Zum Hauptinhalt springen

SAML Single Sign-on (SSO) 🔐

Konfigurieren Sie SAML 2.0 SSO für Ihren Arbeitsbereich direkt von Fabriq.

Mohamed Berrada avatar
Verfasst von Mohamed Berrada
Gestern aktualisiert

Fabriq unterstützt SAML 2.0 Single Sign-On (SSO), wodurch Ihre Organisation Benutzer über Ihren Unternehmens-Identitätsanbieter (IdP) authentifizieren kann.

Der Self-serve SSO Wizard ermöglicht IT- und Sicherheitsteams, SSO ohne Unterstützungseingriff zu konfigurieren, zu validieren und bereitzustellen, und bietet vollständige Autonomie sowie eine geführte, zuverlässige Einrichtungserfahrung.

ℹ️ SSO is available for:
- Enterprise plan customers
- Advanced and Standard plans (as add-on)

❗️ Requires a SAML 2.0 identity provider (Microsoft Entra ID, Google Workspace, Okta, OneLogin, or similar).

1.Vorteile von SSO in Fabriq

🔒 Starke Sicherheit & Governance

  • Authentifizierung und MFA vollständig von Ihrem IdP gesteuert

  • Konsistente Anwendung von bedingtem Zugriff, Gerätevertrauen und Risikopolitiken

  • Stellt die nominative Identität für Audit, Rückverfolgbarkeit und Compliance sicher

⚙ Betriebliche Effizienz

  • Benutzer melden sich mit vorhandenen Unternehmensanmeldeinformationen an

  • Keine Passwortzurücksetzungen oder lokale Kontoinstandhaltung

  • Schnellerer Login in Mehrschicht- und Mehrgeräteumgebungen

  • Vereinfacht das Onboarding bei Standortexpansionen oder Personalwechsel

👥 JIT-Bereitstellung = Benutzerautonomie

Fabriq verwendet Just-In-Time (JIT) Bereitstellung.

Dies ermöglicht:

  • Automatische Kontenerstellung beim ersten SSO-Login

  • Keine Einladung erforderlich

  • Benutzer können sofort Zugriff auf Teams anfordern

  • Fabriq-Administratoren genehmigen den Zugriff mit einem Klick

  • Reibungslose Einarbeitung beim Skalieren von Operationen oder beim Rotieren von Mitarbeitern

Dies ist besonders wertvoll für verteilte Frontlinienteams.

2.Kontotypen & SSO-Auswirkungen

Fabriq unterstützt mehrere Identitätstypen, um sowohl Unternehmensbenutzer als auch betriebliche Umgebungen zu berücksichtigen.

Kontotyp

Beispiel

Zweck

Authentifizierung

Unternehmensnominativ

[email protected]

Standard Fabriq-Benutzer (Teamleiter, Manager, OpEx usw.)

SSO über IdP (MFA beim IdP).Vollständige persönliche Rückverfolgbarkeit.

Generischer Nominativ (Fabriq-Identität)

[email protected]

Arbeiter ohne Unternehmens-E-Mails

Nicht geteilt.Passwortauthentifizierung + Fabriq IP-Filterung.Kann Benachrichtigungen bei Bedarf an die E-Mail eines Vorgesetzten weiterleiten.

Service / Anzeigekonten

[email protected]

TVs/große Bildschirme für Armaturenbretter

SSO oder Passwort + Fabriq IP-Filterung.Nur Auditor (nur Lesezugriff).Nie für die Dateneingabe.

Leitfaden zur Domainstrategie

Nur unternehmensbezogene E-Mail-Domains sollten zu SSO hinzugefügt werden.

.fabriq.tech-Domains sollten außerhalb von SSO bleiben, da diese Konten auf von Fabriq verwaltete Authentifizierung anstelle Ihres Identitätsanbieters angewiesen sind.

Dies verhindert, dass Arbeiter- und Dienstkonten unbeabsichtigt blockiert werden.

3.Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie:

  • Zugriff für Organisationsadministratoren in Fabriq

  • Admin-Zugriff in Ihrem Identitätsanbieter

  • Ihr Unternehmens-E-Mail-Domain(s)

  • IdP Metadaten-URL (empfohlen) oder XML

  • Ein Testbenutzer in Ihrem IdP

4.Übersicht über den Selbstbedienungs-SSO-Assistenten

Um mit der Konfiguration von SSO zu beginnen:

1.Melden Sie sich bei Fabriq an

2. Navigieren Sie zu Organisation → Sicherheit

3.Lokalisieren Sie den Single Sign-On (SSO) Abschnitt

4.Klicken Sie auf SSO einrichten, um den Selbstbedienungs-SSO-Assistenten zu starten

Der Assistent enthält vier Schritte:

  1. Anbieter konfigurieren

  2. Kartenansprüche

  3. Verbindung überprüfen

  4. Speichern & Bereitstellen

Schritt 1: Anbieter konfigurieren

a) Wählen Sie Ihren Identitätsanbieter

Wählen Sie den IdP, den Ihre Organisation verwendet.

Anbieter-spezifische Einrichtungsanleitungen sind hier zur Verfügung gestellt:

b) Kopieren Sie die SP-Werte von Fabriq in Ihr IdP

Fabriq bietet:

  • Entitäts-ID

  • ACS-URL

Diese müssen zu der SAML-App Ihres IdP hinzugefügt werden, um Vertrauen herzustellen.

c) IdP-Metadaten hochladen

Sie können bereitstellen:

  • Metadata-URL (bevorzugt, aktualisiert Zertifikate automatisch)

  • Metadaten-XML (manuelle Aktualisierungen)

d) SSO-Domänen hinzufügen

Fügen Sie die Unternehmensdomänen hinzu, deren Benutzer sich über SSO authentifizieren sollten.

Fügen Sie keine .fabriq.tech-Domains hinzu.

Schritt 2: Ansprüche zuordnen

Konfigurieren Sie, wie Fabriq Benutzerattribute von Ihrem IdP empfängt.

Erforderliche Attribute:

  • Authentifizierungs-E-Mail-Adresse

  • Kommunikations-E-Mail-Adresse

  • Vorname

  • Nachname

NameID-Anforderungen

Fabriq empfiehlt dringend, einen stabilen, unveränderlichen Identifikator als NameID zu verwenden, nicht eine E-Mail-Adresse.Dies stellt sicher, dass, wenn sich die E-Mail eines Benutzers ändert, er den Zugriff nicht verliert, Ihre Benutzerzuordnung intakt bleibt und die aktualisierte E-Mail automatisch in Fabriq angezeigt wird.

Gültige Optionen sind:

  • Azure AD Objekt-ID

  • Okta UUID

  • OneLogin eindeutige ID

  • Mitarbeiter-/HR-ID

Wenn ein instabiler Wert erkannt wird (z. B. E-Mail), wird der Assistent eine Warnung anzeigen.

Schritt 3: Überprüfen der Konnektivität

Klicken Sie auf Testverbindung, um Ihre Konfiguration zu validieren.

Fabriq überprüft:

  • Zugriff auf Metadaten & Signatur

  • Korrekte Zuordnung von ACS und Entity ID

  • Attributpräsenz

  • NameID-Format

  • SAML-Assertionsstruktur

Mögliche Ergebnisse

🟢 Erfolg

Ihre Konfiguration ist vollständig und gültig.

🟡 Warnungen

Häufige Fälle:

  • Fehlende E-Mail-Attribute

  • NameID, das eine E-Mail anstelle einer stabilen ID verwendet

  • Unerwartete oder nicht zugeordnete Attribute

🔍 SAML-Assertion-Vorschau

Der Wizard zeigt die tatsächliche Assertion an, die von Ihrem IdP gesendet wird, einschließlich:

  • NameID

  • E-Mail-Attribute

  • Vorname & Nachname

  • Attributquellen

Verwenden Sie diese Vorschau, um die Richtigkeit vor der Einführung sicherzustellen.

Schritt 4: Speichern & Bereitstellen

Sobald validiert, entscheiden Sie, welche Benutzer sich mit SSO authentifizieren werden.

Benutzera aktivierungstools

  • Nach E-Mail suchen

  • Aktivieren Sie Benutzer einzeln oder in großen Mengen

  • Alle auswählen / Löschen / Auswahl umkehren

  • Exportieren Sie Ihre Benutzerliste als CSV

E-Mail-Benachrichtigungen

Fabriq benachrichtigt Benutzer automatisch, wenn:

  • SSO ist für ihr Konto aktiviert

  • SSO ist deaktiviert, was sie auffordert, ein Passwort festzulegen

Dies gewährleistet Transparenz und reduziert Verwirrung während der Übergänge.

Nach-Rollout-Verhalten

  • Ausgewählte Benutzer authentifizieren sich beim nächsten Login über SSO

  • Neue Benutzer mit übereinstimmenden Domains verwenden automatisch SSO (JIT-Bereitstellung)

  • Benutzer, die nicht zu SSO gewechselt sind, verwenden weiterhin ihr bestehendes Passwort-Login

5.Nach der Einrichtung

Die SSO-Einstellungsseite zeigt an:

  • Konfiguriertes IdP

  • Aktive Domains

  • Benutzerabdeckung (mit/ohne SSO)

Sie können Ihre Konfiguration jederzeit bearbeiten.

Die Deaktivierung von SSO versetzt die Benutzer zurück in die passwortbasierte Anmeldung (mit automatischen E-Mail-Benachrichtigungen).

6.Empfohlene Rollout-Strategie

Phase 1: Admin-Pilot

SSO für 2–3 Administratoren aktivieren, um die Anmeldemethoden (Büro, VPN, mobil) zu validieren.

Phase 2: Kontrollierte Einführung

Bereitstellen für ein bestimmtes Team, Werk oder Funktion.

Phase 3: Vollständige Einführung

Aktivieren Sie SSO für alle unternehmenseigenen namentlichen Benutzer.

Phase 4: Laufende Governance

  • Nicht verwendete Konten entfernen

  • Saubere Domainlisten pflegen

  • Überprüfen Sie regelmäßig die Benutzerabdeckung

Wenn Ihre Organisation mit nicht standardmäßigen Identitätsmodellen arbeitet, kann der Fabriq-Support Ihnen helfen, Ihre Konfiguration zu validieren.

Hat dies deine Frage beantwortet?