Haftungsausschluss: Dieser Artikel beschreibt, wie die neue SAML-Schnittstelle verwendet wird, die allen Kunden im Laufe des Jahres 2026 öffentlich zur Verfügung gestellt wird.
→ Wenn Sie Unterschiede zwischen diesem Artikel und Ihrer Plattform feststellen, lesen Sie bitte den Artikel zur Legacy SAML-Konfiguration.
Einführung
Die SAML-App auf Ihrer Plattform ermöglicht es Ihnen, Single Sign-On (SSO) mit verschiedenen Identitätsanbietern zu konfigurieren. So können sich Benutzer mit den Anmeldeinformationen aus aktiven Sitzungen anderer Webplattformen in ihre Lernplattform einloggen.
Bitte beachten Sie, dass die Plattform zwei Optionen für die SAML-Konfiguration bietet: Smart und Standard. Für einen Überblick über die Unterschiede lesen Sie den Artikel Einführung in Docebo für SAML.
Dieser Artikel enthält allgemeine Anweisungen für die Smart- und die Standard-Konfiguration.
SAML-Konfiguration mit bestimmten Identitätsanbietern
Wenn Sie SAML in Verbindung mit Okta, Microsoft Entra ID (Azure AD), OneLogin oder Google konfigurieren, lesen Sie bitte auch die folgenden Artikel mit spezifischen Anweisungen:
- Okta-Konfiguration
- Microsoft Entra ID (Azure AD) Konfiguration
- OneLogin-Konfigurationsbeispiel
- Google-Konfiguration (öffnet sich in einem neuen Tab)
Beachten Sie auch, dass bei der SAML-Konfiguration die Assertion Encryption auf Unencrypted eingestellt werden muss, da diese Einstellung vollständig unterstützt wird.
Wichtiger Hinweis zur Migration von der Legacy-SAML-Konfiguration
Docebo hat den Einführung-Zeitplan für den neuen SAML-Dienst überarbeitet. Anstatt gestaffelte, verpflichtende Aktivierungen über Kundenkohorten hinweg durchzuführen, wird der neue SAML-Dienst am 22. Juli 2026 für alle Plattformen gleichzeitig verfügbar gemacht. Organisationen können den Dienst über Launch Pad, den neuen Administrationsbereich zur Entdeckung und Verwaltung von Produktaktualisierungen, in ihrem eigenen Tempo aktivieren.
Was sich ändert:
Früher plante Docebo, den neuen SAML-Dienst durch verpflichtende Aktivierungen gestaffelt über mehrere Monate einzuführen. Dieser Ansatz wurde überarbeitet, um Ihrer Organisation mehr Kontrolle über den Zeitpunkt der Umstellung zu geben. Ab dem 22. Juli 2026 steht der neue SAML-Dienst in Launch Pad zur Verfügung, und Sie entscheiden, wann Sie ihn aktivieren.
Anstatt eine automatische Aktivierung zu einem festgelegten Zeitpunkt zu erhalten, wählen Sie nun das Aktivierungsdatum, das am besten zu Ihrer Organisation und Teamvorbereitung passt.
Für Microsoft Entra ID-Nutzer:
Wenn Ihre Organisation Microsoft Entra ID (ehemals Azure Active Directory) verwendet und die neue Reply-URL bereits zu Ihrer Unternehmensanwendung hinzugefügt hat, bringt diese Zeitplanänderung keine zusätzliche Komplexität mit sich. Der Aktivierungsprozess bleibt unkompliziert. Anstatt im Mai 2026 eine erzwungene Aktivierung zu erhalten, finden Sie den neuen SAML ab dem 22. Juli 2026 in Launch Pad vor, und können ihn aktivieren, sobald Ihr Team bereit ist.
Erforderliche Maßnahme für Plattformen mit Microsoft Entra ID (Azure) Identitätsanbieter:
Bevor Ihre Plattform auf den neuen SAML migriert wird, müssen Sie Ihre Entra ID SAML-Konfiguration aktualisieren und folgende Reply URL hinzufügen: https://[Ihr Plattformname]/sso/v1/saml/consume
(vorhandene URLs nicht entfernen)
Erforderliche Aktualisierung der SAML-Service-Provider-Metadaten:
Für alle Identitätsanbieter beachten Sie bitte, dass mit der Migration zum neuen SAML die SAML-Service-Provider-Metadaten (Entitäts-ID, Anmelde-URL und Logout-URL) für Ihre Plattform geändert wurden:
- Wenn Ihre Plattform auf den neuen SAML migriert wird, funktionieren alle bestehenden SAML-Konfigurationen (mit den alten Werten) weiterhin, sofern Sie die Option Service Provider-Zertifikat nicht aktualisieren.
- Wenn Sie jedoch die Option Service Provider-Zertifikat aktualisieren, müssen Sie auch die SAML-Service-Provider-Metadaten bei Ihrem Identitätsanbieter (IdP) mit den neuen Werten von Entitäts-ID, Anmelde-URL und Logout-URL, die Sie aus der neuen SAML-Schnittstelle kopieren, aktualisieren.
Nach der Übergangsphase zur Migration auf den neuen SAML müssen Sie Ihren Identitätsanbieter mit den neuen Metadatenwerten, die von der Plattform kopiert wurden, aktualisieren, damit Ihre SAML-Integration weiterhin funktioniert.
Beachten Sie auch, dass der {{course_saml_link}}-Shortcode Ende 2025 veraltet ist, während der {{session_saml_link}} im Oktober 2026 eingestellt wird. Es wird empfohlen, diese durch den {{course_link}} -Shortcode zu ersetzen.
Voraussetzungen
Die SAML-App muss auf Ihrer Plattform aktiviert sein, wie im Artikel Verwalten von Apps und Funktionen beschrieben.
Wenn Sie SAML Single Sign-On für eine benutzerdefinierte Domain oder eine sekundäre Domain einrichten möchten, müssen Sie die Domain zuerst im Domain-Verwaltung konfigurieren.
Zugriff auf die SAML-Einstellungsseite in der Plattform
Öffnen Sie zunächst die SAML-Einstellungsseite.
→ Dies muss auf derselben Plattform (Hauptplattform oder Extended Enterprise Client) erfolgen, für die Sie Single Sign-On konfigurieren.
Für eine Hauptplattform:
- Melden Sie sich bei der Hauptplattform an, z. B.
https://academy70.docebosaas.com -
Wählen Sie Admin-Menü > SAML > Verwalten.
Für einen Extended Enterprise Client:
- Melden Sie sich beim Extended Enterprise Client an, z. B.
https://academy70.docebosaas.com/design2 - Wählen Sie Admin-Menü > SAML > Verwalten.
Wichtig: Die SAML 2.0-Einstellungsseite sieht in beiden Fällen (Hauptplattform oder Extended Enterprise Client) gleich aus. Allerdings:
- Die SAML-Einstellungen, die Sie im Extended Enterprise Client vornehmen, gelten nur für diesen Client.
- Die SAML-Einstellungen, die Sie in der Haupt- (Root-)Plattform vornehmen, gelten für die Hauptplattform und für alle Extended Enterprise Clients, die keine eigene SAML-Konfiguration haben.
Wenn die SAML-Einstellungsseite geöffnet ist und SAML bereits eingerichtet wurde, sehen Sie Ihre bestehende Konfiguration: siehe Kapitel SAML-Einstellungsfelder konfigurieren oder bearbeiten.
Wenn SAML noch nicht konfiguriert ist, sehen Sie einen leeren Bildschirm, auf dem Sie eine neue SAML-Konfiguration starten können.
Legacy-SAML-Schnittstelle für einen Extended Enterprise Client:
Sie können auch auf die SAML-Einstellungen für einen Extended Enterprise Client folgendermaßen zugreifen:
- Wählen Sie Admin-Menü > Extended Enterprise > Verwalten.
- Klicken Sie auf das Zahnrad-Symbol neben dem Client, für den Sie SSO konfigurieren möchten.
-
Wählen Sie in der vertikalen Navigation SAML 2.0-Einstellungen. Aktivieren Sie dann Benutzerdefinierte Einstellungen für diesen Client aktivieren.
Beachten Sie jedoch, dass Sie bei dieser Methode die Felder in der Legacy-Oberfläche konfigurieren müssen. Für weitere Informationen lesen Sie den Artikel Legacy-SAML-Konfiguration. Dieser Artikel behandelt stattdessen die neue SAML-Schnittstelle, die Sie durch Anmeldung bei der erforderlichen Plattform (Root oder Extended Enterprise) und Zugriff auf Admin-Menü > SAML > Verwalten erreichen.
Neue SAML-Konfiguration starten
Um eine neue SAML-Konfiguration zu starten
- Greifen Sie auf die SAML-Einstellungsseite zu und klicken Sie auf die Schaltfläche SAML 2.0 konfigurieren.
- Wählen Sie im rechten Bereich, der sich öffnet, ob Sie die Smart- oder die Standard-Konfiguration verwenden möchten. Die Konfiguration mit der Smart-Option ist etwas einfacher, aber wenn nötig, können Sie auch die Standard-Konfiguration wählen.
- Klicken Sie anschließend auf Bestätigen.
Die SAML-Einstellungen für den gewählten Konfigurationstyp werden angezeigt. Fahren Sie mit der Konfiguration fort, wie im Kapitel SAML-Einstellungsfelder konfigurieren oder bearbeiten beschrieben.
Bitte beachten Sie: Sie können eine bestehende Konfiguration nicht von Smart auf Standard oder umgekehrt ändern. Wenn Sie wechseln möchten, müssen Sie die aktuelle Konfiguration zurücksetzen und neu beginnen.
SAML-Einstellungsfelder konfigurieren oder bearbeiten
Wenn Sie die SAML-Einstellungsseite öffnen, sehen Sie eine linke Navigation, die in vier Bereiche unterteilt ist:
-
Verbindungseinstellungen: Hier richten Sie die Verbindung zwischen der Plattform und Ihrem Identitätsanbieter für Single Sign-On ein.
→ Einige dieser Einstellungen variieren je nachdem, ob Sie die Smart- oder Standard-Konfiguration gewählt haben. - Benutzer-Bereitstellung: (optional) Automatisches Erstellen eines neuen Benutzers in der Plattform, wenn die SSO-Authentifizierung gültig ist, der Benutzer jedoch noch nicht in der Plattform existiert.
- An- und Abmeldeoptionen: (optional) Passen Sie an, wie Benutzer sich mit SAML Single Sign-On in der Plattform anmelden und abmelden.
- Konfiguration zurücksetzen: Wählen Sie diese Option, wenn Sie die Konfiguration von Grund auf neu durchführen müssen.
Die folgende Tabelle fasst zusammen, welche Einstellungen für jeden Konfigurationstyp gelten, mit Links zu den entsprechenden Kapiteln.
Neu erstellte SAML-Konfigurationen sind standardmäßig im Inaktiven-Status. Wenn Sie die SAML-Konfiguration fertig eingerichtet und Änderungen speichern, denken Sie daran, sie auch mit der Schaltfläche unten auf dem Bildschirm auf Aktiv zu setzen.
Verbindungseinstellungen > Single-Sign-On-URL und Identity Provider-ID (nur Smart-Konfiguration)
Für die Smart-Konfiguration müssen Sie in diesem Bereich folgende Informationen eingeben, die zur Herstellung der Verbindung mit dem Identitätsanbieter benötigt werden.
→ Beide Werte erhalten Sie von Ihrem Identitätsanbieter
Single Sign-On URL: Der HTTP-SAML-Endpunkt Ihres Identitätsanbieters. Dies ist die tatsächliche Webadresse, an die die SAML-Anfragen zur Authentifizierung gesendet werden.
Identity Provider-ID: Dies ist eine eindeutige Kennung für den SAML-Dienst Ihres Kontos beim Identitätsanbieter. Zum Beispiel ist es bei OneLogin die Issuer URL, bei Microsoft Entra die Microsoft Entra Identifier.
Verbindungseinstellungen > X.509-Zertifikat (nur Smart-Konfiguration)
Hier müssen Sie das X.509-Zertifikat hochladen, das Sie vom Identitätsanbieter erhalten.
→ Ihr X.509-Zertifikat wird beim Hochladen validiert. Siehe Hinweise zur Zertifikatsvalidierung und Ablauf unten.
Bitte beachten Sie: Beim Herunterladen des X.509-Zertifikats vom Identitätsanbieter stellen Sie bitte ein, dass der SHA-Fingerabdruck mit dem Verschlüsselungsalgorithmus SHA-256 erfolgt, da dieser auf der Plattform verwendet wird. SHA-1 wird nicht mehr unterstützt.
Zertifikatsvalidierung und Ablauf
Die Plattform validiert die hochgeladenen Zertifikate automatisch und verfolgt zudem deren Ablaufdatum, um Sie rechtzeitig zu benachrichtigen. Dies gilt sowohl für das X.509-Zertifikat als auch für das Zertifikat des Dienstanbieters.
Validierung: Nach Abschluss des Uploads der X.509-Zertifikatdatei erscheint eine Meldung, die Sie darüber informiert, ob die hochgeladene Datei gültig ist oder nicht.
Sie können die Schaltfläche Details anzeigen drücken, um zu prüfen, wie die Plattform Ihre Zertifikatsdateien gelesen und validiert hat, einschließlich des Gültigkeitsstatus und der Ablaufdaten.
Ablauf:
Ihre Plattform verwendet automatisch die Ablaufdaten der hochgeladenen Zertifikate, um allen Plattform-Superadmins verpflichtende Benachrichtigungen über notwendige Updates Ihrer SAML-Konfiguration zu senden, wenn das Ablaufdatum näher rückt (30, 15, 5 und einen Tag vor Ablauf). Die Benachrichtigungen können nicht verändert oder deaktiviert werden. So können Sie Ihre SAML-Konfiguration vor Ablauf aktualisieren, damit Ihre Benutzer nicht daran gehindert werden, sich in die Plattform einzuloggen. Für Extended Enterprise-Plattformen werden Benachrichtigungen für SAML-Konfigurationen sowohl auf der Hauptplattform als auch auf allen Extended Enterprise Clients gesendet.
Verbindungseinstellungen > XML-Metadata (nur Standard-Konfiguration)
Für die Standard-Konfiguration müssen Sie in diesem Bereich den Inhalt der XML-Metadatendatei einfügen, die Sie von Ihrem Identitätsanbieter erhalten haben.
→ Die Metadatendatei enthält typischerweise die Entitäts-ID, SSO-URL, SLO-URL und Zertifikate des Identitätsanbieters.
Verbindungseinstellungen > Benutzername-Attribut
Hier legen Sie fest, welches Feld des Identitätsanbieters (Benutzername-Attribut) verwendet wird, um den Benutzer innerhalb der Lernplattform eindeutig zu identifizieren.
- Das ausgewählte Feld muss für alle Ihre Benutzer beim Identitätsanbieter ausgefüllt und für jeden Benutzer eindeutig sein.
- Das vom Identitätsanbieter ausgewählte Feld im Benutzername-Attribut wird standardmäßig* mit dem Benutzernamen-Feld in der Plattform abgeglichen.
*Nur für die Standard-Konfiguration können Sie das Benutzername-Attribut optional auf ein anderes Plattformfeld abbilden. Siehe das nächste Kapitel zu Eindeutiges Feld.
Verbindungseinstellungen > Eindeutiges Feld (nur Standard-Konfiguration)
Das "Eindeutiges Feld" erlaubt Ihnen festzulegen, welches Benutzerfeld in der Plattform (Benutzername, UUID, E-Mail) dem Identitätsanbieter-Feld zugeordnet wird, das im Benutzername-Attribut festgelegt ist.
- Wenn die beiden Felder übereinstimmen, gilt der Benutzer, der sich über SSO authentifiziert, als bereits in der Plattform vorhanden und wird in diesem Konto angemeldet.
- Andernfalls existiert der SSO-Benutzer noch nicht in der Plattform (kann aber automatisch erstellt werden, wenn Sie die Benutzerbereitstellung konfigurieren).
→ Hier wird empfohlen, das Benutzername-Feld zu wählen.
Hinweis: Die UUID ist eine schreibgeschützte eindeutige Benutzerkennung innerhalb der Plattform.
Wichtige Hinweise zu eindeutigen Feldern:
- Wenn das ausgewählte eindeutige Feld E-Mail ist, und mehrere Benutzerkonten in Ihrer Plattform dieselbe E-Mail-Adresse haben, wird beim Login eines dieser Benutzerkonten über SAML das zuletzt erstellte Benutzerkonto angemeldet.
- Sie können keine neuen Benutzer über SAML erstellen, wenn Sie das UUID-Attribut wählen, da die UUID erst existiert, wenn ein Benutzer in der Plattform erstellt wurde.
Verbindungseinstellungen > Metadaten des SAML-Dienstanbieters
Sie können hier die Entitäts-ID, Anmelde-URL und Logout-URL kopieren, um sie in der Konfiguration Ihres Identitätsanbieters einzutragen.
Hier können Sie auch die Metadatendatei herunterladen, falls Ihr Anbieter dies benötigt.
Wichtig: Wenn Sie eine von Legacy migrierte SAML-Konfiguration haben, müssen Sie Ihren Identitätsanbieter mit den hier kopierten neuen Metadatenwerten aktualisieren. So stellen Sie sicher, dass Ihre Integration nach der Übergangsphase oder nach der Aktualisierung des Service Provider-Zertifikats weiterhin funktioniert. Details finden Sie unter Wichtiger Hinweis zur Migration von Legacy-SAML-Konfiguration.
Verbindungseinstellungen > Zertifikat des Dienstanbieters
Dieses Zertifikat ermöglicht es der Plattform, SAML-Authentifizierungsanfragen und Assertions an den Identitätsanbieter zu signieren. Einige Identitätsanbieter/Föderationen verlangen, dass Dienstanbieter ein Zertifikat besitzen.
Die Erstellung dieses Zertifikats ist optional, aber erforderlich, wenn Sie das Abmeldeverhalten konfigurieren möchten.
Um ein Zertifikat zu erstellen:
Aktivieren Sie das Kontrollkästchen Service Provider-Zertifikat aktivieren. Wenn Sie die Konfiguration speichern, wird das Zertifikat erstellt und folgende Schaltflächen erscheinen:
- Zertifikat herunterladen
- Zertifikat kopieren
- Neues Zertifikat generieren
Wenn Sie auf Neues Zertifikat generieren klicken, wird das neue Zertifikat erzeugt, ohne dass Sie Änderungen speichern müssen, und die Schaltflächen Herunterladen und Kopieren bieten bereits das neue Zertifikat an.
Wenn Sie das Kontrollkästchen deaktivieren und die Änderungen speichern, wird das erstellte Zertifikat entfernt.
→ Sie müssen dann das Zertifikat herunterladen und beim Identitätsanbieter hochladen.
Wichtig: Wenn Sie eine von Legacy migrierte SAML-Konfiguration haben, müssen Sie beim Aktualisieren des Zertifikat des Dienstanbieters Ihren Identitätsanbieter ebenfalls mit den neuen Metadaten des SAML-Dienstanbieters aktualisieren, falls Sie dies noch nicht getan haben. Details finden Sie unter Wichtiger Hinweis zur Migration von Legacy-SAML-Konfiguration.
Ablaufbenachrichtigungen: Die Plattform sendet Benachrichtigungen, wenn das Zertifikat des Dienstanbieters bald abläuft. Weitere Informationen finden Sie im Kapitel Zertifikatsvalidierung und Ablauf.
Benutzer-Bereitstellung
Die Benutzer-Bereitstellung ermöglicht es Ihnen, automatisch einen neuen Benutzer in der Plattform zu erstellen, wenn die SSO-Authentifizierung gültig ist, der Benutzer aber noch nicht in der Plattform existiert. Außerdem können Sie die Details eines Benutzers in der Plattform automatisch basierend auf den entsprechenden Informationen im Identitätsanbieter aktualisieren.
→ Sie können dies im Tab Benutzer-Bereitstellung der SAML-Einstellungen konfigurieren.
Tipp: Standardmäßig gilt ein Benutzer als bereits in der Plattform vorhanden, wenn sein Benutzername mit dem Identitätsanbieter-Feld übereinstimmt, das Sie als Benutzername-Attribut festgelegt haben.
Nur in der Standard-SAML-Konfiguration können Sie bei Bedarf ein anderes Abgleichsfeld (UUID oder E-Mail statt Benutzername) im Eindeutiges Feld einstellen.
Aktivieren der Erstellung bereitgestellter Benutzer:
Aktivieren Sie die Option Bereitstellung von Benutzern aktivieren. Mit aktivierter Bereitstellung wird ein Benutzer, der sich per SSO anmeldet und noch nicht in der Plattform existiert, automatisch erstellt, standardmäßig mit Plattform-Benutzername = dem im Benutzername-Attribut (in Verbindungseinstellungen) festgelegten Feld des Anbieters.
→ Hinweis zur Standardkonfiguration: Wenn statt Benutzername ein anderes eindeutiges Abgleichsfeld eingestellt ist, beachten Sie bitte, dass die UUID-Option die Erstellung bereitgestellter Benutzer nicht erlaubt und die E-Mail-Option nur funktioniert, wenn alle Benutzer unterschiedliche E-Mails haben.
Hinweis zur Standard-Zuordnung: Für SSO auf der Root-Plattform werden neu erstellte Benutzer im Root-Zweig platziert. Für SSO auf einem Extended Enterprise Client werden neu erstellte Benutzer im dem Client zugeordneten Zweig platziert.
Weitere bereitgestellte Felder hinzufügen:
Zusätzlich zum Benutzernamen möchten Sie möglicherweise weitere Details eines bereitgestellten Benutzers mit Informationen aus dem Identitätsanbieter befüllen.
Dies konfigurieren Sie im Bereich Feldabgleich.
Klicken Sie hier auf die Schaltfläche Felder hinzufügen und wählen Sie im sich öffnenden Bereich Benutzerfelder hinzufügen das Plattform-Benutzerfeld oder zusätzliche Benutzerfelder aus, die Sie hinzufügen möchten.
- Sie können auch mehrere Felder gleichzeitig auswählen.
- Beachten Sie bei der Auswahl der Felder die Liste der unterstützten Benutzerfelder für SAML-Bereitstellung weiter unten.
Wenn Sie fertig sind, klicken Sie auf Hinzufügen.
→ Die hinzugefügten Plattformfelder erscheinen nun im Bereich Feldabgleich.
Geben Sie nun im Feld SAML-Attribut für jedes hinzugefügte Feld das entsprechende Attribut des Identitätsanbieters ein, das Sie für dieses Feld verwenden möchten.
Beachten Sie, dass jedes Plattformfeld und Identitätsanbieterfeld nur einmal verwendet werden kann. Sie können nicht mehrere Plattformfelder demselben Attribut zuordnen oder umgekehrt.
Unterstützte Benutzerfelder für SAML-Bereitstellung:
Benutzername, Vorname, Nachname, E-Mail, Zweigname, Zweigcode, Sprache und zusätzliche Felder.
| Feld in der Plattform | Hinweise |
| Benutzername | |
| Vorname Nachname |
Wenn Sie in der Plattform unter Erweiterte Einstellungen > Selbstregistrierung die Option Für die Registrierung sind Vorname und Nachname erforderlich aktiviert haben, stellen Sie sicher, dass Sie diese Felder im Bereich Felder hinzufügen einbeziehen, damit die bereitgestellten Benutzer erstellt werden können. |
| Zweigname | |
| Zweigcode | |
| Sprache | Im Sprachfeld Ihres Identitätsanbieters muss ein Sprachcode verwendet werden, den die Plattform zur Identifikation von Sprachen nutzt (en = Englisch, de = Deutsch usw.). Wenn der Code für dieses Feld bei einem Benutzer nicht mit einem der Sprachcodes der Plattform übereinstimmt, erhält der Benutzer bei der Aktivierung die Standard-Sprache der Plattform. |
| Zusätzliche Felder |
Wenn Sie das zusätzliche Benutzerfeld Land per SSO befüllen möchten, ist ein akzeptabler Wert entweder die Länder-ID oder der Ländername, wie sie im Artikel Liste der ISO 3166-1 Länder aufgeführt sind. Wenn Sie einige zusätzliche Benutzerfelder in der Plattform als Pflichtfelder definiert haben, stellen Sie sicher, dass diese hier zugeordnet sind, da der Benutzer sonst nicht korrekt erstellt werden kann. |
Bereitgestellte Benutzerfelder sperren:
Aktivieren Sie das Kontrollkästchen Bereitgestellte Benutzerfelder sperren, um zu verhindern, dass Benutzer in Mein Profil eines der bereitgestellten Benutzerfelder bearbeiten. Diese Felder werden ausgegraut und als deaktiviert markiert, sodass der Benutzer den vom Identitätsanbieter erhaltenen Wert nicht ändern kann.
→ Für wichtige Einschränkungen und Probleme, die bei gesperrten Feldern auftreten können, lesen Sie bitte den Artikel Allgemeine Hinweise zur Single-Sign-On-Konfiguration > Bereitgestellte Benutzerfelder sperren.
Bereitgestellte Felder aktualisieren:
Aktivieren Sie das Kontrollkästchen Wenn der Benutzer bereits vorhanden ist, aktualisieren Sie die Benutzerinformationen, um die Werte aller bereitgestellten Felder automatisch in der Plattform zu aktualisieren, wenn sie im Identitätsanbieter geändert wurden. Wenn Sie diese Option nicht aktivieren, müssen Sie Änderungen manuell übertragen, um die bereitgestellten Felder synchron zu halten.
An- und Abmeldeoptionen
In diesem Abschnitt können Sie anpassen, wie Benutzer sich mit SAML Single Sign-On in der Plattform anmelden und abmelden.
SSO-Anmeldemethode
Hier können Sie konfigurieren, wie sich Benutzer mit SSO in der Plattform anmelden. Sie können entweder:
- Das Standard-Anmeldefenster anzeigen und Benutzer klicken dort auf eine Schaltfläche, um zum SSO-Anbieter weitergeleitet zu werden
- Benutzer automatisch zum Anbieter weiterleiten, ohne das Anmeldefenster anzuzeigen
Weitere Informationen finden Sie im Artikel Allgemeine Hinweise zur Single-Sign-On-Konfiguration > Single-Sign-On-Verhalten.
Abmeldung vom Identitätsanbieter
Wählen Sie diese Option, wenn Benutzer automatisch beim Identitätsanbieter abgemeldet werden sollen, wenn sie sich von der Plattform abmelden.
→ Um dies konfigurieren zu können, müssen Sie zuvor das Zertifikat des Dienstanbieters aktiviert und generiert haben.
Wenn diese Option aktiviert ist, erscheint das Textfeld Logout URL. Hier müssen Sie die URL angeben, auf die Benutzer nach der Abmeldung von der Plattform und vom Identitätsanbieter weitergeleitet werden. Dank dieser Konfiguration können Benutzer auf eine andere URL als die für SSO verwendete URL geleitet werden.
SAML-Konfiguration zurücksetzen oder deaktivieren
Wenn Sie Single Sign-On mit SAML von einer Plattform entfernen möchten, können Sie entweder:
- SAML deaktivieren: um es vorübergehend zu deaktivieren, ohne Ihre Einstellungen zu verlieren
- SAML zurücksetzen: um die bestehende SAML-Konfiguration vollständig zu löschen
SAML deaktivieren:
Um die aktuelle SAML-Konfiguration zu deaktivieren, klicken Sie auf die Schaltfläche Aktiv unten auf dem Bildschirm und wählen Sie die Option Inaktiv.
→ Single Sign-On mit SAML wird auf der Plattform vorübergehend deaktiviert, bis Sie die SAML-Konfiguration erneut aktivieren.
SAML zurücksetzen:
Diese Option entfernt alle aktuellen SAML-Einstellungen und setzt SAML auf den nicht konfigurierten Zustand zurück.
Klicken Sie dazu auf die Schaltfläche SAML zurücksetzen und aktivieren Sie im sich öffnenden Fenster das Kontrollkästchen zur Bestätigung. Klicken Sie anschließend erneut auf SAML zurücksetzen.
→ Single Sign-On mit SAML ist dann nicht mehr auf der Plattform verfügbar. Um es wiederherzustellen, müssen Sie die Konfiguration von Grund auf neu durchführen.
Tipp: SAML und Extended Enterprise Clients
Beachten Sie, dass für Extended Enterprise Clients folgende Regeln gelten:
- Hat ein Extended Enterprise Client eine eigene aktive SAML-Konfiguration, gilt diese für diesen Client (unabhängig von den SAML-Einstellungen auf der Hauptplattform).
- Ist SAML auf einem Extended Enterprise Client nicht konfiguriert (oder konfiguriert, aber inaktiv), erbt der Client die SAML-Konfiguration der Hauptplattform.
Das bedeutet in der Praxis:
- Wenn Sie SAML auf der Hauptplattform deaktivieren oder zurücksetzen: Wird Single Sign-On mit SAML auch bei Extended Enterprise Clients entfernt, die keine eigene SAML-Konfiguration haben.
- Wenn Sie SAML auf einem Extended Enterprise Client deaktivieren oder zurücksetzen: Der Client verwendet dann die SAML-Konfiguration der Hauptplattform (sofern vorhanden). Ist SAML auf der Hauptplattform nicht konfiguriert/aktiv, steht dem Client kein Single Sign-On mit SAML mehr zur Verfügung.
Vergleich der Benutzerfelder bei SAML und Automation-App
Je nach Feld können Sie diese per CSV, SAML oder über die Automation App importieren.
Dies ist ein Vergleich der Felder, die Sie über Automation oder SAML SSO importieren können:
| Docebo-Benutzerdatenfeld | Automation App | SAML SSO |
|---|---|---|
| Benutzername | Ja | Ja |
| Vorname | Ja | Ja |
| Nachname | Ja | Ja |
| Ja | Ja | |
| Ebene | Ja | |
| Profilname | Ja | |
| Zweigname | Ja | Ja |
| Zweigcode | Ja | Ja |
| Zweigname-Pfad | Ja | |
| Zweigcode-Pfad | Ja | |
| Kennwort | Ja | |
| Hash-codiertes Kennwort | Ja | |
| Aktiv | Ja | |
| Kennwortänderung erzwingen | Ja | |
| Ablaufdatum | Ja | |
| Sprache | Ja | Ja |
| Datumsformat | Ja | |
| Zeitzone | Ja | |
| Neuer Benutzername | Ja | |
| Benutzer-ID | ||
| Ist Manager | Ja | |
| UUID | ||
| Direkter Manager | Ja (Hinweis: Zum Befüllen heißt das Feld Ist Manager) |
|
| Andere Managertypen | ||
| Zusätzliche Felder | Ja | Ja |
Bitte beachten Sie: Zweig-Erstellung in SAML wird über den CSV-Import nicht unterstützt. Alle Benutzer werden in Single-Domain-Konfigurationen automatisch im Root-Zweig platziert oder, wenn die Extended Enterprise App aktiv ist, im Zweig, der der entsprechenden Subdomain zugeordnet ist.
Wenn Sie Ihre Bereitstellungsstrategie festlegen, überlegen Sie, ob Sie Ihre Benutzer überwachen oder vor dem Live-Gang Benachrichtigungen senden möchten. Falls ja, müssen Sie diese Benutzer vorab laden.
Bewährte Verfahren
Automatisches Befüllen von Gruppen
Um diese Integration optimal zu nutzen, können Sie automatische Gruppen einrichten und dann die Enrollment Rules App von Docebo verwenden, um diese Gruppen automatisch in Kurse oder Lernpläne einzuschreiben. So müssen Sie bei der Erstellung eines neuen Benutzers diesen nicht manuell Gruppen, Kursen oder Lernplänen zuweisen.
Bitte beachten Sie, dass Sie, um neu hinzugefügte SAML-Felder und neue zusätzliche Plattformfelder korrekt zuzuordnen und zum automatischen Befüllen von Gruppen zu verwenden, sich immer sowohl aus der Lernplattform als auch vom Identitätsanbieter abmelden müssen. Stellen Sie daher sicher, dass Sie die Option im Bereich Verhalten bei Abmelden aktiviert haben. Ohne diese Option wird der Benutzerbereitstellungsprozess nicht stattfinden.
Domain-Konfiguration nach Einrichtung von SAML SSO
Wenn eine benutzerdefinierte Domain oder eine sekundäre Domain nach der Einrichtung von SAML SSO konfiguriert werden muss, gehen Sie wie folgt vor:
- Richten Sie zunächst die benutzerdefinierte Domain oder sekundäre Domain vollständig in Ihrer Plattform ein, wie in den entsprechenden Artikeln beschrieben: Domain-Management: Benutzerdefinierte Domains konfigurieren oder Domain-Management: sekundäre Domain konfigurieren.
- Greifen Sie anschließend auf die SAML-Einstellungsseite zu und kopieren Sie im Bereich SAML-Service-Provider-Metadaten die neuen Informationen (wie Entitäts-ID, Anmelde-URL und Logout-URL) und verwenden Sie diese, um die Konfiguration beim Identitätsanbieter zu aktualisieren. So wird der Identitätsanbieter mit der neu konfigurierten Domain verbunden und nicht mehr mit der vorherigen Plattform-URL.
AWS-Zertifizierung
Docebo ist im AWS SSO-Katalog verfügbar.
Weitere Hinweise
Bitte beachten Sie: Um fehlerhafte SAML-Konfigurationen zu verhindern, hat Docebo ab April 2018 einen Blocker implementiert. Wenn die Verbindung ständig zwischen Plattform und Identitätsanbieter hin- und herspringt, zeigt Docebo eine Fehlerseite an. Zudem wird der Browser, der die Schleife gestartet hat, für eine Stunde gesperrt.