Zum Hauptinhalt springen

Überblick

Diese Anleitung führt dich durch die Konfiguration von SAML Single Sign-On mit Microsoft Entra ID. Du erstellst eine Unternehmensanwendung in Entra ID, konfigurierst die SAML-Einstellungen und stellst eine sichere Verbindung zwischen deinem Identity Provider und Langdock her. Nach Abschluss können sich deine Nutzer mit ihren Entra ID-Anmeldedaten bei Langdock anmelden.

Setup Checkliste

Stelle sicher, dass du diese Schritte aus der Setup Checkliste abgeschlossen hast:
  • Du hast Zugriff auf ein Administratorkonto in deinem Langdock Workspace
  • “Beitritt per Domain” ist in deinen Langdock Sicherheitseinstellungen aktiviert
  • Deine Domain ist in deinen Langdock Sicherheitseinstellungen hinzugefügt und verifiziert
  • Du hast ein Entra ID-Konto mit der Möglichkeit, Unternehmensanwendungen zu erstellen und zu verwalten

Erstellen einer neuen Unternehmensanwendung in Entra ID

Zunächst musst du eine neue Unternehmensanwendung in deinem Entra ID-Portal erstellen.
Gehe dazu wie folgt vor:
  1. Navigiere in deinem Entra ID-Portal zur Übersichtsseite und füge eine neue Unternehmensanwendung unter ”+ Hinzufügen” -> “Unternehmensanwendung” hinzu.
  2. Erstelle eine neue benutzerdefinierte Anwendung, indem du auf ”+ Eigene Anwendung erstellen” klickst.
  3. Benenne deine Anwendung (z.B. “Langdock”)
  4. Wähle die Option “Eine andere Anwendung integrieren, die nicht in der Galerie ist (Nicht-Galerie)“

SAML-Konfiguration

Langdock verwendet SAML 2.0 als Standard für die SSO-Authentifizierung. Nach dem Erstellen der Anwendung musst du die SAML-Einstellungen konfigurieren, die es Langdock ermöglichen, Nutzer über SAML zu authentifizieren. Navigiere zunächst zu den “Single Sign-On”-Einstellungen deiner neu erstellten Anwendung, indem du “Single Sign-On einrichten” auswählst und “SAML” als Single Sign-On-Methode wählst. Als Nächstes musst du die SAML-Metadaten von Langdock abrufen, die du in deinen Sicherheitseinstellungen findest, nachdem du den “SAML Aktiv”-Schalter aktiviert hast. Hier musst du zwei Werte aus den SAML-Metadaten kopieren:
  1. Den Wert “Audience URI (SP Entity ID)” (langdock.com)
  2. Den Wert “Assertion Consumer Service (ACS) URL”
Jetzt kannst du die SAML-Einstellungen in deinem Entra ID-Portal konfigurieren, indem du zunächst auf “Bearbeiten” im Abschnitt “Basis-SAML-Konfiguration” klickst und dann die folgenden Werte einträgst:
  1. “Kennung (Entitäts-ID)”: Der Wert “Audience URI (SP Entity ID)” von Langdock
  2. “Antwort-URL (Assertion Consumer Service URL)”: Der Wert “Assertion Consumer Service (ACS) URL” von Langdock
Die anderen Felder kannst du leer lassen oder mit ihren Standardwerten belassen. Speichere abschließend die Konfiguration, indem du auf “Speichern” klickst. Du musst auch die Standard-SAML-Zertifikatskonfiguration ändern, indem du auf “Bearbeiten” im Abschnitt “SAML-Zertifikate” > “Token-Signaturzertifikat” klickst und:
  1. Die “Signaturoptionen” auf “SAML-Antwort und -Assertion signieren” setzen
  2. Den “Signaturalgorithmus” auf “SHA-256” setzen
Speichere abschließend die SAML-Zertifikatskonfiguration, indem du auf “Speichern” klickst. Um die SAML-Einrichtung abzuschließen, musst du die Anmelde-URL und das SAML-Signaturzertifikat von Entra ID zu Langdock kopieren.
  1. Klicke im Abschnitt “SAML-Signaturzertifikat” deines Entra ID-Portals auf “Herunterladen” neben dem Link “Zertifikat (Base64)”, um das Zertifikat herunterzuladen. Du musst das Zertifikat in einem Texteditor öffnen und den Inhalt kopieren. Dies wird im folgenden Format sein:
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
  1. Kopiere den Wert “Anmelde-URL” aus dem Abschnitt “Langdock einrichten” in deinem Entra ID-Portal.
Navigiere in deinem Langdock Workspace zu den Sicherheitseinstellungen und füge die kopierten Werte in die entsprechenden Felder ein:
  1. Fülle das Feld “Aussteller” mit der zuvor angegebenen Audience URI (langdock.com).
  2. Füge den Wert “Anmelde-URL” von Entra ID in das Feld “Anmelde-URL” ein.
  3. Füge den Inhalt des SAML-Signaturzertifikats in das Feld “Zertifikat” ein.

Testen der SAML-Einrichtung

Um die Einrichtung zu testen, bleibe bitte in der aktuellen Browsersitzung angemeldet und öffne einen separaten Browser oder ein Inkognito-Fenster und navigiere zu https://app.langdock.com.
Gib eine E-Mail-Adresse eines Nutzers in deinem Entra ID-Konto ein und klicke auf “Fortfahren”.
Du wirst zur Entra ID-Anmeldeseite weitergeleitet, wo du deine Anmeldedaten eingeben kannst.
Nach erfolgreicher Authentifizierung wirst du zu Langdock zurückgeleitet und angemeldet.

Mehrere Workspaces mit demselben Entra ID-Mandanten

Wenn du mehrere Langdock Workspaces mit demselben Entra ID-Mandanten verbinden möchtest, ist das möglich – erfordert aber eine manuelle Konfiguration durch das Langdock-Team.
Für jeden weiteren Workspace musst du folgende Schritte durchführen:
  1. **Frage das Langdock-Team **unter [email protected], ob sie einen neuen Workspace für dich erstellen und dir die **Assertion Consumer Service (ACS) URL zur Verfügung **stellen können
  2. Erstelle eine separate Unternehmensanwendung in Entra ID für jeden Workspace, den du anbinden möchtest (nach demselben Ablauf wie oben beschrieben)
  3. Verwende eine eindeutige Kennung (Entity ID) für jede App-Registrierung. Statt langdock.com verwendest du eine eindeutige Kennung wie z.B. deinefirma.langdock.com oder workspace-name.langdock.com
  4. Gib die vom Langdock Support bereitgestellte Assertion Consumer Service (ACS) URL ein.
  5. Kontaktiere den Langdock-Support unter [email protected] mit folgenden Informationen für jeden zusätzlichen Workspace:
    • Der Aussteller (deine eindeutige Entity ID)
    • Die Anmelde-URL (Sign-on URL)
    • Das Zertifikat (Base64)
    • Alle E-Mail Domains der User, die den neuen Workspace beitreten werden. Mehr Infos dazu hier.
Du kannst nicht selbst mehrere SAML-Workspaces konfigurieren. Das Langdock-Team muss die zusätzlichen Workspaces manuell im Backend konfigurieren. Wir bieten dies nur für unsere Enterprise-Kunden an. Beachte außerdem, dass wir Benutzer / Chats / Assistenten nicht in andere Workspaces migrieren können.

Verhalten beim Workspace-Wechsel

Wenn Nutzer Zugriff auf mehrere SAML-aktivierte Workspaces mit derselben Domain haben:
  • Nach Eingabe ihrer E-Mail-Adresse beim Login erscheint eine Workspace-Auswahl, über die sie den gewünschten Workspace auswählen können
  • Der reguläre “Workspace wechseln”-Button ist für SAML-Nutzer nicht verfügbar
  • Um zwischen Workspaces zu wechseln, müssen sich Nutzer abmelden und erneut anmelden – anschließend können sie den gewünschten Workspace aus der Auswahl wählen

Fehlerbehebung

Wenn du während der Einrichtung auf Probleme stößt, wende dich bitte an [email protected] für Unterstützung.