In dieser Anleitung wird ausführlich erklärt, wie du SSO mithilfe von SAML 2.0 (Security Assertion Markup Language) und die Bereitstellung mithilfe von SCIM 2.0 (System for Cross-domain Identity Management) für Udemy for Business konfigurierst.
Wenn du SSO mit SAML schon in Azure AD für Udemy for Business konfiguriert hast und nur die SCIM-Bereitstellung aktivieren willst, dann rufe bitte dein bestehendes SSO für Udemy for Business in Azure AD auf und befolge die Anweisungen ab Abschnitt 2 weiter unten (nach der SSO-Einrichtung).
Hinweise:
- SSO und Bereitstellung sind für Udemy for Business-Kunden mit einem Enterprise-Abo verfügbar.
- Über Azure AD bereitgestellte Nutzer nehmen erst dann eine Lizenz in Anspruch, wenn sie sich zum ersten Mal bei der Udemy for Business-App anmelden.
- Änderungen an der SCIM-Aktivierung können nur von Azure AD zu Udemy for Business synchronisiert werden, in umgekehrter Richtung ist dies nicht möglich.
- An Nutzern und Gruppen, die mit SCIM in Azure AD verwaltet werden, können in der Udemy for Business-App keine Änderungen vorgenommen werden. Alle Nutzer- und Gruppendaten stammen immer von SCIM und können nur dort geändert werden.
- Du kannst aber weiterhin Gruppen manuell in Udemy for Business anlegen, wenn du Nutzer hast, die du nicht von Azure AD übertragen musst oder möchtest, z. B. befristete Mitarbeiter oder Aushilfen.
1. SSO (Single Sign-On) in Azure konfigurieren
Melde dich beim Azure-Portal an und klicke auf Azure Active Directory.
Wähle Enterprise applications (Unternehmensanwendungen).
Klicke nun oben in der Leiste auf + New application (+ Neue Anwendung).
Wähle Non-gallery application (Nicht-Kataloganwendung).
Gib einen Namen für die neue Anwendung ein und klicke unten im Fenster auf Add (Hinzufügen).
Wähle dann Set up single sign on (SSO einrichten).
Wähle als Single Sign-on Method (SSO-Methode) die Option SAML.
Führe die vier Schritte im Bildschirm „SSO with SAML“ (SSO mit SAML) aus. Azure AD bietet oben auf der Seite auch eine ausführliche Konfigurationsanleitung, die dir bei Bedarf weiterhilft.
In Schritt 1, „Basic SAML Configuration“ (Grundlegende SAML-Konfiguration):
- Gib in das Feld Identifier (Entity ID) (Kennung (Einheiten-ID)) die ID „PingConnect“ ein.
- Gib in das Feld Reply URL (Antwort-URL) Folgendes ein: https://sso.connect.pingidentity.com/sso/sp/ACS.saml2
- Gib in das Feld Sign on URL (Anmelde-URL) Folgendes ein: https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=PingConnect
In Schritt 2, „User Attributes and Claims“ (Nutzerattribute und Ansprüche):
Gib in das Feld „User Identifier“ (Nutzer-ID) die Angabe user.mail ein.
Udemy for Business unterstützt die folgenden SAML-Attribute (bei allen Attributen muss die Groß-/Kleinschreibung beachtet werden).
Erforderliche Attribute
- SCIM.email
die eindeutige E-Mail-Adresse des Nutzers
Optionale Attribute:
- SCIM.name.givenName
der Vorname des Nutzers - SCIM.name.middleName
der zweite Vorname des Nutzers (falls vorhanden) - SCIM.name.familyName
der Nachname (Familienname) des Nutzers - SCIM.name.formatted
der vollständig formatierte Name des Nutzers - groups
die Liste der Gruppen, zu denen der Nutzer gehört - externalID
eine vom Kunden angegebene eindeutige Nutzer-ID
Klicke zum Ändern eines Attributs auf die entsprechende Zeile.
Gib den Attributnamen ein (wie oben angegeben), wähle den entsprechenden Wert aus, entferne den Wert für Namespace (lasse ihn leer) und klicke dann auf OK.
Wenn du der SAML-Assertion weitere Attribute hinzufügen möchtest, klicke auf Add attribute (Attribut hinzufügen) und wiederhole den Vorgang.
Nachdem du alle Attribute hinzugefügt hast, klicke auf Save (Speichern), um die Konfiguration abzuschließen.
Für Schritt 3 kopierst du im Abschnitt „SAML Signing Certificate“ (SAML-Signaturzertifikat) die „App Federation Metadata“-URL oder du klickst für „Federation Metadata XML“ (Verbundmetadaten-XML) auf „Download“, um die Metadaten-Datei zu exportieren.
Rufe in deinem Udemy for Business-Konto den Tab „SSO (Single Sign-on)“ auf. Klicke auf „Einrichtung beginnen“ und wähle deinen Identitätsanbieter aus. Wähle auf der Konfigurationsseite die passende Metadaten-Konfigurationsmethode und befolge die Anleitung zum Erstellen der SSO-Verbindung mit deinem Identitätsanbieter und Udemy for Business.
Du kannst deinen Nutzern nun Zugriff auf Udemy for Business geben.
Klicke auf Azure Active Directory.
Wähle Enterprise applications (Unternehmensanwendungen).
Wähle deine neu erstellte Anwendung aus der Liste aus.
Klicke auf Users and groups (Nutzer und Gruppen).
Klicke auf Add User -> Users and Groups (Nutzer hinzufügen -> Nutzer und Gruppen).
Wähle alle Nutzer aus, die du der Anwendung hinzufügen möchtest, und klicke dann auf Select (Auswählen).
Die Konfiguration von SSO für Udemy for Business mit Azure AD ist nun abgeschlossen.
2. SCIM-Bereitstellung mit Azure AD konfigurieren
Nachdem SSO (Single Sign-on) eingerichtet ist, kannst du die SCIM-Bereitstellung in Azure AD mit Udemy for Business konfigurieren. Dies ermöglicht es dir, Gruppen bereitzustellen bzw. ihre Bereitstellung aufzuheben, Gruppen zu erstellen, Gruppenmitgliedschaften zu verwalten und Nutzerprofildetails (z. B. den Namen und die E-Mail-Adresse) zu ändern. All dies wird dann automatisch in Udemy for Business aktualisiert. Du brauchst diese Vorgänge dann nicht mehr einzeln in Azure und Udemy for Business durchzuführen, da alles von Azure synchronisiert wird.
Zur Aktivierung der SCIM-Bereitstellung für Udemy for Business musst du zunächst in deinem Udemy for Business-Konto „Verwalten > Einstellungen > Bereitstellung (SCIM)“ aufrufen.
Klicke auf „Einrichtung beginnen“, wähle deinen Identitätsanbieter aus und befolge die Anleitung zum Erzeugen des geheimen Token (Bearer-Token), den du anschließend in Azure AD eingeben musst.
Rufe nun dein Azure AD-Konto auf, navigiere dort zu deiner Udemy for Business SSO-App und führe die folgenden Schritte zur Einrichtung durch. Microsoft bietet auch eine Konfigurationsanleitung zur SCIM-Bereitstellung mit Azure AD, in der du weitere Einzelheiten findest.
Wähle im Azure-Portal den Tab Provisioning (Bereitstellung) aus.
(Hinweis: „udemyazure“ ist ein Testname, den wir in den folgenden Screenshots verwendet haben, um die SCIM-Konfiguration zu veranschaulichen. Du musst die App suchen, die von deinem Team bei der SSO-Konfiguration benannt wurde.)
Wähle als „Provisioning Mode“ (Bereitstellungsmodus) Automatic (Automatisch) aus.
Im Abschnitt Admin Credentials (Administratoranmeldeinformationen):
Die Tenant URL (Mandanten-URL) lautet: https://deinedomain.udemy.com/scim/v2 („deinedomain“ steht hier für die URL deines Udemy for Business-Kontos)
Secret Token (Geheimer Token): Dies ist ein sogenannter Bearer-Token, den du in deinem Udemy for Business-Konto erzeugen oder einsehen kannst. (Den geheimen Token kannst du unter „Verwalten > Einstellungen > Nutzerzugriff“ abrufen.)
Klicke auf Test Connection (Verbindung testen), um zu prüfen, ob es funktioniert.
Optional: Du kannst eine E-Mail-Adresse eingeben, wenn du dich von Azure per E-Mail über Fehler benachrichtigen lassen möchtest.
In Mappings (Zuordnungen):
Überprüfe die Attributzuordnung. Die E-Mail-Adresse des Nutzers muss emails[type eq "work"].value zugeordnet sein.
In Settings (Einstellungen):
Stelle den Button für „Provisioning Status“ (Bereitstellungsstatus) auf On (Ein).
Wähle unter Scope (Umfang) aus, wie die Nutzer und Gruppen synchronisiert werden sollen.
Wähle Sync only assigned users and groups (Nur zugewiesene Nutzer und Gruppen synchronisieren), wenn du den Zugriff auf bestimmte Mitarbeiter oder Abteilungen beschränken willst. Wenn alle Mitarbeiter Zugriff haben sollen, wählst du Sync all users and groups (Alle Nutzer und Gruppen synchronisieren).
So kannst du weiteren Nutzern und Gruppen Zugriff auf Udemy for Business bereitstellen:
Klicke auf Users and groups (Nutzer und Gruppen).
Klicke auf Add User (Nutzer hinzufügen). (Du kannst dann sowohl Nutzer als Gruppen hinzufügen.)
Wähle alle Nutzer oder Gruppen aus, die du der Anwendung hinzufügen möchtest, und klicke dann auf Select (Auswählen).
Problembehebung
In Bezug auf Zuordnungen:
Falls bei der Bereitstellung dieser Fehler auftritt:
{"schemas":["urn:ietf:params:scim:api:messages:2.0:Error"],"status":400,"detail":"{'emails': ['This field is required.']}"}
In diesem Fall musst du die Zuordnung des Nutzers ändern.
emails[type eq "work"].value muss zu userPrincipalName zugeordnet werden, sofern sich die E-Mail-Adresse in userPrincipalName befindet.
Du kannst im Nutzerprofil nachsehen, in welchem Feld sich die E-Mail-Adresse befindet.
