Mit 1Password Business kannst du deinen Teammitgliedern Single Sign-On (SSO) Authentifizierung ermöglichen, indem du deinen Identitätsanbieter unter Verwendung von „Entsperren mit SSO“ und OpenID Connect (OIDC) mit 1Password verbindest.
Entsperren mit SSO beinhaltet keine automatische Bereitstellung. Wenn du Nutzer und Gruppen erstellen, Zugriff verwalten und 1Password-Nutzer mit deinem Identitätsanbieter ausschließen möchtest, erfahre mehr darüber, wie du Bereitstellung mit SCIM automatisierst.
Before you begin
Bevor du beginnst, überprüfe die Überlegungen und Anforderungen zum Entsperren mit SSO.
Schritt 1: Füge deinem Identitätsanbieter eine 1Password-Anwendung hinzu
Bevor du Unlock with SSO in 1Password einrichten kannst, musst du eine App-Integration bei deinem Identitätsanbieter erstellen. Einige potenzielle Identitätsanbieter, die du verwenden kannst, sind:
Duo
OneLogin
Ping
Wenn dein Identitätsanbieter nicht aufgeführt ist, ziehe die Dokumentation des Anbieters zu Rate, um zu erfahren, wie du eine OpenID Connect-App-Integration erstellen kannst. 1Password unterstützt nur mit OpenID Connectkonforme Identitätsanbieter. ADFS (Active Directory Federation Services) wird zurzeit nur mit Entra ID unterstützt.
Wenn dein Identitätsanbieter dich bittet, die Weiterleitung-URIs deiner Anwendung einzugeben, fahre mit Schritt 2 fort.
Schritt 2: Entsperren mit SSO konfigurieren
Wichtig
Die Änderungen, die du unten vornimmst, werden erst gespeichert, wenn du dich erfolgreich bei deinem Identitätsanbieter authentifiziert hast. Dies verhindert, dass du den Zugriff auf 1Password verlierst.
- Öffne eine neue Browser-Registerkarte oder ein neues Fenster und melde dich an, bei deinem Konto auf 1Password.com.
- Select Policies in sidebar, then select Manage under Configure Identity Provider.
- Choose Other from the list of identity providers and select Next.
- Wähle deinen Identitätsanbieter aus und fülle dann die Felder mit dessen Konfigurationsinformationen aus.
Wenn dein Identitätsanbieter nicht aufgeführt ist, wähle Sonstige.
- Select Next and copy the redirect URIs to the OIDC app integration you created in step 1.
Wenn du Hilfe benötigst, um herauszufinden, wo du die URIs in deinem Identitätsanbieter eingibst, ziehe die Dokumentation deines Identitätsanbieters zu Rate.
2.1: Erforderliche Anwendungsbereiche und Ansprüche konfigurieren
1Password erfordert Anspüche zu Betreff, Name und E-Mail von deinem Identitätsanbieter. Wenn sich ein Teammitglied zum ersten Mal mit SSO anmeldet, muss seine 1Password-E-Mail mit dem Anspruch E-Mail aus seiner Anmeldung übereinstimmen. 1Password speichert den Anspruch Betreff, um zukünftige Anmeldungen vom Identitätsanbieter demselben Teammitglied in 1Password zuzuordnen.
Wichtig
Der Anspruch Betreff sollte ein eindeutiger Wert sein, der sich bei deinem Identitätsanbieter niemals ändert.
1Password fordert während der Authentifizierungsanfrage auch die Anwendungsbereiche E-Mail, Profile und OpenID an. Es wird erwartet, dass dein Identitätsanbieter diese Anwendungsbereiche interpretiert.
Für Details zur Konfiguration von Anwendungsbereichen und Ansprüchen ziehe die Dokumentation deines Identitätsanbieters zu Rate. Erfahre mehr über OpenID Connect-Implementierung.
2.2: Teste die Verbindung
Nachdem du deine Einstellungen konfiguriert hast, wechsele zurück zur Seite 1Password mit Identitätsanbieter entsperren und teste die Verbindung. Du wirst zu deinem Identitätsanbieter weitergeleitet, um dich anzumelden und dann wieder zurück zu 1Password geleitet.
Schritt 3: Bestimme, welche Teammitglieder 1Password mit SSO entsperren werden, und setze eine Kulanzfrist
Wichtig
Vorhandene Teammitglieder müssen sich mit ihrem Kontopasswort und ihrem Geheimschlüssel bei 1Password anmelden, bevor sie zu „Entsperren mit SSO“ wechseln. Wenn dein Unternehmen Emergency Kits ausgeschaltet hat oder eine Richtlinie zum Löschen des Browser-Caches hat, könnte dies dazu führen, dass Massen- Wiederherstellungen für Nutzer erforderlich sind, die ihre Anmeldedaten nicht haben.
Teammitglieder werden während des Wiederherstellungsprozesses aufgefordert, sich mit SSO anzumelden.
Nachdem du „Entsperren mit SSO“ konfiguriert hast, wirst du zur Seite „Einstellungen“ in deinem 1Password-Konto weitergeleitet. Bevor du deine Einstellungen konfigurierst, musst du Gruppen für die Teammitglieder erstellen, die 1Password mit deinem Identitätsanbieter entsperren:
- Erstelle eine angepasste Gruppe.
Gib der Gruppe zur Klarheit einen aussagekräftigen Namen, wie „Dein Identitätsanbieter SSO“.
- Füge Teammitglieder der Gruppe hinzu.
Wenn du planst, zu einem späteren Zeitpunkt weitere Teammitglieder einzuladen, um „Entsperren mit deinem Identitätsanbieter“ zu testen, erstelle eine neue angepasste Gruppe für jede zusätzliche Gruppe von Testern.
Die Gruppe(n), die du erstellst, müssen nicht dauerhaft sein und du kannst schließlich festlegen, dass dein ganzes Team mit SSO entsperrt, sobald einige Gruppen erfolgreich migriert wurden.
3.1: Wähle, wer mit deinem Identitätsanbieter entsperren wird.
Wichtig
Nutzer in der Eigentümer -Gruppe können nicht mit deinem Identitätsanbieter entsperren und melden sich weiterhin mit ihrem Kontopasswort und Geheimschlüssel bei 1Password an. Dies trägt dazu bei, sie davor zu schützen, ausgesperrt zu werden, falls sie keinen Zugriff auf ihre verknüpften Apps und Browser haben und niemand sie wiederherstellen kann.
Erfahre mehr über die Implementierung eines Wiederherstellungsplans für dein Team.
Standardmäßig ist „Personen, die 1Password mit einem Identitätsanbieter entsperren“ auf „Niemand“ gesetzt. Auf diese Weise kannst du dein Team schrittweise migrieren, um mit deinem Identitätsanbieter zu entsperren. Um anzugeben, welche Teammitglieder 1Password mit deinem Identitätsanbieter entsperren, wähle eine der Optionen:
- Niemand: Um „Entsperren mit deinem Identitätsanbieter“ auszuschalten, wähle Niemand aus.
- Nur von dir ausgewählten Gruppen: Nur die Teammitglieder in den von dir gewählten Gruppen melden sich bei deinem Identitätsanbieter an. Erfahre mehr darüber, wie du angepasste Gruppen in 1Password Business verwendest.
- Alle außer: Gruppen, die du ausschließt: Alle Teammitglieder, außer Eigentümer und von dir ausgeschlossenen Gruppen, melden sich mit deinem Identitätsanbieter an. Bestehende Nutzer in diesem Bereich werden aufgefordert, zu „Entsperren mit deinem Identitätsanbieter“ zu wechseln. Neue Nutzer, außer denen in ausgeschlossenen Gruppen, verwenden ihren Nutzernamen und ihr Passwort deines Identitätsanbieters, wenn sie 1Password beitreten. Eigentümer melden sich mit einem Kontopasswort und einem Geheimschlüssel an.
- Alle außer: Gäste: Alle Teammitglieder, außer Eigentümer und Gästen, melden sich mit deinem Identitätsanbieter an. Alle bestehenden Nutzer werden aufgefordert, zu „ Entsperren mit ihrem Identitätsanbieter“ zu wechseln, und alle neuen Nutzer verwenden ihren Nutzernamen und ihr Passwort deines Identitätsanbieters, wenn sie 1Password beitreten. Gäste und Eigentümer melden sich mit einem Kontopasswort und einem Geheimschlüssel an.
- Alle: Gäste und alle Teammitglieder, außer Eigentümer, melden sich mit deinem Identitätsanbieter an. Alle bestehenden Nutzer werden aufgefordert, zu „Entsperren mit deinem Identitätsanbieter“ zu wechseln, und alle neuen Nutzer verwenden ihren Nutzernamen und ihr Passwort von deinem Identitätsanbieter, wenn sie 1Password beitreten.
3.2: Eine Nachfrist festlegen
Teammitglieder, die bereits 1Password-Konten haben, müssen zu „Entsperren mit deinem Identitätsanbieter“ wechseln. Gib die Anzahl der Tage an, bevor die Teammitglieder wechseln müssen. Beachte Folgendes, wenn du die Nachfrist festlegst:
- Standardmäßig ist die Nachfrist auf 5 Tage festgelegt. Sie kann auf 1 bis 30 Tage festgelegt werden.
- Die Nachfrist beginnt, wenn ein Administrator eine Gruppe hinzufügt, nachdem er die Option Nur Gruppen, die du auswählst gewählt hat, oder wenn ein Administrator „Entsperren mit deinem Identitätsanbieter“ für alle im Team konfiguriert. Du siehst die Nachfrist neben jeder Gruppe, die zum Entsperren mit deinem Identitätsanbieter konfiguriert ist.
- Wenn ein Teammitglied zu mehr als einer Gruppe gehört, wird seine Nachfrist durch die erste mit SSO eingerichtete Gruppe bestimmt, auch wenn die Nachfristen für diese Gruppen unterschiedlich sind.
- Wenn du ein Teammitglied, das Entsperren mit SSO nicht eingerichtet hat, einer Gruppe hinzufügst, deren Nachfrist abgelaufen ist, musst du oder muss ein anderer Administrator das Konto wiederherstellen, damit es sich erneut mit SSO anmelden kann.
- Wenn du die Länge der Nachfrist bearbeitest, wird sie ab dem ursprünglichen Datum verlängert oder verkürzt, das du für das Entsperren der Gruppe mit SSO konfiguriert hast, .
- Wenn du nach der ersten Einrichtung weitere Teammitglieder zum Entsperren mit deinem Identitätsanbieter konfigurieren musst, erstelle eine neue angepasste Gruppe mit einer aktiven Nachfrist. So wird sichergestellt, dass neu zugewiesene Teammitglieder keine Wiederherstellung ihrer Konten benötigen.
Wichtig
Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit deinem Identitätsanbieter“ migriert, kann es sich auf seinen Geräten nicht bei seinem Konto anmelden und muss einen Administrator kontaktieren, um sein Konto wiederherzustellen. Das Teammitglied wird während des Wiederherstellungsprozesses zu „Entsperren mit deinem Identitätsanbieter“ wechseln.
Manage settings
Um deine Einstellungen zu verwalten, melde dich bei deinem Konto auf 1Password.com an, wähle dann Richtlinien in der Seitenleiste aus und wähle Verwalten unter Identitätsanbieter konfigurieren aus.
Konfiguration
Um deine Konfiguration mit deinem Identitätsanbieter zu ändern, wähle Konfiguration bearbeiten aus, folge dann den Anweisungen auf dem Bildschirm, um „Entsperren mit SSO“ einzurichten. Du kannst nur einen Identitätsanbieter einrichten, um mit SSO zu entsperren.
Du kannst eine Identitätsanbieterkonfiguration erst speichern, nachdem du die Verbindung erfolgreich getestet hast. Änderungen werden nicht gespeichert, wenn du dich nicht erfolgreich mit deinem Identitätsanbieter authentifizieren kannst. Dies verhindert, dass du den Zugriff auf 1Password verlierst.
Personenzuweisungen und Biometrie
Wähle Bearbeiten unten auf der Einstellungsseite aus, um zu ändern, welche Nutzer zum Entsperren von 1Password mit deinem Identitätsanbieter zugewiesen sind.
- Um anzugeben, welche Teammitglieder 1Password mit deinem Identitätsanbieter entsperren, wähle eine Option im Abschnitt Wer 1Password mit einem Identitätsanbieter entsperren kann aus.
Empfohlen wird „Nur von dir ausgewählte Gruppen“. Erfahre mehr darüber, wie du angepasste Gruppen in 1Password Business verwendest. Um „Entsperren with SSO“ auszuschalten, wähle Niemand aus.
- Gib die Anzahl der Tage an, bevor Teammitglieder zum Entsperren mit deinem Identitätsanbieter wechseln müssen.
Die standardmäßige Nachfrist beträgt 5 Tage. Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit deinem Identitätsanbieter“ migriert, muss es seinen Administrator kontaktieren, um sein Konto wiederherzustellen.
- Um Teammitgliedern das Entsperren mit Touch ID, Face ID, Windows Hello und anderen biometrischen Merkmalen zu ermöglichen, wähle Zulassen, dass Personen 1Password mit biometrischen Merkmalen entsperren. Gib die Anzahl der Tage oder Wochen an, bevor sie aufgefordert werden, sich erneut bei deinem Identitätsanbieter anzumelden.
Wenn biometrisches Entsperren eingeschaltet ist, haben deine Teammitglieder bis zum angegebenen Zeitraum offline Zugriff auf 1Password. Nach Ablauf des Zeitraums ist der Zugriff auf den Tresor nur noch online möglich.
Wähle Änderungen überprüfen aus, um deine Auswahl zu verifizieren und wähle dann Speichern aus.
Next steps
Um „Entsperren mit SSO“ selbst zu verwenden, beginne „1Password mit SSO entsperren“ als Teammitglied zu verwenden.
Erfahre mehr darüber, wie du 1Password mit SSO entsperren auf allen deinen Geräten verwendest und über verknüpfen von zusätzlichen Apps und Browsern mit deinem Konto.
Tipp
Wenn dein IT-Team eine Richtlinie hat, die Browserdaten beim Schließen eines Browsers löscht, schließe die Anmeldeadresse deines Teams von dieser Richtlinie aus, um sicherzustellen, dass deine Teammitglieder den Zugriff auf ihre verknüpften Browser nicht verlieren.
Du kannst dein Team auch dazu anregen, andere Apps und Browser mit ihren Konten zu verknüpfen, beispielsweise die 1Password-Desktop-App, nachdem sie sich registriert haben oder zum „Entsperren mit SSO“ wechseln.
Unterstützung erhalten
Sieh in der Dokumentation deines Identitätsanbieters nach, um deine OpenID Connect bekannte URL zu finden. Sie kann einem der folgenden Formate folgen: YOUR_DOMAIN.identity-provider.com/.well-known/openid-configuration oder YOUR_DOMAIN.identity-provider.com/oauth2/default/.well-known/openid-configuration.
Wenn ein Teammitglied von einer Gruppe, die mit SSO entsperrt, in eine Gruppe verschoben wird, die dies nicht tut, wird es aufgefordert, ein Kontopasswort zu erstellen und sein Emergency Kit herunterzuladen.
Wenn du die E-Mail-Adresse eines Nutzers in deinem Identitätsanbieter änderst und er/sie sich nicht mehr mit SSO anmelden kann, schließe und reaktiviere sein/ihr Konto in 1Password.
Unterstützung erhalten, wenn du zu einem neuen Identitätsanbieter wechseln musst, nachdem du „Entsperren mit SSO“ eingerichtet hast.
Mehr erfahren
- Über 1Password Unlock mit SSO
- Informationen zum Entsperren mit SSO-Sicherheit
- Teammitglieder hinzufügen und entfernen
- Anwenderspezifische Gruppen in 1Password Business verwenden
- Wenn du Probleme beim Entsperren von 1Password mit SSO hast
War dieser Artikel hilfreich?
Freut mich, das zu hören! Wenn du etwas hinzufügen möchtest, zögere nicht, uns zu kontaktieren.
Tut mir leid, das zu hören. Bitte kontaktiere uns, wenn du uns mehr darüber erzählen möchtest.