SAML SSO Login

SAML Single Sign On

SAML ist ein Single-Sign-On-Protokoll, dass Ihnen Anmeldung und Benutzererstellung bei Mautic ermöglicht, indem es einen IDP (Identity Provider) nutzt.

Mautic Login per SAML

Bei SAML (Security Assertion Markup Language) handelt es sich um ein sicheres, XML-basiertes Datenformat zum Austausch von Authentifizierungsinformationen. Mit Hilfe von SAML können Sie auf verschiedene autonome Services zugreifen, ohne dabei jedes Mal Ihre Zugangsdaten eingeben zu müssen.

Die Authentifizierung erfolgt dabei transparent im Hintergrund. SAML verwendet hierzu einen verschlüsselten Session-Cookie. Diesen Cookie erhält der Nutzer vom Authentifizierungsdienst (Identity Provider – IdP). Damit kann er dann alle angebundenen Services (in unserem Fall dann auch Mautic) nutzen.

SAML Login in Mautic konfigurieren

Zur Konfiguration in Mautic gehen Sie in Mautic auf Einstellungen (Rädchen oben rechts) -> Konfiguration -> Benutzer/Authentifizierungs-Einstellungen.

XML-Metadaten des IDP eintragen

Um SAML in Mautic zu aktivieren, benötigen Sie zunächst die XML-Metadaten Ihres Identity Providers. Diese werden vom IDP zur Verfügung gestellt. Falls Sie vom IDP nur eine URL haben, und keine XML-Datei, gehen Sie zu dieser URL und speichern Sie den Inhalt in einer XML-Datei.

Laden Sie die Datei dann oben bei „Identity provider metadata file“ hoch. Als Standardrolle für neu angelegte Benutzer sollten Sie im Dropdown-Feld rechts daneben Ihre Standardrolle für erstellte Benutzer wählen (z.B. “Analyst”) - wichtig ist in diesem Fall, dass es etwas anderes ist als “Administrator”.

Verschlüsselte Kommunikation - SSL-Zertifikat - verifizieren

Sollte Ihr IDP sichere Kommunikation unterstützen und Validierungen von Mautic Signaturen benötigen, müssen Sie ein selbst signiertes SSL-Zertifikat erstellen. Laden Sie dieses Zertifikat und Ihren Private Key dann in Ihr Mautic hoch - unter Einstellungen (Rädchen oben rechts) -> Konfiguration -> Benutzer/Authentifizierungs-Einstellungen bei “Privater Schlüssel” bzw. “X.509-Zertifikat”.

Benutzerdefinierte Attribute

Sie müssen in Mautic drei benutzerdefinierte Attribute eintragen, die der konfigurierte IDP für Vorname, Nachname und Email-Adresse des Benutzers verwendet.

IDP konfigurieren

Der Identitity Provider fragt möglicherweise nach den folgenden Informationen:

• Aussteller

Diese Information sollte Ihnen durch die IDP bereits zur Verfügung stehen. Handelt es sich hierbei um eine URL, stellen Sie bitte sicher, dass das Schema (http:// oder https://) nicht darin enthalten ist.

• ID

Die URL Ihrer Mautic-Seite. Sie wird oben bei den Benutzer- / Authentifizierungseinstellungen in rot angezeigt (“Use the following entity ID in the IDP: … “). Kopieren Sie diese URL, exakt wie sie angezeigt wird.

• Metadaten Service Provider

Sollte der IDP hier eine URL fordern, benutzen Sie diese: https://ihr-mautic.de/saml/metadata.xml . Sollte der IDP eine Datei fordern, gehen Sie zu der oben genannten URL, speichern den Inhalt der Seite als XML-Datei, und laden diese dann hoch.

• Check Consumer Service

Geben Sie hierfür folgende URL ein: https://ihr-mautic.de/s/saml/login_check

Einloggen via SAML

Sobald Ihr Mautic und IDP korrekt konfiguriert sind, sollte Ihr Mautic alle Logins standardmäßig auf die Login-Seite des IDP umleiten. /s/login steht zwar immer noch zur Verfügung, muss allerdings jetzt direkt aufgerufen werden.

Loggen Sie sich im IDP ein, von wo aus Sie direkt zu Mautic weitergeleitet werden. Sollte all dies funktionieren wie geplant, erstellt das System automatisch einen neuen Benutzer (falls noch nicht vorhanden) und loggt diesen ein.

SAML entfernen

Um SAML wieder auszuschalten, müssen Sie oben in der Mautic Benutzeroberfläche (Einstellungen->Konfiguration -> Benutzer- / Authentifizierungseinstellungen) lediglich auf den Button „Entfernen“ klicken.