Konfigurieren der Anmeldeauthentifizierung

Updated: May 25, 2026

Die Seite Company Dashboard Authentication ermöglicht es Administratoren von Unternehmenskonten, die Funktionen für Single Sign-On (SSO) für Ihr Unternehmenskonto zu konfigurieren und zu aktivieren, und unterstützt außerdem die SCIM-Bereitstellung von Benutzern und Gruppen (System for Cross-domain Identity Management), wodurch der Austausch von Identitätsdaten zwischen Ihrem Unternehmen und seinem Identity Provider (IdP) automatisiert wird.

Dieses Backend-Konfigurationssystem ermöglicht Administratoren von Unternehmenskonten, die SSO-Funktion für Unternehmensbenutzer einzurichten, zu testen, zu aktivieren und zu deaktivieren. Die SSO-Option ist bei der Anmeldung in Altium Designer, Ihrem Altium account und einem Altium Workspace verfügbar. Wenn SSO für Benutzer des Unternehmenskontos eingerichtet ist, bietet es den Komfort, sich mit denselben Anmeldedaten bei Altium-Software und -Services anzumelden, die auch für Ihre unternehmensweiten Systeme gelten.

SAML Single Sign-On

Wenn das System im Dashboard konfiguriert und aktiviert ist, stellt das SSO-System autorisierte Identitäten von dem von Ihrem Unternehmen benannten Identity Provider (IdP), zum Beispiel Okta, OneLogin usw., her, wobei die Kommunikation der ID-Bestätigung auf der standardisierten Security Assertion Markup Language (SAML 2.0) basiert. Die SSO-Anmeldeoberfläche für Ihr Unternehmen basiert, falls sie noch nicht vorhanden ist, in der Regel auf einer Vorlage oder einem Beispiel des IdP – dadurch werden die SAML-basierten Authentifizierungs-Bestätigungsaustausche initiiert und der Zugriff auf Unternehmensservices bereitgestellt.

Im Standardzustand zeigt die Seite Dashboard Authentication die vorkonfigurierten URLs für den AltiumLive-SSO-Service (1. Altium metadata configuration) sowie die Option zum Hochladen oder manuellen Eingeben der Autorisierungs-Verbindungsdaten Ihres IdP (2. SAML Identity Provider Configuration).

Beachten Sie, dass der Eintrag Altium metadata configuration die bereitgestellten Identitätsinformationen für den Altium-SSO-Service Ihrer Organisation enthält:

Entity ID – wird als Ziel-URL für die IdP-Antwort verwendet. Diese kann ein GUID-Suffix enthalten, das eine bestimmte Organisation (z. B. eine Region/Abteilung) innerhalb des Altium-Kontos Ihres Unternehmens identifiziert – siehe unten Multiple Organizations with one SSO Provider.
Single Sign On URL – wird vom IdP verwendet, um die zutreffende Altium-SSO-URL zu identifizieren. Wenn Sie SAML-SSO für einen Altium GovCloud-Anmeldeservice konfigurieren, wählen Sie die zugehörige SSO-Bestätigungs-URL aus dem Dropdown-Menü des Eintrags aus.

Diese URLs werden () in die Oberfläche des Identity Providers kopiert, um die Generierung von SAML-Metadaten für den SSO-Service Ihres Unternehmens zu ermöglichen. Dieser Konfigurationscode (normalerweise als XML-Daten verfügbar) wird dann in den Eintrag SAML Identity Provider configuration hochgeladen oder hineinkopiert. Weitere Informationen finden Sie unten.

Beispiele für die Integration von Identity Providern

Erweitern Sie den einklappbaren Abschnitt unten für ein Schritt-für-Schritt-Beispiel des Integrationsprozesses für einen typischen Identity Provider (OneLogin):

OneLogin Identity Provider integration example guide

Integration mit OneLogin als Identity Provider

Hinzufügen einer SAML-Anwendung:

Melden Sie sich als Administrator bei OneLogin an.
Wählen Sie Applications und dann Add Apps.
Suchen Sie nach „SAML“ und wählen Sie die IdP-Anwendungsoption SAML Test Connector (Advanced) aus.
Geben Sie einen Anwendungsnamen an (Display Name). Dieser dient nur der Anzeige.
Klicken Sie auf die Schaltfläche Save.
Kopieren Sie () die Einträge Entity ID und Single Sign On URL (Assertion Consumer Service) aus dem Abschnitt Altium Sign-On Settings der Seite Authentication Company Dashboard. In der OneLogin-Anwendungseinrichtung:
- Fügen Sie Entity ID (Service-Provider-Name) als Audience (EntityID) URL ein.
- Fügen Sie Single Sign On URL (Assertion Consumer Service) als ACS (Consumer) URL Validator ein.
- Fügen Sie außerdem Single Sign On URL (Assertion Consumer Service) als ACS (Consumer) URL ein.
- Die Felder RelayState, Recipient, Single Logout URL und Login URL können leer bleiben.
Stellen Sie sicher, dass die Option SAML nameID format auf Email gesetzt ist und SAML signature element auf Both gesetzt ist. Klicken Sie auf die Schaltfläche Save, um die Einstellungen zu bestätigen.
Klicken Sie auf die Schaltfläche More Actions und dann auf die Menüoption SAML Metadata, um die SAML-Metadaten des Identity Providers als XML-Datei herunterzuladen.
- Diese Metadatendatei wird auf der Seite Authentication des Company Dashboard hochgeladen, um den OneLogin-SSO-Service zu konfigurieren – siehe unten.
- Falls Sie den OneLogin-SSO-Service lieber manuell im Company Dashboard einrichten möchten, finden Sie die erforderlichen Parameter, indem Sie in der OneLogin-Anwendungsoberfläche die Menüoption SSO auswählen.
Die nächsten Schritte wären das Hinzufügen von Benutzern und das Zuweisen der Anwendung zu diesen Benutzern.

Erweitern Sie die einklappbaren Abschnitte unten für Schritt-für-Schritt-Beispiele des Integrations- und Bereitstellungsprozesses für einen typischen Identity Provider (Okta):

Okta Identity Provider integration example guide

Integration mit Okta als Identity Provider

Hinzufügen einer SAML-Anwendung:

Melden Sie sich als Administrator bei Okta an.
Klicken Sie auf den Link/die Schaltfläche Admin und dann auf die Schaltfläche Add Application unter dem Unternehmensbereich Applications.
Klicken Sie auf die Schaltfläche Create New App.
Wählen Sie SAML 2.0 als Sign-on method aus.
Geben Sie ein App name an. Dies dient nur der Anzeige.
Kopieren Sie () den Eintrag Single Sign On URL (Assertion Consumer Service) aus dem Abschnitt Altium Sign-On Settings der Seite Authentication Company Dashboard und fügen Sie ihn in das Feld Single sign on URL der Okta-SAML-Einstellungen ein.
Kopieren Sie () den Eintrag Entity ID aus dem Abschnitt Altium Sign-On Settings der Seite Authentication Company Dashboard und fügen Sie ihn in das Feld Audience URI der Okta-SAML-Einstellungen ein.

Ein Eintrag Default RelayState ist nicht erforderlich.
Setzen Sie die übrigen Felder wie folgt:
- Name ID format ist EmailAddress.
- Application username ist (Okta) Email.
- Legen Sie im Abschnitt ATTRIBUTE STATEMENTS das Feld Name fest auf: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress und Value auf: user.email
Klicken Sie auf die Schaltfläche Next und wählen Sie die Option ..Okta customer adding an internal app.
Klicken Sie auf die Schaltfläche Finish.
- Klicken Sie auf den Link Identity Provider metadata und speichern Sie die Metadaten-XML auf Ihrem Computer, oder klicken Sie auf die Schaltfläche View Setup Instructions für manuelle Einrichtungsoptionen.
- Laden Sie im Abschnitt SAML Identity Provider configuration der Seite Authentication Company Dashboard die gespeicherte Metadaten-XML-Datei hoch oder verwenden Sie den Link enter manually, um die einzelnen Abschnitte einzurichten – siehe unten.

Okta SCIM Provisioning example guide

SCIM-Bereitstellungsintegration mit Okta als IdP

Hinzufügen einer SCIM-Integration (System for Cross-domain Identity Management):

Wählen Sie in Okta Admin Console die Registerkarte General aus und setzen Sie SCIM als Bereitstellungsmethode.
Wählen Sie die Registerkarte Provisioning und klicken Sie auf die Schaltfläche Edit.
Wählen Sie im Bearbeitungsmodus der Einstellungen alle Bereitstellungsaktionen aus (die Optionen Import.. und Push..) und HTTP Header als Modus Authentication.
Kopieren Sie () den Eintrag Base URL aus dem Abschnitt Provisioning der Seite Authentication Company Dashboard und fügen Sie ihn in das Okta-Feld SCIM Connector base URL ein.

Kopieren Sie () den Eintrag API Token aus dem Abschnitt Provisioning der Seite Authentication Company Dashboard und fügen Sie ihn in das Okta-Feld Authorization ein (unter HTTP HEADER).
Geben Sie userName als Okta-Unique identifier field for users an.
Klicken Sie auf die Schaltfläche Test Connector Configuration (siehe oben) und stellen Sie sicher, dass die Verbindung funktioniert. Wenn der Konfigurationstest erfolgreich ist, schließen Sie das Testfenster und speichern Sie dann die Konfiguration ().
Wählen Sie To App im Navigationsbaum auf der linken Seite und dann die Option Edit.

Aktivieren Sie die Optionen Create Users, Update User Attributes und Deactivate Users und klicken Sie dann auf Save.

Benutzer-, Gruppenbereitstellung und Aufhebung der Bereitstellung:

Wählen Sie die Registerkarte Push Groups und klicken Sie dann auf die Schaltfläche Refresh App Groups.
Wählen Sie die Seitenoption Directory » Groups aus dem Hauptmenü.

Unter Groups sollten sowohl die Anwendungsgruppe Groups als auch Workspaces als Gruppeneinträge angezeigt werden.
Erstellen Sie „native“ Okta-Gruppen mit demselben Namen wie die Anwendungsgruppe(n)/Workspace(s) – in diesem Beispiel die importierten Gruppen Administrators und Workspace.
Wählen Sie eine erstellte Okta-Gruppe aus und klicken Sie dann auf die Schaltfläche Manage Apps. Weisen Sie im Fenster Assign Applications to <group name> der Gruppe die SCIM-Anwendung zu und klicken Sie nach Abschluss auf .
Gehen Sie zurück zur Seite Groups und wählen Sie die Registerkarte Push Groups. Wählen Sie Find groups by name option aus dem Menü der Schaltfläche Push Groups.
Geben Sie den Gruppennamen ein (hier Group Administrators) und wählen Sie dann die Option Link Group, um ihn mit der Anwendungsgruppe zu verknüpfen. Speichern Sie diese Link-Konfiguration ().

Verwalten von Benutzern und Gruppen

Sie sollten nun in der Lage sein, Mitglieder zu den vorhandenen Anwendungsgruppen hinzuzufügen oder aus ihnen zu entfernen.

Erstellen Sie einen neuen Okta-Benutzer (Directory » People, dann Add Person auswählen). Stellen Sie sicher, dass der Benutzer eine eindeutige E-Mail-Adresse hat, die in AltiumLive nicht vorhanden ist.
Fügen Sie den neuen Benutzer zu einer Okta-Gruppe hinzu, die der SCIM-Anwendung zugewiesen ist (Directory » Groups, eine Gruppe auswählen und dann Assign People verwenden).
Prüfen Sie, dass der Benutzer im Company Dashboard erscheint.

Um über die SCIM-Anwendung eine neue Benutzergruppe zu erstellen, legen Sie auf der Seite Groups () eine neue Okta-Gruppe an und suchen dann auf der Registerkarte Push Groups den neuen Gruppennamen und wählen die Option Create Group (anstatt „Link Group“).

Die konfigurierte SCIM-Anwendung sollte Ihnen Folgendes ermöglichen:

Ändern von Vorname / Nachname und E-Mail eines Benutzers.
Ändern der Mitgliedschaft einer Gruppe.
Ändern des Namens einer Gruppe.
Erstellen einer Gruppe.
Löschen einer Gruppe – heben Sie die Verknüpfung der Gruppe unter Push Groups mit der Option zum Löschen aus der App auf.
Aktivieren oder Deaktivieren eines Benutzers – ein aktivierter Benutzer erhält eine Aktivierungs-E-Mail.

Workspaces sehen in Okta ähnlich aus wie Benutzergruppen, unterstützen jedoch nur die Verwaltung von Mitgliedschaften. Sie können weder einen neuen Workspace erstellen noch einen vorhandenen umbenennen.

Nachdem Sie einen Benutzer zu einer Workspace-Gruppe hinzugefügt oder daraus entfernt haben, können Sie das Ergebnis über die Altium 365 Workspace-Oberfläche überprüfen.

Der neue SCIM-Benutzer sollte sich per SSO anmelden können.
Der neue SCIM-Benutzer sollte automatisch in den Workspace eingeladen werden.
Eine E-Mail-Einladung wird nicht an den Benutzer gesendet.

Erweitern Sie den unten stehenden ausklappbaren Abschnitt für ein Schritt-für-Schritt-Beispiel des Integrations- und Bereitstellungsprozesses für Microsoft Entra ID als Identity Provider:

SAML login with Microsoft Entra ID

Integration mit Microsoft Entra ID

SAML-Anwendung:

Melden Sie sich beim Microsoft Entra admin center an.
Wählen Sie Identity und dann die Option Enterprise applications.
Erstellen Sie Ihre eigene Anwendung.
Wählen Sie Users and groups und dann Add user/group.
Wählen Sie Single sign-on, Step 1 und dann Edit.
Kopieren Sie () die Einträge Entity ID und Single Sign On URL aus dem Abschnitt Altium Sign-On Settings der Seite Authentication im Company Dashboard. Fügen Sie die kopierten Zeichenfolgen in die Felder Entity ID und Assertion Consumer Service URL im Bereich SAML Configuration der Microsoft Entra-App ein. Stellen Sie sicher, dass die Kontrollkästchen Default für diese Felder aktiviert sind, und speichern Sie dann die Konfiguration.
Laden Sie die erstellten Federation Metadata XML herunter.
Laden Sie die Federation Metadata XML auf die Seite Authentication im Company Dashboard hoch (den Bereich 2. SAML Identity Provider configuration des Abschnitts Altium Sign-On Settings) und testen Sie dann die SAML-Integrationsverbindung.

Bereitstellung:

Wählen Sie im Verwaltungsbildschirm der Microsoft Entra-App im linken Bereich Provisioning und dann die Schaltfläche Get started.
Setzen Sie Provision MODE auf Automatic.
Kopieren Sie () die Einträge Base URL und API Token aus dem Abschnitt Provisioning der Seite Authentication im Company Dashboard und fügen Sie sie jeweils in die Felder Tenant URL und Secret Token ein.
Klicken Sie auf die Schaltfläche Test Connection für Microsoft Entra Provisioning, und wenn die Anmeldedaten erfolgreich autorisiert wurden, Save Sie die Konfiguration.
Im Abschnitt Mappings gibt es zwei auswählbare Sätze von Attributzuordnungen – einen für Gruppenobjekte und einen für Benutzerobjekte.
Wählen Sie jede Zuordnung aus, um die Attribute zu prüfen, die von Microsoft Entra ID mit Ihrer App synchronisiert werden. Die als Matching properties ausgewählten Attribute werden verwendet, um die Benutzer und Gruppen in Ihrer App für Aktualisierungsvorgänge abzugleichen. Wählen Sie Save, um Änderungen zu übernehmen.

Optional können Sie die Synchronisierung von Gruppenobjekten deaktivieren, indem Sie die Gruppenzuordnung deaktivieren.
Unter Settings definiert das Feld Scope, welche Benutzer und Gruppen synchronisiert werden. Wählen Sie Sync only assigned users and groups (empfohlen), um nur Benutzer und Gruppen zu synchronisieren, die auf der Seite Users and groups zugewiesen sind.
Sobald Ihre Konfiguration abgeschlossen ist, setzen Sie Provisioning Status auf On.
Wählen Sie Save, um den Microsoft Entra-Bereitstellungsdienst zu starten.

Erweitern Sie den unten stehenden ausklappbaren Abschnitt für ein Schritt-für-Schritt-Beispiel des Integrationsprozesses für JumpCloud als Identity Provider:

SAML SSO Configuration with JumpCloud

Integration mit JumpCloud als Identity Provider

Wählen Sie in der JumpCloud-Oberfläche im Navigationsbaum SSO und dann auf der Seite SSO die Schaltfläche Add New Application.
Geben Sie im Suchfeld des Konfigurationsfensters „saml“ ein, um Custom SAML App zu finden und zu installieren.
Benennen Sie Ihre Instanz von Custom SAML App – in diesem Beispiel lautet die Bezeichnung „Altium“.
Wechseln Sie in der JumpCloud-Konfigurationsoberfläche zur Registerkarte SSO. Kopieren Sie () die Einträge Entity ID und Single Sign On URL aus dem Abschnitt Altium Sign-On Settings der Seite Authentication im Company Dashboard und fügen Sie sie jeweils in die Felder SP Entity ID und Default URL ein.
Geben Sie den JumpCloud-Endpunkt IDP URL ein und aktivieren Sie die Option Declare Redirect Endpoint.
Wechseln Sie in der JumpCloud-Oberfläche zur Registerkarte Identity Management. Kopieren Sie () die Einträge Base URL und API Token aus dem Abschnitt Provisioning der Seite Authentication im Company Dashboard und fügen Sie sie jeweils in die Felder Base URL und Token Key ein. Geben Sie außerdem eine geeignete Test-E-Mail-Adresse ein.
Führen Sie einen Test Connection durch; oben rechts auf der Seite wird daraufhin eine Bestätigungsmeldung angezeigt (wie unten gezeigt).
Deaktivieren Sie die Option Group Management (Häkchen entfernen) und Activate Sie dann die Konfiguration.

Hinweis: Wenn oben auf der Seite ein Verbindungsfehler wie „There was a problem activating Identity Management“ oder unten auf der Seite „Test filter user: unable to get or create user from service“ angezeigt wird, versuchen Sie, eine andere Test-E-Mail-Adresse einzugeben, und wählen Sie dann erneut Activate.
Zurück in der JumpCloud-Oberfläche auf der Registerkarte SSO verwenden Sie die Option Export Metadata, um die resultierende SAML-Metadaten-XML-Datei herunterzuladen.
Importieren Sie auf der Seite Authentication im Company Dashboard die heruntergeladene Metadaten-XML-Datei und starten Sie dann mit der Schaltfläche Test Sign On einen Integrationstest. Daraufhin sollte ein erfolgreiches Integrationstestergebnis angezeigt werden. Nach der Verbindungsbestätigung können Sie die Option Altium Sign-On Settings und danach die Option SSO im Abschnitt Authentication methods aktivieren.

Erweitern Sie den unten stehenden ausklappbaren Abschnitt für ein Schritt-für-Schritt-Beispiel des Integrationsprozesses für Microsoft AD FS als Identity Provider:

SSO SAML Authentication with Microsoft AD FS

SSO-SAML-Authentifizierung mit Microsoft Administrative Domain Federated Services (AD FS)

Führen Sie die unten beschriebenen Schritte aus, um die Anmeldung Ihrer Altium 365-Organisation so einzurichten, dass für die SSO-Authentifizierung Ihre AD FS-Instanz verwendet wird.

Voraussetzungen

Administrativer Zugriff auf das Company Account der Organisation in Altium 365.
Administrativer Zugriff auf die AD FS-Instanz.

Einrichten von AD FS

Öffnen Sie die Anwendung AD FS Management (normalerweise Start → Windows Administrative Tools → AD FS Management).
Navigieren Sie zu Relying Party Trusts und klicken Sie auf die Option Add Relying Party Trust... (1).
Stellen Sie im Pop-up-Fenster sicher, dass Claims aware (2) ausgewählt ist, und klicken Sie auf Start (3).
Wählen Sie im Schritt Select Data Source Enter data about the relying party manually (1) und klicken Sie auf Next (2).
Geben Sie einen Anzeigenamen für die Vertrauensstellung an. In diesem Beispiel wird AltiumLive als Anzeigename verwendet.
Abhängig von Ihrer Sicherheitskonfiguration können Sie optional ein Zertifikat zur Tokenverschlüsselung angeben. Für die Zwecke dieser Anleitung werden wir keines verwenden.
Stellen Sie im Schritt Configure URL sicher, dass die Option Enable support for the SAML 2.0 WebSSO protocol (1) ausgewählt ist, und geben Sie https://identity.live.altium.com/AssertionConsumerService in das Feld Relying party SAML 2.0 SSO service URL: (2) ein. Klicken Sie auf Next (3).
Geben Sie im Schritt Configure Identifiers im Eingabefeld (1) einen Bezeichner für diese Vertrauensstellung an. Der Bezeichner muss aus dem Eintrag Entity ID übernommen werden, der sich im Bereich SAML Single Sign-On der Seite Dashboard Authentication befindet. Klicken Sie unbedingt auf die Schaltfläche Add (2).

Das Ergebnis sollte wie folgt aussehen. Klicken Sie auf Next.
Abhängig von Ihrer Sicherheitskonfiguration können Sie im nächsten Schritt optionale Zugriffssteuerungsrichtlinien auswählen. Für dieses Beispiel wählen wir keine zusätzlichen Richtlinien aus und fahren mit der Option Permit everyone fort.
Überprüfen Sie die Konfiguration und wählen Sie Next.
Nicht alle Einstellungen sind beim Einrichten der Vertrauensstellung verfügbar. Damit SHA-1 als sicherer Hash-Algorithmus verwendet werden kann, klicken Sie mit der rechten Maustaste auf den Namen von Relying Party Trust, den Sie gerade hinzugefügt haben, und wählen Sie Properties.
Wählen Sie im Eigenschaftenfenster die Registerkarte Advanced (1) und legen Sie SHA-1 als sicheren Hash-Algorithmus fest (2). Klicken Sie auf OK, um die Änderungen zu speichern.
Wählen Sie zurück im Fenster AD FS Management die von Ihnen hinzugefügte Relaying Party Trust aus und wählen Sie die Option Edic Claim Issuance Policy....
Wählen Sie im Fenster Edit Claim Issuance Policy Add Rule...
Stellen Sie im Schritt Choose Rule Type des Assistenten sicher, dass Send LDAP Attributes as Claims ausgewählt ist, und klicken Sie dann auf Next.
Stellen Sie ein Claim rule name (1) bereit, wählen Sie Active Directory als Attribute store (2) aus und wählen Sie ein LDAP Attribute (3) aus der ID, die den Benutzernamen für das Altium Account enthält. Dieses Attribut muss in der Outgoing Claim Type (3) auf Name ID abgebildet werden. Klicken Sie auf Finish (4).

Important Note: In diesem Beispiel haben wir Surname oder Last name so zugeordnet, dass es den erforderlichen Wert enthält. Ihre Konfiguration kann davon abweichen.
Stellen Sie sicher, dass die Richtlinie zur Anspruchsausstellung gespeichert wird, indem Sie auf OK klicken.

Damit ist die Einrichtung von AD FS abgeschlossen.

Important Note: Laden Sie die Datei FederationMetadata.xml vom entsprechenden Server herunter.

Einrichten von Altium 365

Rufen Sie die Seite Authentication im Company Dashboard auf und laden Sie die zuvor heruntergeladene Datei FederationMetadata.xml hoch (weitere Informationen finden Sie im Abschnitt Dashboard SSO Configuration weiter unten). Die Konfiguration sollte importiert werden, und die Werte von X509 Certificate, Identity Provider Issuer und IdP Single Sign-On URL sollten sichtbar sein. Klicken Sie auf die Schaltfläche Test Sign On , um die Einrichtung zu testen.
Geben Sie im Anmeldebildschirm die Benutzeranmeldedaten gemäß den Anforderungen Ihrer Organisation ein und klicken Sie auf Sign in.
Die Assertion wird an Altium 365 zurückgesendet. Wenn auf dem Bildschirm eine Meldung Test SAML connection was successful! angezeigt wird, wurde die Konfiguration korrekt abgeschlossen. Sie können die SAML-Antwort anzeigen, indem Sie auf die Schaltfläche See Response klicken. Klicken Sie auf Back to Settings , um zur Seite Authentication zurückzukehren.
Aktivieren Sie auf der Seite Authentication die Optionen Altium Sign-On Settings und SSO .

Damit ist die Einrichtung abgeschlossen. Ab diesem Zeitpunkt sollten Benutzer in Ihrer Organisation in der Lage sein, sich mit dem AD FS Ihrer Organisation als SSO-IdP bei Altium 365 anzumelden.

Klappen Sie den folgenden ausblendbaren Abschnitt auf, um ein schrittweises Beispiel für den Integrationsprozess von AWS IAM Identity Center als Identity Provider zu sehen:

SSO SAML Configuration with AWS IAM Identity Center

SSO-SAML-Konfiguration mit Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

Gehen Sie zu IAM Identity Center und fügen Sie eine benutzerdefinierte SAML-2.0-Anwendung hinzu (Add Application).
Laden Sie die Metadatendatei aus dem Bereich IAM Identity Center metadata herunter.
Gehen Sie zu Edit attribute mappings.
Fügen Sie ${user:email} und Format als unspecified hinzu.
Erstellen Sie neue Benutzer in AWS – die Namen der Benutzer sollten im Format user@domain.com vorliegen.

Weisen Sie die Anwendung den erstellten Benutzern oder einer Gruppe zu.
Die Option Provisioning auf der Seite Authentication im Company Dashboard sollte deaktiviert sein.

Derzeit wird die automatische ausgehende Bereitstellung über SCIM von AWS nicht unterstützt.
Stellen Sie sicher, dass dieselben Benutzer sowohl auf der Altium- als auch auf der IAM-Seite vorhanden sind. Die Benutzer sollten nach dem Format user@domain.com benannt sein.
Laden Sie auf der Seite Authentication im Company Dashboard die XML-Datei hoch, die Sie zuvor heruntergeladen haben (weitere Informationen finden Sie im Abschnitt Dashboard SSO Configuration weiter unten). Klicken Sie auf die Schaltfläche Test Sign On , um die Einrichtung zu testen.
Danach werden Sie zur AWS-Anmeldeseite weitergeleitet. Geben Sie Ihre AWS-Benutzeranmeldedaten ein. Sie sollten zurück zum Dashboard geleitet werden und die Meldung Test SAML connection was successful! sehen.
Aktivieren Sie nach einem erfolgreichen Test die Optionen Altium Sign-On Settings und SSO .

Dashboard SSO Configuration

Um das SSO-System in Dashboard zu konfigurieren (falls noch nicht erfolgt), verwenden Sie auf der Seite Authentication die Schaltfläche , um die von dem IdP Ihres Unternehmens generierte SAML-IdP-Konfigurations-XML-Datei zu suchen und hochzuladen – siehe die obigen Beispiele zur IdP-Integration. Alternativ können Sie über den Link enter manually die einzelnen Elemente der Konfiguration (Sicherheitszertifikat und URLs) hinzufügen.

Eine hochgeladene IdP-XML-Datei wird vom System verarbeitet, um die Hauptkonfigurationsfelder (X509 Certificate, Identity Provider Issuer URL und IdP Single Sign-On URL) zu extrahieren, die bei Bedarf manuell bearbeitet werden können ().

SSO wird erst aktiviert, wenn ein Integration Test ausgeführt wird, das über die Schaltfläche aufgerufen wird. Dadurch werden der SSO-Identitätsprozess und die SSO-Anmeldung Ihres Unternehmens überprüft und anschließend eine Bestätigungsmeldung angezeigt, die auch die Option enthält, den Ergebniscode der SAML-Autorisierung zu prüfen ().

Zurück auf der Seite Authentication wird die Gültigkeitsprüfung der Konfiguration als erfolgreich gemeldet, und die Single-Sign-On-Funktion des Company Accounts kann aktiviert werden (). Wenn SSO anschließend entweder manuell oder als Reaktion auf eine Konfigurationsänderung deaktiviert wird, steht die Schaltfläche zur Verfügung, damit der Testvorgang wiederholt werden kann.

Beachten Sie, dass der Abschnitt Provisioning des Benutzers bereits mit den SCIM-Einstellungen von Altium vorkonfiguriert ist, um die Benutzer-/Gruppenbereitstellung über den Identity Provider (IdP) Ihres Unternehmens zu unterstützen, z. B. Okta, OneLogin usw.

Important: Die erforderlichen Benutzerprofilattribute für eine erfolgreiche Bereitstellung sind:

First name
Last name
Email – vorzugsweise die geschäftliche E-Mail-Adresse eines Benutzers.
Username – auf der Altium-Seite ist dies das Benutzerattribut E-Mail.

Mehrere Organisationen mit einem SSO-Provider

Wenn Ihr Unternehmen mehr als eine Altium Organization unter dem Altium Account des Unternehmens hat – zum Beispiel eine Organization für jede globale Region –, dann kann ein einzelner SSO Identity Provider verwendet werden, um die SSO-Authentifizierung für das gesamte Unternehmen über ein erweitertes Dashboard-Entity ID-Format zu verwalten.

Das Format Entity ID (standardmäßig https://live.altium.com) wird um ein GUID-Suffix erweitert, das für die aktuelle Organization generiert wird. Dieses erweiterte URL-Format kann dann für eine bestimmte SSO-Provider-Anwendung verwendet werden, die mit dieser Altium Organization verknüpft ist. Andere Organizations unter dem Altium Account Ihres Unternehmens mit unterschiedlichen GUID-Entity ID-Suffixen können mit verschiedenen SSO-Anwendungen unter demselben SSO Identity Provider verknüpft werden. In der Praxis bedeutet dies, dass die SSO-Anmeldeauthentifizierung für das gesamte Unternehmen innerhalb eines einzigen SSO Identity Providers verwaltet werden kann.

Die erweiterte Entity ID, die mit der aktuellen Dashboard-Organization verknüpft ist, kann einer bestimmten SSO-Provider-Anwendung zugewiesen werden.

So aktivieren Sie das erweiterte Entity ID für eine aktive SAML-SSO-Konfiguration:

Deaktivieren Sie Altium Sign-On Settings.
Aktualisieren Sie die Seite, um eine Neugenerierung der Entity ID-URL in ihr erweitertes Format auszulösen: https://live.altium.com/XXXXXXXXXX. Die aktuelle Organization kann nun anhand ihres erweiterten Entity ID eindeutig identifiziert werden.
Ändern Sie in der Anwendungsverwaltungsoberfläche des Identity Providers den Verweis Entity ID der Anwendung – in der Regel eine Variante von „Audience“ oder „Entity“ genannt – auf die neue erweiterte Version, die Sie aus dem Altium Dashboard kopiert haben. Speichern Sie die Einstellungen.
Aktivieren Sie Integration test im Dashboard und aktivieren Sie Altium Sign-On Settings erneut.

Dieser Vorgang kann für die anderen Altium Organizations Ihres Unternehmens wiederholt werden, die jeweils mit ihrer eigenen dedizierten Anwendung innerhalb des SSO Identity Providers verknüpft sein sollten. Als Beispielreferenz wird im hier enthaltenen Microsoft Entra ID setup guide in Schritt 3 eine benannte Anwendung erstellt und in Schritt 6 die Identifier (Entity ID) hinzugefügt.

Authentifizierungsmethoden

Neben einer Einrichtungsoberfläche zur Konfiguration der Altium-SSO-Konnektivität bietet die Seite Authentication im Dashboard auch globale und individuelle Kontrolle über die gesamte Bandbreite der Benutzeranmeldeoptionen – nämlich traditionell E-Mail/Passwort, Google^®, Facebook^® und Renesas-Anmeldung sowie Single Sign-On über den Identity Provider Ihrer Organisation. Die im Abschnitt Authentication methods der Seite aktivierten Optionen bestimmen die Anmeldemethoden, die allen Benutzern des Company Accounts Ihrer Organisation zur Verfügung stehen.

Aktivieren Sie die Authentifizierungsmethoden, die den Anforderungen Ihrer Organisation entsprechen. Diese gelten für alle Benutzer, sofern sie nicht für bestimmte Mitglieder außer Kraft gesetzt werden (siehe unten).

Anmeldeoptionen können für einen individual-Benutzer konfiguriert werden, indem die Einstellungen in seinem Dashboard Altium Account-Eintrag bearbeitet werden. Wählen Sie auf der Dashboard Users page des Benutzers die Schaltfläche , um auf dessen Überschreibungsoptionen für die Anmeldung zuzugreifen. Wenn diese Einstellungen bei aktivierter Option Override Authentication methods bearbeitet werden, haben sie Vorrang vor den globalen Anmeldeeinstellungen auf der Seite Authentication – jedoch nur für diesen Benutzer.

Die Einstellungen für die Authentifizierungsüberschreibung können dort verwendet werden, wo SSO die für eine Organisation erzwungene Anmeldemethode ist (alle anderen Optionen sind global deaktiviert), ein einzelner Benutzer jedoch eine bestimmte Art des Anmeldezugriffs benötigt – zum Beispiel nur E-Mail/Passwort.

Das Profil eines Unternehmensmitglieds, aufgerufen über die Dashboard-Users and GroupsSeite, zeigt den Überschreibungsstatus der Authentifizierungsmethoden des Benutzers an. In diesem Beispiel gelten die unternehmensweiten Authentication methods – es sind keine Überschreibungen eingerichtet.

Bearbeiten Sie die Authentication methods des Mitglieds, um für diesen Benutzer einen bestimmten Satz verfügbarer Anmeldemethoden festzulegen, indem Sie unerwünschte Einstellungen deaktivieren.

Hier ist die Google Authentifizierungsmethode für dieses Mitglied deaktiviert. Bestätigen Sie die neuen Einstellungen mit der Schaltfläche .

Die Liste der Authentifizierungsmethoden des Mitglieds zeigt nun die Anmeldemethode Google als deaktiviert an, sodass für diesen Benutzer nur noch die Methode Email/Password und Renesas verfügbar ist.

Individuelle Benutzer-Anmeldemethoden, die mit den Einstellungen Override Authentication methods festgelegt wurden (wie oben), können mit der Option Reset users overrides im Abschnitt Authentication methods der Seite Authentication auf ihre Standardwerte zurückgesetzt werden. Dadurch werden die individuellen Anmeldeeinstellungen für alle Benutzer auf die globalen Authentifizierungsmethoden zurückgesetzt, die derzeit auf der Seite Authentication ausgewählt sind.

Wählen Sie auf der Dashboard-AuthenticationSeite die Option Reset User Overrides, um die Anmeldeoptionen für alle Mitglieder auf die Standard-Authentifizierungsmethoden festzulegen.

Bestätigen Sie den Vorgang zum Zurücksetzen der Authentifizierungsmethoden mit der Schaltfläche im Bestätigungsdialog.

Im hier gezeigten Beispiel (siehe oben) zeigt das Profil des angegebenen Mitglieds nun, dass seine Authentifizierungsmethoden nicht mehr überschrieben werden, d. h. die Authentifizierungsmethoden entsprechen jetzt den Standardeinstellungen.

Konfiguration der 2-Step Verification

Gruppenadministratoren eines Company Account können die 2-Step Verification konfigurieren, um eine zusätzliche Sicherheitsebene bereitzustellen, damit Benutzer ihre Identität bestätigen können, wenn sie versuchen, sich mit ihren E-Mail-/Passwort-Anmeldedaten bei ihren Altium-Konten anzumelden. Als zusätzliche Verifizierungsmethode kann entweder das Senden eines Einmalkennworts (OTP) per E-Mail oder das Generieren eines OTP in einer Authenticator-Anwendung wie Google Authenticator oder Okta Verify festgelegt werden. Die 2-Step Verification kann für alle Benutzer im Company Account erzwungen werden, oder einzelne Benutzer können die 2-Step Verification für ihre Konten konfigurieren.

Die Konfiguration der 2-Step Verification auf Company-Account-Ebene wird von einem Gruppenadministrator des Kontos im Bereich 2-Step Verificationder Seite Dashboard Authentication vorgenommen. Aktivieren Sie dazu die Option Enforce 2-Step Verification und wählen Sie die erforderliche Method, entweder OTP via Email oder OTP via Authenticator App. Wenn die Option OTP via Authenticator App ausgewählt ist, wählen Sie das erforderliche App aus der Dropdown-Liste (Other, Okta oder Google). Optional können Sie im Feld Instructions Link (Optional) einen Link festlegen (dieser Link wird auf der Seite 2-Step Authentication angezeigt, wenn ein Benutzer versucht, sich anzumelden).

Wenn die Erzwingung der 2-Step Verification aktiviert ist und die Methode OTP via Authenticator App gewählt wurde, muss der Benutzer die abschließende Konfiguration beim ersten Anmeldeversuch vornehmen. Dazu muss ein Authenticator-Code zur bevorzugten Authenticator-Anwendung hinzugefügt werden, indem der bereitgestellte QR-Code mit der Anwendung gescannt oder der geheime Schlüssel eingegeben wird. Danach muss der von der Anwendung generierte Code in das Feld Enter code eingegeben werden. Nach dem Klicken auf Continue werden mehrere Wiederherstellungscodes bereitgestellt, die verwendet werden können, falls der Zugriff auf den Authenticator-Code in der Anwendung verloren geht. Diese Codes sollten an einem sicheren Ort aufbewahrt werden. Klicken Sie auf Done, um die Anmeldung beim Altium Account abzuschließen.

Beachten Sie, dass sich Gruppenadministratoren des Company Account ohne den zusätzlichen Verifizierungsschritt anmelden, d. h., für die Anmeldung eines Gruppenadministrators sind nur E-Mail-/Passwort-Anmeldedaten erforderlich.

Alternativ kann die 2-Step Verification auf Altium-Account-Ebene konfiguriert werden, wenn die Erzwingung der 2-Step Verification auf Company-Account-Ebene nicht aktiviert ist (die Option Enforce 2-Step Verification ist auf der Seite Dashboard Authentication deaktiviert). Wenn Sie bei Ihrem Altium Account angemeldet sind, öffnen Sie Ihr Profil (indem Sie oben rechts im Browserfenster auf Ihren Benutzer-Avatar/Ihr Bild klicken und im Dropdown-Menü My Profile auswählen) und öffnen Sie die Seite Authentication. Aktivieren Sie im Bereich 2-Step Verification der Seite die Option Enable 2-Step Verification und wählen Sie die erforderliche Method, entweder OTP via Email oder OTP via Authenticator App.

Wenn die Methode OTP via Email gewählt wurde, werden E-Mails zur Codeverifizierung an die E-Mail-Adresse Ihres Profils gesendet.
Wenn die Methode OTP via Authenticator App gewählt wurde, wählen Sie das erforderliche App aus der Dropdown-Liste (Other, Okta oder Google). Schließen Sie im angezeigten Fenster die Einrichtung der Anwendung wie oben beschrieben ab.

Wenn die Erzwingung der 2-Step Verification auf Company-Account-Ebene aktiviert ist, spiegeln die Profileinstellungen die Company-Account-Einstellungen im schreibgeschützten Modus wider.
Ein Gruppenadministrator des Altium Account des Unternehmens kann die 2-Step-Verification-Einstellungen eines Benutzers zurücksetzen (mehr erfahren).

Wenn der Altium Account eines Benutzers Teil des Altium Account eines Unternehmens ist und die 2-Step Verification für den Altium Account noch nicht konfiguriert wurde, wird dem Benutzer vorgeschlagen, die 2-Step Verification für seinen Altium Account zu konfigurieren, wenn er sich mit seiner E-Mail-Adresse und seinem Passwort anmeldet, selbst wenn die Erzwingung der 2-Step Verification auf Company-Account-Ebene nicht aktiviert ist. Wählen Sie die bevorzugte Method und folgen Sie den weiteren Schritten, um die 2-Step Verification zu konfigurieren (die Konfiguration erfolgt ähnlich wie oben beschrieben). Alternativ klicken Sie auf Remind me in a week, um die Konfiguration der 2-Step Verification zu verschieben.

Beachten Sie, dass ein Benutzer, der keine 2-Step Verification konfiguriert hat, diese innerhalb eines Monats nach dem ersten Anmeldeversuch konfigurieren muss, wenn er Gruppenadministrator eines Company Account oder Administrator eines auf der Altium Platform gehosteten Workspace ist (d. h., der Benutzer ist Mitglied der Administrator-Gruppe in einem Workspace – mehr erfahren). Nach einem Monat ist das Bedienelement Remind me in a week nicht mehr verfügbar ().

Gerätebasierte Authentifizierung

Benutzer können beim Anmelden am Altium Account eine vom Gerät unterstützte gerätebasierte Authentifizierungsmethode konfigurieren, z. B. Windows Hello oder Face ID.

Um die gerätebasierte Authentifizierung zu konfigurieren, klicken Sie auf der Altium Sign In-Seite auf die Fingerabdruck-Schaltfläche (https://auth.altium.com/).

Schließen Sie im nächsten Schritt die Anmeldung mit Ihrem Passwort ab und klicken Sie auf Continue.

Je nach Gerät werden Ihnen Schritte zum Abschließen der Konfiguration der entsprechenden Authentifizierungsmethode angezeigt. Wenn die Konfiguration abgeschlossen ist, geben Sie die gewünschte Device Name ein und klicken Sie auf Done.

Wenn Sie sich das nächste Mal mit gerätebasierter Authentifizierung anmelden möchten (durch Klicken auf die Fingerabdruck-Schaltfläche auf der Altium Sign In-Seite), wird Ihnen vorgeschlagen, die konfigurierte Methode für die Anmeldung zu verwenden.

Die konfigurierten gerätebasierten Authentifizierungsmethoden finden Sie in Ihrem Profil. Öffnen Sie Ihr Profil (indem Sie oben rechts im Browserfenster auf Ihren Benutzer-Avatar/Ihr Bild klicken und im Dropdown-Menü My Profile auswählen) und öffnen Sie die Seite Authentication. Die konfigurierten Methoden werden im Bereich Authentication methods der Seite aufgelistet. Um eine konfigurierte Methode zu entfernen, verwenden Sie das Steuerelement Unlink account in deren Eintrag.

Verknüpfen eines Renesas Account

Sie können Ihren Altium Account auch mit Ihrem Renesas Account verknüpfen, um Letzteren bei der Anmeldung am Altium Account zu verwenden. Öffnen Sie dazu Ihr Profil (indem Sie oben rechts im Browserfenster auf Ihren Benutzer-Avatar/Ihr Bild klicken und im Dropdown-Menü My Profile auswählen) und öffnen Sie die Seite Authentication. Klicken Sie im Bereich Authentication methods der Seite im Kachelbereich Renesas auf das Steuerelement Link account.

Verwenden Sie die nachfolgenden Seiten, um sich bei Ihrem Renesas Account anzumelden und ihn mit Ihrem Altium Account zu verknüpfen. Sobald der Renesas Account verknüpft ist, erscheint seine Kachel auf der Seite Authentication mit dem Steuerelement Unlink account, das zum Aufheben der Verknüpfung zwischen den Konten verwendet werden kann.

Falls dies durch globale und individuelle Einstellungen für Authentifizierungsmethoden erlaubt ist (mehr erfahren), kann der verknüpfte Renesas Account bei der Anmeldung an Ihrem Altium Account verwendet werden.

Druckerfreundliche Version

AI-localized

Wenn Sie ein Problem feststellen, wählen Sie den Text/das Bild aus und drücken SieStrg + Eingabe, um uns Ihr Feedback zu senden.

Konfigurieren der Anmeldeauthentifizierung

SAML Single Sign-On

Beispiele für die Integration von Identity Providern

Integration mit OneLogin als Identity Provider

Hinzufügen einer SAML-Anwendung:

Integration mit Okta als Identity Provider

Hinzufügen einer SAML-Anwendung:

SCIM-Bereitstellungsintegration mit Okta als IdP

Hinzufügen einer SCIM-Integration (System for Cross-domain Identity Management):

Benutzer-, Gruppenbereitstellung und Aufhebung der Bereitstellung:

Verwalten von Benutzern und Gruppen

Integration mit Microsoft Entra ID

SAML-Anwendung:

Bereitstellung:

Integration mit JumpCloud als Identity Provider

SSO-SAML-Authentifizierung mit Microsoft Administrative Domain Federated Services (AD FS)

Voraussetzungen

Einrichten von AD FS

Einrichten von Altium 365

SSO-SAML-Konfiguration mit Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

Dashboard SSO Configuration

Mehrere Organisationen mit einem SSO-Provider

Authentifizierungsmethoden

Konfiguration der 2-Step Verification

Gerätebasierte Authentifizierung

Verknüpfen eines Renesas Account

Inhalt

Was this page helpful?