Leitfaden zur Enterprise-SSO-Integration
Integration von tracio.ai mit SAML, OIDC und benutzerdefinierten Identity-Providern. Schritt für Schritt für Okta, Auth0 und Azure AD mit Codebeispielen.
Enterprise-Kunden benötigen eine Single-Sign-On-Integration (SSO) für ihr tracio.ai-Dashboard. Dieser Leitfaden behandelt, wie Sie tracio.ai mithilfe von SAML 2.0 oder OpenID Connect (OIDC) mit Ihrem Identity-Provider verbinden, mit konkreten Anleitungen für die drei häufigsten Provider: Okta, Auth0 und Azure AD.
Unterstützte Protokolle
tracio.ai unterstützt zwei SSO-Protokolle: SAML 2.0 und OpenID Connect. SAML ist der traditionelle Enterprise-Standard, der von älteren Identity-Providern breit unterstützt wird. OIDC ist der moderne Standard auf Basis von OAuth 2.0, mit einfacherer Implementierung und besserer Mobilunterstützung. Wir empfehlen OIDC für neue Integrationen und SAML für Organisationen, die sich darauf standardisiert haben.
Beide Protokolle folgen demselben Ablauf: Der Nutzer versucht, auf das tracio.ai-Dashboard zuzugreifen, wird zur Authentifizierung an Ihren Identity-Provider weitergeleitet und mit einer signierten Assertion oder einem Token zu tracio.ai zurückgeleitet. tracio.ai validiert die Assertion, erstellt oder aktualisiert die Nutzer-Session und gewährt den Zugriff basierend auf der zugeordneten Rolle.
Okta-Integration
Erstellen Sie für Okta eine neue Application Integration in Ihrer Okta-Admin-Konsole. Wählen Sie OIDC als Sign-in-Methode und Web Application als Anwendungstyp. Setzen Sie die Sign-in-Redirect-URI auf https://dashboard.tracio.ai/auth/callback/oidc. Setzen Sie die Sign-out-Redirect-URI auf https://dashboard.tracio.ai/auth/logout.
Geben Sie im tracio.ai-Dashboard unter Settings > Authentication Ihre Okta-Domain, Client-ID und Client-Secret ein. tracio.ai ermittelt die OIDC-Endpunkte automatisch aus Ihrer Okta-Metadaten-URL. Konfigurieren Sie das Gruppen-zu-Rollen-Mapping, um tracio.ai-Rollen (Admin, Analyst, Viewer) basierend auf der Okta-Gruppenzugehörigkeit zuzuweisen.
Auth0-Integration
Erstellen Sie eine neue Regular Web Application in Ihrem Auth0-Dashboard. Fügen Sie https://dashboard.tracio.ai/auth/callback/oidc zu den Allowed Callback URLs hinzu. Fügen Sie https://dashboard.tracio.ai zu den Allowed Logout URLs hinzu. Aktivieren Sie die entsprechenden Connections (Database, Social, Enterprise) im Tab Connections der Anwendung.
Geben Sie in tracio.ai Ihre Auth0-Domain, Client-ID und Client-Secret ein. Der OIDC-Discovery-Endpunkt von Auth0 unter https://your-domain.auth0.com/.well-known/openid-configuration stellt alle notwendigen Metadaten bereit. Verwenden Sie Auth0 Rules oder Actions, um benutzerdefinierte Claims für das Rollen-Mapping in das ID-Token aufzunehmen.
Azure-AD-Integration
Navigieren Sie im Azure-Portal zu Azure Active Directory > App registrations > New registration. Setzen Sie die Redirect-URI auf https://dashboard.tracio.ai/auth/callback/oidc. Erstellen Sie unter Certificates & secrets ein neues Client-Secret. Stellen Sie unter API permissions sicher, dass die Berechtigungen openid, profile und email gewährt sind.
Geben Sie in tracio.ai Ihre Azure-AD-Tenant-ID, Client-ID und Client-Secret ein. Die OIDC-Metadaten-URL folgt dem Muster https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration. Ordnen Sie Azure-AD-Gruppen oder App-Rollen unter der Rollen-Mapping-Konfiguration den tracio.ai-Rollen zu.
Rollen-Mapping und Provisionierung
tracio.ai unterstützt drei Rollen: Admin (Vollzugriff einschließlich API-Key-Verwaltung und Abrechnung), Analyst (Lese-/Schreibzugriff auf Ereignisse, Signale und Regeln) und Viewer (schreibgeschützter Dashboard-Zugriff). Die Rollen werden aus den Gruppen oder Claims Ihres Identity-Providers zugeordnet.
Wir unterstützen außerdem SCIM 2.0 für die automatisierte Provisionierung und Deprovisionierung von Nutzern. Wenn ein Mitarbeiter der entsprechenden Gruppe in Ihrem Identity-Provider hinzugefügt wird, wird er in tracio.ai automatisch mit der korrekten Rolle provisioniert. Wird er entfernt, wird sein Zugriff innerhalb von Minuten entzogen. SCIM stellt sicher, dass das Lifecycle-Management der Nutzer zentral in Ihrem Identity-Provider verbleibt.