|
Verfügbar mit: |
Abo "Enterprise Plan" |
| Erforderliche Rolle: | Workspace-Administrator*in |
Mit Single-Sign-on (SSO) können sich die Mitglieder deines Workspace über deinen Identitätsanbieter (Okta, Microsoft Entra ID/Azure AD oder andere Anbieter, die SAML 2.0 unterstützen) statt mit ihren persönlichen Anmeldedaten wie Passwörtern oder Social-Media-Konten anmelden. SSO ermöglicht einen einfacheren, sichereren Zugriff auf den Workspace.
So funktioniert die Einrichtung von SAML-SSO:
- Füge eine oder mehrere Domains hinzu und verifiziere sie.
- Konfiguriere deinen Identitätsanbieter.
- Aktiviere SAML-SSO in Epidemic Sound.
- Entscheide, ob du SSO für deine Mitglieder vorschreiben willst.
1. Schritt: Eine verifizierte Domain hinzufügen
Um SSO nutzen zu können, musst du mindestens eine Domain hinzugefügt und verifiziert haben. Du kannst aber auch mehrere hinzufügen. Nach der SSO-Konfiguration können sich alle Benutzer*innen, die 1.) Mitglieder deines Workspace sind und 2.) eine E-Mail-Adresse mit einer deiner verifizierten Domains verwenden, über deinen Identitätsanbieter anmelden.
Benutzer*innen, die keine deiner verifizierten Domains oder persönliche E-Mail-Adressen wie gmail.com verwenden, können sich nicht mit SSO anmelden. Du kannst beliebig viele Domains mit SSO verwenden, wir unterstützen aber nur einen Identitätsanbieter. Eine Domain kann nur für einen Workspace registriert werden. Wenn du Hilfe brauchst, wende dich bitte an unseren Kundensupport oder an deinen Customer Success Manager.
Gehe auf epidemicsound.com zu dem Menü oben rechts, wähle "Organisation" aus und öffne dann die Registerkarte "Identität und Bereitstellung". Füge deine erste Domain mit der Schaltfläche "Domain hinzufügen" hinzu.
Nach dem Hinzufügen wirst du sofort aufgefordert, deine Domain zu verifizieren.
Für die Verifizierung brauchst du Zugriff auf deinen DNS-Anbieter. Wende dich an dein IT-Team, wenn du keinen Zugriff hast.
Nach Abschluss der Verifizierung wird deine neue Domain als "verifiziert" angezeigt.
2. Schritt: Identitätsanbieter konfigurieren
Klicke auf "SSO konfigurieren", um mit der SSO-Konfiguration zu beginnen. Beim ersten Schritt werden dir einige SAML-Eigenschaften angezeigt, die du zur Konfiguration deines Identitätsanbieters brauchst.
Wir haben Anleitungen für Okta und Microsoft Entra ID (ehemals Azure AD), du kannst aber auch jeden anderen mit SAML 2.0 kompatiblen Identitätsanbieter konfigurieren:
Befolge eine der obigen Anleitungen, um deinen Identitätsanbieter zu konfigurieren. Danach kannst du mit der Aktivierung von SAML-SSO für deinen Epidemic Sound-Workspace fortfahren.
3. Schritt: SAML-SSO in Epidemic Sound aktivieren
Zum Fertigstellen der Integration musst du deinen Identitätsanbieter mit deinem Epidemic Sound-Workspace verbinden. Klicke beim Schritt mit den SAML-Eigenschaften auf "Weiter" ("Identität und Bereitstellung" → "SSO konfigurieren"), um zum Konfigurationsschritt "SSO bearbeiten" zu gelangen. Hier hast du zwei Optionen:
- Eine Metadaten-URL eingeben (empfohlen): Mit der Metadaten-URL können wir die nötigen Informationen für dich abrufen. Das erleichtert auch die Verlängerung des öffentlichen Zertifikats in der Zukunft.
- Die Daten manuell eintragen: Sieh in der Dokumentation deines Identitätsanbieters nach, wo du die Anmeldungs-URL, Issuer-/Entity-ID und das öffentliche Zertifikat für deinen Identitätsanbieter findest.
Wenn du alle Angaben auf ihre Richtigkeit überprüft hast, kannst du mit der SSO-Aktivierung fortfahren. Bei der erstmaligen Aktivierung wird SSO als optionale Anmeldemethode eingerichtet. Die Mitglieder können sich weiter mit jeder beliebigen Methode anmelden.
Hier empfehlen wir dir dringend, die Anmeldung mit SSO erst in einem privaten oder Inkognito-Fenster zu testen, bevor du SAML-SSO vorschreibst, um das Risiko einer Sperre zu vermeiden. Du kannst diese Start-URL verwenden: https://www.epidemicsound.com/sso/saml/[Tenant ID]/. Die Tenant-ID findest du, wenn du auf "Konfiguration bearbeiten" klickst und zu den SAML-Eigenschaften zurückgehst.
In unserem System verwenden wir die E-Mail-Adressen der Benutzer*innen zu deren Identifizierung. Das heißt, die E-Mail-Adresse bei deinem Identitätsanbieter muss mit der in unserem System übereinstimmen, damit sich die betreffende Person anmelden kann.
4. Schritt: Entscheiden, ob SAML-SSO für deinen Workspace vorgeschrieben sein soll
Du kannst den Mitgliedern deines Workspace vorschreiben, dass sie sich mit SAML-SSO anmelden müssen. Um SSO für deinen Workspace vorzuschreiben, musst du die Option "SSO vorschreiben" auf der Registerkarte "Identität und Bereitstellung" aktivieren und im angezeigten Bestätigungsfenster "Vorschreiben" auswählen. Mitglieder, deren E-Mail-Adressen mit keiner deiner verifizierten Domains übereinstimmen, können sich trotzdem mit einer beliebigen Methode anmelden.
Bevor du SSO vorschreibst, musst du dich vergewissern, dass bei deinem Identitätsanbieter alle betroffenen Workspace-Mitglieder der Anwendung zugewiesen sind.
Bereitstellung
Derzeit kannst du Mitglieder nur per manueller Einladung zu deinem Workspace hinzufügen. Nach der SSO-Aktivierung können alle vorhandenen Workspace-Mitglieder mit einer verifizierten E-Mail-Domain SSO nutzen. Alle neuen Benutzer*innen müssen sich einmal ohne SSO anmelden, um ihre Einladung anzunehmen. Wenn sie hinzugefügt wurden, steht ihnen SSO aber auch zur Verfügung.
Häufige Probleme und Lösungen
Nach dem Wechsel zu SSO kann es in manchen Fällen vorkommen, dass sich deine Benutzer*innen nicht anmelden können.
"Benutzer ist Anwendung nicht zugewiesen" bei Anmeldung mit Identitätsanbieter
Diese Fehlermeldung kann je nach Identitätsanbieter etwas anders lauten, doch wenn Benutzer*innen gleich nach dem Anmelden bei deinem Identitätsanbieter einen Hinweis sehen wie "Benutzer ist der Anwendung nicht zugewiesen"/"error:user_not_assigned", bedeutet das, dass dein IT-Team der Person Zugriff gewähren muss.
Fehlermeldung "E-Mail-Adresse oder Passwort ungültig" nach Anmeldung mit Identitätsanbieter
Vergewissere dich, dass für "Name ID Format" emailAddress festgelegt ist. Da wir E-Mail-Adressen als Benutzernamen verwenden, müssen wir als Name-ID eine gültige E-Mail-Adresse von deinem Identitätsanbieter erhalten.
"Dein Konto ist nicht für die SSO-Nutzung konfiguriert" auf der Anmeldeseite von Epidemic Sound
Dies hat in der Regel eine der folgenden Ursachen:
- SSO ist für den Workspace nicht aktiviert.
- Der/die Benutzer*in verwendet eine E-Mail-Adresse mit einer Domain, die nicht als verifizierte Domain zum Workspace hinzugefügt wurde.
- Der/die Benutzer*in ist nicht Mitglied des Workspace. Wenn er oder sie eine Einladung erhalten hat, muss diese zuerst angenommen werden, indem die erste Anmeldung ohne SSO erfolgt.
"Benutzer*in nicht Mitglied des Workspace" nach Anmeldung mit Identitätsanbieter
Wenn Benutzer\*innen bei deinem Identitätsanbieter der Epidemic Sound-Anwendung zugewiesen wurden und versuchen, sich über deinen Identitätsanbieter mittels "IdP-initiierter" Anmeldung anzumelden, kann es sein, dass sie entweder bei Epidemic Sound nicht als Benutzer\*in existieren (nicht erstellt wurden) oder dem Workspace nicht per Einladung hinzugefügt wurden.
Wenn der/die Benutzer*in eigentlich existieren sollte, kann es auch daran liegen, dass die jeweilige E-Mail-Adresse bei deinem Identitätsanbieter geändert wurde und nicht mehr der bei uns hinterlegten E-Mail-Adresse entspricht. Die E-Mail-Adressen bei deinem Identitätsanbieter müssen immer mit denen in unserem System übereinstimmen. Siehe auch "Was mache ich, wenn sich die E-Mail-Adresse von Benutzer*innen ändert?" unten.
Was mache ich, wenn sich die E-Mail-Adresse von Benutzer*innen ändert?
Wende dich an unseren Kundensupport oder deinen Customer Success Manager.