kommuniziert werden kann. Beispiel Azure Active Directory: https://login.microsoftonline.com/{UUID}/oauth2/v2.0/token
      • OIDC user endpoint:
        Dieser Endpoint wird verwendet, um Benutzerinformationen abzurufen. Beispiel Azure Active Directory: https://graph.microsoft.com/oidc/userinfo
      • OIDC jwks endpoint:
        Dieser Endpoint wird verwendet, um die erforderlichen JSON-Web-Schlüssel zu erhalten. Beispiel Azure Active Directory: https://login.microsoftonline.com/{UUID}/discovery/v2.0/keys
      • OIDC scopes:
        Wird verwendet, um den Umfang der Daten festzulegen, die an den Autorisierungsserver gesendet werden. Beispiel Azure Active Directory:
        • openid: dieses Feld ist erforderlich. Gibt an, dass die Identität eines Benutzers über OIDC überprüft werden soll
        • profile: Zugriff auf den Benutzernamen
        • email: Zugriff auf die E-Mail-Adresse. Wenn mehrere E-Mail-Adressen verwendet werden (z. B. lokalisiert), lassen Sie uns bitte deren Anwendungsbereiche wissen und welche für die Anmeldung und Benutzererstellung verwendet werden soll
      • OIDC client secret:
        Finmatics verwendet dies wie ein Passwort, um mit dem SSO-Anbieter zu kommunizieren. 
      • OIDC client id:
        Finmatics verwendet dies wie einen Benutzernamen, um mit dem SSO-Anbieter zu kommunizieren
      • OIDC sign algorithm:
        Dies bestimmt, welcher Algorithmus verwendet wird, um den Token zu signieren und wird vom SSO-Anbieter festgelegt
      • Auth provider group name/Token:
        Für die meisten Anbieter können Benutzer verschiedenen Gruppen zugewiesen werden, was das Zuweisen verschiedener Berechtigungen ermöglicht. Diese Gruppen können auch in Finmatics eingerichtet werden, um sicherzustellen, dass ein Benutzer immer die benötigten  Berechtigungen zugewiesen hat. Es ist auch möglich, eine Standardgruppe für alle Benutzer zu erstellen. Beispiel Azure Active Directory (UUID): 11111111-2222-3333-4444-555555555555

      Setup in Microsoft Azure

      Erstellen einer neuen Application

      • Im Azure-Portal suchen Sie nach "App registrations"  - "New Registration"
      • Wählen Sie den Namen der Anwendung aus.
      • Unterstützte Kontotypen: Wählen Sie "Accounts in this organizational directory only - (Single Tenant)"

      Redirect URI:

      • Plattform: Web
      • URI: Dies ist die markenrechtlich geschützte Domain, über die auf Finmatics zugegriffen wird, z. B. https://BRANDING.DOMAIN.XYZ/api/oidc/callback/
      • URI: Für die mobile App wird eine zweite URI benötigt, die immer wie folgt aussieht: https://api.finmatics.com/api/oidc/callback/

      Klicken Sie auf "Create", woraufhin Sie zur Anwendung weitergeleitet werden.

      Information, die von Finmatics benötigt wird:

      • Application Client ID

      Erstellung eines Clients Secrets

      Erstellen Sie ein Client Secret über "Certificates and Secrets" - "New client secret". Füllen Sie folgende Felder aus:  

      • Client-Secret Value

      • Description
      • Duration

      • Client-Secret Expiration Date

      Das Client Secret wird nur einmal angezeigt. Stellen Sie deshalb sicher, den Wert sofort zu kopieren.

      Token-Konfiguration

      Wählen Sie hierfür "Token Configuration" - "Add groups claim" - "Security groups" und "Add"

      SSO Token Konfiguration

      Information, die von Finmatics benötigt wird:

      • Token für jede einzelne Gruppe

      Endpoint Informationen

      Suchen Sie die Konfiguration unter "Overview" - "Endpoints"

      Information, die von Finmatics benötigt wird:

      • OpenID Connect metadata document 

      Einrichten von Security Groups und hinzufügen von Members

      Öffnen Sie "Groups" und erstellen Sie ein neue Gruppe über "New group". Wählen Sie den Group type "Security" aus. Mitglieder dieser Gruppe erhalten entsprechende Berechtigungen in Finmatics.

       

      Informationen, die von Finmatics benötigt werden:

      • Group Object ID 

      Konfiguration von User-Berechtigungen und Verwaltung 

      Füllen Sie das nachfolgend verlinkte Excel-Dokument aus und senden Sie es an Finmatics zurück, damit die entsprechenden Gruppen und Benutzer-Berechtigungen konfiguriert werden können: