Häufig gestellte Fragen
      Zurück zur Startseite
      1. shyftplan Hilfebereich
      2. Häufig gestellte Fragen

      Wie nutze ich SSO (Single-Sign-On) mit shyftplan?

      Welche Einstellungen sind nötig, damit Mitarbeiter sich auch (oder ausschließlich) per SSO bei shyftplan anmelden können?

      Nach einer einmaligen Einrichtung in Ihrem Firmenprofil können Sie Ihren Mitarbeitern, Managern und Super-Admins das komfortable Log-In über SSO anbieten. Wir zeigen hier, wie es geht.

      shyftplan unterstützt für SSO das SAML 2.0-Protokoll.

      • Wechseln Sie in Ihr Firmenprofil

      • Wählen Sie den Reiter "Sicherheit und SSO"
      • Betätigen Sie den Schalter "Single-Sign-On aktiviert"

      • Klicken Sie auf das Plus-Symbol

      • Füllen Sie alle rot markierten Felder aus und klicken Sie auf "Speichern"

      • Die Felder "Assertion consumer service binding" und "SLO target url" müssen nicht ausgefüllt werden
      • Erforderlich sind immer die Felder "SSO target url" und "IDP certificate fingerprint"
      • Bei den anderen Feldern hängt das Erfordernis von Ihrem SSO-Anbieter ab
        • Bei ihm können Sie alle nötigen Werte erfragen/nachschlagen
        • Oft, aber nicht immer, muss z.B. das Feld "Issuer" ausgefüllt werden

      Beispiel:

       

      Anschließend können Sie bei jedem Mitarbeiter (bzw. Manager/Super-Admin) im Profil einstellen, ob er sich künftig nur noch per SSO einloggen darf. Dies ist ebenfalls über die API, z.B. mein Anlegen eines neuen employments in shyftplanner möglich: https://developer.shyftplan.com/reference/postapiv2employments

      Aus Sicherheitsgründen kann die Einstellung, dass MitarbeiterInnen sich ausschließlich mit SSO anmelden können (und nicht zusätzlich durch Eingabe von E-Mail und Passwort), nach einmaliger Aktivierung nicht mehr rückgängig gemacht werden.

      Azure als Beispiel

      1. Erzeugen Sie im Azure-Portal eine neue App: “Shyftplan Prod” oder “Shyftplan POC”
      2. Wählen Sie die App dann durch einen Klick aus und aktivieren Sie dann unter "Manage" das single sign-on
      3. Auf der Seite "Select a single sign-on method" wählen Sie SAML
      4. Klicken Sie auf den Edit-Knopf bei der "Basic SAML Configuration"
      5. Ergänzen Sie diese Details:
      6. Setzen des NameID parameters:
        Die NameID muss der in shyftplanner genutzten E-Mail-Adresse entsprechen. Dafür kann es nötig sein, statt der uid des Nutzers die E-Mail des Nutzers zu übergeben (user.mail). 
      7. Unter "SAML Signing Certificate" klicken Sie auf Download bei Certificate (Base64), sodass Sie das Zertifikat auf Ihrem Computer zwischenspeichern können:

      8. Kopieren Sie den Inhalt des Zertifikates und fügen Sie ihn in z.B. diesem Online-Tool ein, um einen SHA256-Fingerprint zu erzeugen

      9. Den Fingerprint müssen Sie in den Firmeneinstellungen bei shyftplanner in Ihren SSO-Einstellungen eintragen (IDP certificate fingerprint)
      10. Kopieren Sie die Azure-Login-URL …

        ... und fügen Sie sie als SSO Target URL ein:

        Außerdem sehen Sie im obigen Screenshot bei "Azure AD Identifier" auch die URL, die Sie im Feld "Issuer" eintragen sollten:

      11. Fügen Sie außerdem diesen IDP fingerprint-Algorithmus hinzu: http://www.w3.org/2000/09/xmldsig#sha256

      12. Klicken Sie zum Schluss auf "Speichern"

      13. Folgende Felder können leer bleiben:

      • Assertion consumer service binding

      • Name ID format

      • Issuer

      • Authentication context

      • SLO target URL

      Want assertions signed kann deaktiviert bleiben
      IdP-Zertifikat

      Statt des ganzen Zertifikates geben Sie bei shyftplanner nur dessen sha256-Fingerprint ein. Verwenden Sie zum Beispiel diesen Service, um den Fingerprint aus dem Zertifikat zu berechnen (wählen Sie sha256 als Algorithmus).