Die Seite Company Dashboard Authentication ermöglicht es Administratoren von Unternehmenskonten, die Funktionen für Single Sign-On (SSO) für Ihr Unternehmenskonto zu konfigurieren und zu aktivieren. Außerdem umfasst sie die Unterstützung für die SCIM-Bereitstellung von Benutzern und Gruppen (System for Cross-domain Identity Management), die den Austausch von Identitätsdaten zwischen Ihrem Unternehmen und seinem Identity Provider (IdP) automatisiert.
Dieses Backend-Konfigurationssystem ermöglicht Administratoren von Unternehmenskonten, die SSO-Funktion für Unternehmensbenutzer einzurichten, zu testen, zu aktivieren und zu deaktivieren. Die SSO-Option ist bei der Anmeldung bei Altium Designer, Ihrem Altium account und einem Altium Workspace verfügbar. Wenn SSO für Benutzer des Unternehmenskontos eingerichtet ist, bietet es den Vorteil, sich mit denselben Zugangsdaten bei Altium-Software und -Services anzumelden, die auch für Ihre unternehmensweiten Systeme gelten.
SAML Single Sign-On
Wenn das System im Dashboard konfiguriert und aktiviert ist, stellt es autorisierte Identitäten von dem von Ihrem Unternehmen benannten Identity Provider (IdP), zum Beispiel Okta, OneLogin usw., bereit, wobei die Kommunikation der ID-Bestätigungen auf der standardisierten Security Assertion Markup Language (SAML 2.0) basiert. Die SSO-Anmeldeschnittstelle für Ihr Unternehmen basiert, sofern sie nicht bereits vorhanden ist, in der Regel auf einer Vorlage oder einem Beispiel des IdP – dies initiiert die SAML-basierten Authentifizierungs-Austausche und ermöglicht den Zugriff auf Unternehmensdienste.
Im Standardzustand zeigt die Seite Dashboard Authentication die vorkonfigurierten URLs für den AltiumLive-SSO-Service (1. Altium metadata configuration) sowie die Option zum Hochladen oder manuellen Eingeben der Autorisierungs-Verbindungsdaten Ihres IdP (2. SAML Identity Provider Configuration).
Beachten Sie, dass der Eintrag Altium metadata configuration die bereitgestellten Identitätsinformationen für den Altium-SSO-Service Ihrer Organisation enthält:
-
Entity ID – wird als Ziel-URL für die IdP-Antwort verwendet. Diese kann ein GUID-Suffix enthalten, das eine bestimmte Organisation (z. B. eine Region/Abteilung) innerhalb des Altium-Kontos Ihres Unternehmens identifiziert – siehe unten Mehrere Organisationen mit einem SSO-Provider.
-
Single Sign On URL – wird vom IdP verwendet, um die zutreffende Altium-SSO-URL zu identifizieren. Wenn Sie SAML SSO für einen Altium GovCloud-Anmeldedienst konfigurieren, wählen Sie dessen zugehörige SSO-Assertion-URL aus dem Dropdown-Menü des Eintrags aus.
Diese URLs werden kopiert (
) und in die Oberfläche des Identity Providers eingefügt, um die Generierung von SAML-Metadaten für den SSO-Service Ihres Unternehmens zu ermöglichen. Dieser Konfigurationscode (in der Regel als XML-Daten verfügbar) wird dann in den Eintrag SAML Identity Provider configuration hochgeladen oder hineinkopiert. Weitere Informationen finden Sie unten.
Beispiele für die Integration von Identity Providern
Klappen Sie den untenstehenden ausklappbaren Abschnitt auf, um ein schrittweises Beispiel für den Integrationsprozess eines typischen Identity Providers (OneLogin) zu sehen:
OneLogin Identity Provider integration example guide
Integration mit OneLogin als Identity Provider
Hinzufügen einer SAML-Anwendung:
-
Melden Sie sich als Administrator bei OneLogin an.
-
Wählen Sie Applications und dann Add Apps.
-
Suchen Sie nach „SAML“ und wählen Sie die Anwendungsoption SAML Test Connector (Advanced) IdP aus.
-
Geben Sie einen Anwendungsnamen an (Display Name). Dieser dient nur Anzeigezwecken.
-
Klicken Sie auf die Schaltfläche Save.
-
Kopieren Sie () die Einträge Entity ID und Single Sign On URL (Assertion Consumer Service) aus dem Abschnitt Altium Sign-On Settings der Seite Authentication Company Dashboard. In der OneLogin-Anwendungseinrichtung:
-
Fügen Sie Entity ID (Name des Service Providers) als Audience (EntityID) URL ein.
-
Fügen Sie Single Sign On URL (Assertion Consumer Service) als ACS (Consumer) URL Validator ein.
-
Fügen Sie außerdem Single Sign On URL (Assertion Consumer Service) als ACS (Consumer) URL ein.
-
Die Felder RelayState, Recipient, Single Logout URL und Login URL können leer bleiben.
-
Stellen Sie sicher, dass die Option SAML nameID format auf Email gesetzt ist und SAML signature element auf Both. Klicken Sie auf die Schaltfläche Save, um die Einstellungen zu bestätigen.
-
Klicken Sie auf die Schaltfläche More Actions und dann auf die Menüoption SAML Metadata, um die SAML-Metadaten des Identity Providers als XML-Datei herunterzuladen.
-
Diese Metadatendatei wird auf der Seite Authentication des Company Dashboard hochgeladen, um den OneLogin-SSO-Service zu konfigurieren – siehe unten.
-
Wenn bevorzugt wird, den OneLogin-SSO-Service manuell im Company Dashboard einzurichten, können die erforderlichen Parameter durch Auswahl der Menüoption SSO in der OneLogin-Anwendungsoberfläche abgerufen werden.
-
Die nächsten Schritte bestehen darin, Benutzer hinzuzufügen und diesen Benutzern die Anwendung zuzuweisen.
Klappen Sie die untenstehenden ausklappbaren Abschnitte auf, um schrittweise Beispiele für den Integrations- und Bereitstellungsprozess eines typischen Identity Providers (Okta) zu sehen:
Okta Identity Provider integration example guide
Integration mit Okta als Identity Provider
Hinzufügen einer SAML-Anwendung:
-
Melden Sie sich als Administrator bei Okta an.
-
Klicken Sie auf den Link/die Schaltfläche Admin und dann auf die Schaltfläche Add Application unter dem Unternehmens-Applications.
-
Klicken Sie auf die Schaltfläche Create New App.
-
Wählen Sie SAML 2.0 als Sign-on method aus.
-
Geben Sie einen App name an. Dieser dient nur Anzeigezwecken.
-
Kopieren Sie () den Eintrag Single Sign On URL (Assertion Consumer Service) aus dem Abschnitt Altium Sign-On Settings der Seite Authentication Company Dashboard und fügen Sie ihn in das Feld Single sign on URL der Okta-SAML-Einstellungen ein.
-
Kopieren Sie () den Entity ID Eintrag aus dem Abschnitt Altium Sign-On Settings der Seite Authentication Company Dashboard und fügen Sie ihn in das Feld Audience URI der Okta-SAML-Einstellungen ein.
Ein Eintrag Default RelayState ist nicht erforderlich.
-
Setzen Sie die übrigen Felder wie folgt:
-
Name ID format ist EmailAddress.
-
Application username ist (Okta) Email.
-
Im Abschnitt ATTRIBUTE STATEMENTS setzen Sie das Feld Name auf: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress und Value auf: user.email
-
Klicken Sie auf die Schaltfläche Next und wählen Sie die Option ..Okta customer adding an internal app.
-
Klicken Sie auf die Schaltfläche Finish.
-
Klicken Sie auf den Link Identity Provider metadata und speichern Sie die Metadaten-XML auf Ihrem Computer, oder klicken Sie auf die Schaltfläche View Setup Instructions für manuelle Einrichtungsoptionen.
-
Laden Sie im Abschnitt SAML Identity Provider configuration der Seite Authentication Company Dashboard die gespeicherte Metadaten-XML-Datei hoch oder verwenden Sie den Link enter manually, um die einzelnen Abschnitte einzurichten – siehe unten.
Okta SCIM Provisioning example guide
SCIM-Bereitstellungsintegration mit Okta als IdP
Hinzufügen einer SCIM-Integration (System for Cross-domain Identity Management):
-
Wählen Sie in Okta Admin Console die Registerkarte General aus und legen Sie SCIM als Bereitstellungsmethode fest.
-
Wählen Sie die Registerkarte Provisioning und klicken Sie auf die Schaltfläche Edit.
-
Wählen Sie im Bearbeitungsmodus der Einstellungen alle Bereitstellungsaktionen aus (Optionen Import.. und Push..) sowie HTTP Header als Authentication-Modus.
-
Kopieren Sie () den Base URL Eintrag aus dem Abschnitt Provisioning der Seite Authentication Company Dashboard und fügen Sie ihn in das Okta-Feld SCIM Connector base URL ein.
Kopieren Sie () den API Token Eintrag aus dem Abschnitt Provisioning der Seite Authentication Company Dashboard und fügen Sie ihn in das Okta-Feld Authorization ein (unter HTTP HEADER).
-
Geben Sie userName als Okta-Unique identifier field for users an.
-
Klicken Sie auf die Schaltfläche Test Connector Configuration (siehe oben) und stellen Sie sicher, dass die Verbindung funktioniert. Wenn der Konfigurationstest erfolgreich ist, schließen Sie das Testfenster und speichern Sie dann die Konfiguration (
).
-
Wählen Sie To App im Navigationsbaum auf der linken Seite und dann die Option Edit.
Aktivieren Sie die Optionen Create Users, Update User Attributes und Deactivate Users und klicken Sie dann auf Save.
Benutzer-, Gruppen-Bereitstellung und Entzug der Bereitstellung:
-
Wählen Sie die Registerkarte Push Groups und klicken Sie dann auf die Schaltfläche Refresh App Groups.
-
Wählen Sie die Seitenoption Directory » Groups aus dem Hauptmenü.
Unter Groups sollten sowohl die Anwendung Groups als auch Workspaces als Gruppeneinträge angezeigt werden.
-
Erstellen Sie „native“ Okta-Gruppen mit demselben Namen wie die Anwendungsgruppe(n)/Workspace(s) – in diesem Beispiel die importierten Gruppen Administrators und Workspace.
-
Wählen Sie eine erstellte Okta-Gruppe aus und klicken Sie dann auf die Schaltfläche Manage Apps. Weisen Sie im Fenster Assign Applications to <group name> der Gruppe die SCIM-Anwendung zu und klicken Sie nach Abschluss auf 
.
-
Gehen Sie zurück zur Seite Groups und wählen Sie die Registerkarte Push Groups. Wählen Sie Find groups by name option aus dem Menü der Schaltfläche Push Groups.
-
Geben Sie den Gruppennamen ein (hier Group Administrators) und wählen Sie dann die Option Link Group, um ihn mit der Anwendungsgruppe zu verknüpfen. Speichern Sie diese Verknüpfungskonfiguration ().
Verwalten von Benutzern und Gruppen
Sie sollten jetzt in der Lage sein, Mitglieder zu den vorhandenen Anwendungsgruppen hinzuzufügen oder aus ihnen zu entfernen.
-
Erstellen Sie einen neuen Okta-Benutzer (Directory » People, dann Add Person auswählen). Stellen Sie sicher, dass der Benutzer eine eindeutige E-Mail-Adresse hat, die in AltiumLive noch nicht existiert.
-
Fügen Sie den neuen Benutzer zu einer Okta-Gruppe hinzu, die der SCIM-Anwendung zugewiesen ist (Directory » Groups, eine Gruppe auswählen und dann Assign People verwenden).
-
Prüfen Sie, ob der Benutzer im Company Dashboard angezeigt wird.
Um über die SCIM-Anwendung eine neue Benutzergruppe zu erstellen, legen Sie auf der Seite Groups eine neue Okta-Gruppe an (
) und suchen dann auf der Registerkarte Push Groups nach dem neuen Gruppennamen und wählen die Option Create Group (anstatt „Link Group“).
Die konfigurierte SCIM-Anwendung sollte Folgendes ermöglichen:
-
Ändern von Vorname / Nachname und E-Mail eines Benutzers.
-
Ändern der Mitgliedschaft einer Gruppe.
-
Ändern des Namens einer Gruppe.
-
Erstellen einer Gruppe.
-
Löschen einer Gruppe – heben Sie die Verknüpfung der Gruppe unter Push Groups mit der Option zum Löschen aus der App auf.
-
Aktivieren oder Deaktivieren eines Benutzers – ein aktivierter Benutzer erhält eine Aktivierungs-E-Mail.
Workspaces ähneln Benutzergruppen in Okta, unterstützen jedoch nur die Verwaltung der Mitgliedschaft. Sie können keinen neuen Workspace erstellen oder einen bestehenden umbenennen.
Nachdem Sie einen Benutzer zu einer Workspace-Gruppe hinzugefügt oder daraus entfernt haben, können Sie das Ergebnis über die Altium 365 Workspace-Oberfläche prüfen.
-
Der neue SCIM-Benutzer sollte sich per SSO anmelden können
-
Der neue SCIM-Benutzer sollte automatisch in den Workspace eingeladen werden.
-
Eine E-Mail-Einladung wird nicht an den Benutzer gesendet.
Erweitern Sie den unten stehenden ausklappbaren Abschnitt für ein schrittweises Beispiel des Integrations- und Provisionierungsprozesses für Microsoft Entra ID als Identity Provider:
SAML login with Microsoft Entra ID
Integration mit Microsoft Entra ID
SAML-Anwendung:
-
Melden Sie sich beim Microsoft Entra admin center an.
-
Wählen Sie Identity und dann die Option Enterprise applications.
-
Erstellen Sie Ihre eigene Anwendung.
-
Wählen Sie Users and groups und dann Add user/group.
-
Wählen Sie Single sign-on, Step 1 und dann Edit.
-
Kopieren Sie () die Einträge Entity ID und Single Sign On URL aus dem Abschnitt Altium Sign-On Settings der Seite Authentication im Company Dashboard. Fügen Sie die kopierten Zeichenfolgen in die Felder Entity ID und Assertion Consumer Service URL im Bereich SAML Configuration der Microsoft Entra-App ein. Stellen Sie sicher, dass die Kästchen Default für diese Felder aktiviert sind, und speichern Sie dann die Konfiguration.
-
Laden Sie die erstellte Federation Metadata XML herunter.
-
Laden Sie die Federation Metadata XML auf die Seite Authentication im Company Dashboard hoch (den Bereich 2. SAML Identity Provider configuration des Abschnitts Altium Sign-On Settings) und testen Sie anschließend die SAML-Integrationsverbindung.
Provisionierung:
-
Wählen Sie im Microsoft Entra-App-Verwaltungsbildschirm im linken Bereich Provisioning und dann die Schaltfläche Get started.
-
Setzen Sie Provision MODE auf Automatic.
-
Kopieren Sie () die Einträge Base URL und API Token aus dem Abschnitt Provisioning der Seite Authentication im Company Dashboard und fügen Sie sie jeweils in die Felder Tenant URL und Secret Token ein.
-
Klicken Sie auf die Schaltfläche Test Connection für Microsoft Entra Provisioning, und wenn die Anmeldedaten erfolgreich autorisiert wurden, Save Sie die Konfiguration.
-
Im Abschnitt Mappings gibt es zwei auswählbare Sätze von Attributzuordnungen – einen für Gruppenobjekte und einen für Benutzerobjekte.
-
Wählen Sie jede Zuordnung aus, um die Attribute zu prüfen, die von Microsoft Entra ID mit Ihrer App synchronisiert werden. Die als Matching properties ausgewählten Attribute werden verwendet, um die Benutzer und Gruppen in Ihrer App für Aktualisierungsvorgänge abzugleichen. Wählen Sie Save, um Änderungen zu übernehmen.
Sie können die Synchronisierung von Gruppenobjekten optional deaktivieren, indem Sie die Gruppen-Zuordnung deaktivieren.
-
Unter Settings definiert das Feld Scope, welche Benutzer und Gruppen synchronisiert werden. Wählen Sie Sync only assigned users and groups (empfohlen), um nur Benutzer und Gruppen zu synchronisieren, die auf der Seite Users and groups zugewiesen sind.
-
Nachdem Ihre Konfiguration abgeschlossen ist, setzen Sie Provisioning Status auf On.
-
Wählen Sie Save, um den Microsoft Entra-Provisionierungsdienst zu starten.
Erweitern Sie den unten stehenden ausklappbaren Abschnitt für ein schrittweises Beispiel des Integrationsprozesses für JumpCloud als Identity Provider:
SAML SSO Configuration with JumpCloud
Integration mit JumpCloud als Identity Provider
-
Wählen Sie in der JumpCloud-Oberfläche im Navigationsbaum SSO und dann auf der Seite SSO die Schaltfläche Add New Application.
-
Geben Sie im Konfigurationsfenster bei Search 'saml' ein, um Custom SAML App zu finden und anschließend zu installieren.
-
Benennen Sie Ihre Instanz von Custom SAML App – in diesem Beispiel lautet die Bezeichnung 'Altium'.
-
Wechseln Sie in der JumpCloud-Konfigurationsoberfläche auf die Registerkarte SSO. Kopieren Sie () die Einträge Entity ID und Single Sign On URL aus dem Abschnitt Altium Sign-On Settings der Seite Authentication im Company Dashboard und fügen Sie sie jeweils in die Felder SP Entity ID und Default URL ein.
-
Geben Sie den JumpCloud-Endpunkt IDP URL ein und aktivieren Sie die Option Declare Redirect Endpoint.
-
Wechseln Sie in der JumpCloud-Oberfläche auf die Registerkarte Identity Management. Kopieren Sie () die Einträge Base URL und API Token aus dem Abschnitt Provisioning der Seite Authentication im Company Dashboard und fügen Sie sie jeweils in die Felder Base URL und Token Key ein. Geben Sie außerdem eine geeignete Test-E-Mail-Adresse ein.
-
Führen Sie einen Test Connection durch; daraufhin wird oben rechts auf der Seite eine Bestätigungsmeldung angezeigt (wie unten dargestellt).
-
Deaktivieren Sie die Option Group Management (Häkchen entfernen) und Activate Sie anschließend die Konfiguration.
Hinweis: Wenn oben auf der Seite ein Verbindungsfehler wie 'There was a problem activating Identity Management' oder unten auf der Seite 'Test filter user: unable to get or create user from service' angezeigt wird, versuchen Sie, eine andere Test-E-Mail-Adresse einzugeben, und wählen Sie dann erneut Activate.
-
Zurück in der JumpCloud-Oberfläche auf der Registerkarte SSO können Sie mit der Option Export Metadata die resultierende SAML-Metadaten-XML-Datei herunterladen.
-
Importieren Sie auf der Seite Authentication im Company Dashboard die heruntergeladene Metadaten-XML-Datei und starten Sie dann mit der Schaltfläche Test Sign On einen Integrationstest. Anschließend sollte ein erfolgreiches Ergebnis des Integrationstests angezeigt werden. Nach der Verbindungsbestätigung können Sie die Option Altium Sign-On Settings und dann die Option SSO im Abschnitt Authentication methods aktivieren.
Erweitern Sie den unten stehenden ausklappbaren Abschnitt für ein schrittweises Beispiel des Integrationsprozesses für Microsoft AD FS als Identity Provider:
SSO SAML Authentication with Microsoft AD FS
SSO-SAML-Authentifizierung mit Microsoft Administrative Domain Federated Services (AD FS)
Führen Sie die unten beschriebenen Schritte aus, um die Anmeldung Ihrer Altium 365-Organisation so einzurichten, dass für die SSO-Authentifizierung Ihre AD FS-Instanz verwendet wird.
Voraussetzungen
Einrichten von AD FS
-
Öffnen Sie die Anwendung AD FS Management (normalerweise Start → Windows Administrative Tools → AD FS Management).
-
Navigieren Sie zu Relying Party Trusts und klicken Sie auf die Option Add Relying Party Trust... (1).
-
Stellen Sie im Popup-Fenster sicher, dass Claims aware (2) ausgewählt ist, und klicken Sie auf Start (3).
-
Wählen Sie im Schritt Select Data Source Enter data about the relying party manually (1) aus und klicken Sie auf Next (2).
-
Geben Sie einen Anzeigenamen für die Vertrauensstellung an. In diesem Beispiel wird AltiumLive als Anzeigename verwendet.
-
Abhängig von Ihrer Sicherheitskonfiguration können Sie optional ein Token-Verschlüsselungszertifikat angeben. Für die Zwecke dieses Leitfadens werden wir keines verwenden.
-
Stellen Sie im Schritt Configure URL sicher, dass die Option Enable support for the SAML 2.0 WebSSO protocol (1) ausgewählt ist, und geben Sie https://identity.live.altium.com/AssertionConsumerService in das Feld Relying party SAML 2.0 SSO service URL: (2) ein. Klicken Sie auf Next (3).
-
Geben Sie im Schritt Configure Identifiers einen Bezeichner für diese Vertrauensstellung in das Eingabefeld (1) ein. Der Bezeichner muss aus dem Eintrag Entity ID stammen, der sich im Bereich SAML Single Sign-On der Seite Dashboard Authentication befindet. Klicken Sie unbedingt auf die Schaltfläche Add (2).
Das Ergebnis sollte wie folgt aussehen. Klicken Sie auf Next.
-
Abhängig von Ihrer Sicherheitskonfiguration können Sie im nächsten Schritt optionale Zugriffssteuerungsrichtlinien auswählen. Für dieses Beispiel wählen wir keine zusätzlichen Richtlinien aus und fahren mit der Option Permit everyone fort.
-
Prüfen Sie die Konfiguration und wählen Sie Next.
-
Nicht alle Einstellungen sind beim Einrichten der Vertrauensstellung verfügbar. Um zuzulassen, dass SHA-1 als sicherer Hash-Algorithmus verwendet werden kann, klicken Sie mit der rechten Maustaste auf den Namen von Relying Party Trust, den Sie gerade hinzugefügt haben, und wählen Sie Properties.
-
Wählen Sie im Eigenschaftenfenster die Registerkarte Advanced (1) und legen Sie SHA-1 als sicheren Hash-Algorithmus fest (2). Klicken Sie auf OK, um die Änderungen zu speichern.
-
Wählen Sie zurück im Fenster AD FS Management die von Ihnen hinzugefügte Relaying Party Trust aus und wählen Sie die Option Edic Claim Issuance Policy... .
-
Wählen Sie im Fenster Edit Claim Issuance Policy Add Rule...
-
Stellen Sie im Schritt Choose Rule Type des Assistenten sicher, dass Send LDAP Attributes as Claims ausgewählt ist, und klicken Sie dann auf Next.
-
Geben Sie ein Claim rule name (1) an, wählen Sie Active Directory als Attribute store (2) aus und wählen Sie ein LDAP Attribute (3) aus der ID, die den Benutzernamen für das Altium Account enthält. Dieses Attribut muss im Outgoing Claim Type (3) auf Name ID abgebildet werden. Klicken Sie auf Finish (4).
Important Note: In diesem Beispiel haben wir Surname oder Last name so zugeordnet, dass sie den erforderlichen Wert enthalten. Ihre Konfiguration kann davon abweichen.
-
Stellen Sie sicher, dass die Richtlinie für die Anspruchsausstellung gespeichert wird, indem Sie auf OK klicken.
Damit ist die Einrichtung von AD FS abgeschlossen.
Important Note: Laden Sie die Datei FederationMetadata.xml vom entsprechenden Server herunter.
Einrichten von Altium 365
-
Greifen Sie auf die Seite Authentication des Company Dashboard zu und laden Sie die zuvor heruntergeladene Datei FederationMetadata.xml hoch (weitere Informationen finden Sie im Abschnitt Dashboard SSO Configuration unten). Die Konfiguration sollte importiert werden, und die Werte von X509 Certificate, Identity Provider Issuer und IdP Single Sign-On URL sollten sichtbar sein. Klicken Sie auf die Schaltfläche Test Sign On , um die Einrichtung zu testen.
-
Geben Sie im Anmeldebildschirm die Benutzeranmeldedaten entsprechend den Anforderungen Ihrer Organisation ein und klicken Sie auf Sign in.
-
Die Assertion wird an Altium 365 zurückgesendet. Wenn auf dem Bildschirm eine Meldung Test SAML connection was successful! angezeigt wird, wurde die Konfiguration korrekt abgeschlossen. Sie können die SAML-Antwort anzeigen, indem Sie auf die Schaltfläche See Response klicken. Klicken Sie auf Back to Settings , um zur Seite Authentication zurückzukehren.
-
Aktivieren Sie auf der Seite Authentication die Optionen Altium Sign-On Settings und SSO .
Damit ist die Einrichtung abgeschlossen. Ab diesem Zeitpunkt sollten sich Benutzer in Ihrer Organisation mit dem AD FS Ihrer Organisation als SSO-IdP bei Altium 365 anmelden können.
Erweitern Sie den ausklappbaren Abschnitt unten für ein Schritt-für-Schritt-Beispiel des Integrationsprozesses für AWS IAM Identity Center als Identity Provider:
SSO SAML Configuration with AWS IAM Identity Center
SSO-SAML-Konfiguration mit Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center
-
Gehen Sie zu IAM Identity Center und fügen Sie eine benutzerdefinierte SAML-2.0-Anwendung hinzu (Add Application).
-
Kopieren Sie () die Einträge Entity ID und Single Sign On URL aus dem Abschnitt Altium Sign-On Settings der Seite Authentication im Company Dashboard und fügen Sie sie in die AWS-Metadaten-URL-Einstellungen ein. Bestätigen Sie die Einstellungen mit Submit.
-
Laden Sie die Metadatendatei aus dem Bereich IAM Identity Center metadata herunter.
-
Gehen Sie zu Edit attribute mappings.
-
Fügen Sie ${user:email} und Format als unspecified hinzu.
-
Erstellen Sie neue Benutzer in AWS – die Namen der Benutzer sollten das Format user@domain.com haben.
Weisen Sie die Anwendung den erstellten Benutzern oder einer Gruppe zu.
-
Die Option Provisioning auf der Seite Authentication des Company Dashboard sollte deaktiviert sein.
Derzeit wird automatisches ausgehendes Provisioning über SCIM von AWS nicht unterstützt.
-
Stellen Sie sicher, dass dieselben Benutzer sowohl auf der Altium- als auch auf der IAM-Seite vorhanden sind. Die Benutzernamen sollten dem Format user@domain.com folgen.
-
Laden Sie auf der Seite Authentication des Company Dashboard die zuvor heruntergeladene XML-Datei hoch (weitere Informationen finden Sie unten im Abschnitt Dashboard SSO Configuration). Klicken Sie auf die Schaltfläche Test Sign On , um die Einrichtung zu testen.
-
Dann werden Sie zur AWS-Anmeldeseite weitergeleitet. Geben Sie Ihre AWS-Benutzeranmeldedaten ein. Sie sollten zurück zum Dashboard weitergeleitet werden und die Meldung Test SAML connection was successful! sehen.
-
Aktivieren Sie nach einem erfolgreichen Test die Optionen Altium Sign-On Settings und SSO .
Dashboard SSO Configuration
Um das SSO-System im Dashboard zu konfigurieren (falls noch nicht erfolgt), verwenden Sie auf der Seite Authentication die Schaltfläche 
, um die von dem IdP Ihres Unternehmens generierte SAML-IdP-Konfigurations-XML-Datei zu suchen und hochzuladen – siehe die obigen Beispiele zur IdP-Integration. Alternativ können Sie den Link enter manually verwenden, um die einzelnen Elemente der Konfiguration (Sicherheitszertifikat und URLs) hinzuzufügen.
Eine hochgeladene IdP-XML-Datei wird vom System analysiert, um die wichtigsten Konfigurationsfelder (X509 Certificate, Identity Provider Issuer URL und IdP Single Sign-On URL) zu extrahieren, die bei Bedarf manuell bearbeitet werden können (
).
SSO wird erst aktiviert, wenn ein Integration Test ausgeführt wird, das über die Schaltfläche 
aufgerufen wird. Dadurch werden der SSO-Identitätsprozess und die SSO-Anmeldung Ihres Unternehmens verifiziert, und anschließend wird eine Bestätigungsmeldung bereitgestellt, die die Option enthält, den Ergebniscode der SAML-Autorisierung zu prüfen (
).
Zurück auf der Seite Authentication wird die Gültigkeitsprüfung der Konfiguration als erfolgreich gemeldet, und die Single-Sign-On-Funktion des Company Account kann aktiviert werden (
). Wenn SSO später entweder manuell oder als Reaktion auf eine Konfigurationsänderung deaktiviert wird, wird die Schaltfläche verfügbar, damit der Testvorgang wiederholt werden kann.
Beachten Sie, dass der Abschnitt Provisioning Benutzer bereits mit den SCIM-Einstellungen von Altium vorkonfiguriert ist, um das Provisioning von Benutzern/Gruppen über den Identity Provider (IdP) Ihres Unternehmens zu unterstützen, z. B. Okta, OneLogin usw.
Important: Die erforderlichen User-Profile-Attribute für erfolgreiches Provisioning sind:
Mehrere Organisationen mit einem SSO-Provider
Wenn Ihr Unternehmen mehr als eine Altium Organization unter dem Altium Account des Unternehmens hat – beispielsweise eine Organization für jede globale Region –, kann ein einzelner SSO Identity Provider verwendet werden, um die SSO-Authentifizierung für das gesamte Unternehmen mithilfe eines erweiterten Dashboard-Formats Entity ID zu verwalten.
Das Format Entity ID (standardmäßig https://live.altium.com) wird um ein für die aktuelle Organization generiertes GUID-Suffix erweitert. Dieses erweiterte URL-Format kann dann für eine bestimmte SSO-Provider-Anwendung verwendet werden, die dieser Altium Organization zugeordnet ist. Andere Organizations unter dem Altium Account Ihres Unternehmens mit unterschiedlichen GUID-Entity ID-Suffixen können mit verschiedenen SSO-Anwendungen unter demselben SSO Identity Provider verknüpft werden. In der Praxis bedeutet dies, dass die SSO-Anmeldeauthentifizierung für das gesamte Unternehmen innerhalb eines einzigen SSO Identity Provider verwaltet werden kann.
Die erweiterte Entity ID, die der aktuellen Dashboard Organization zugeordnet ist, kann einer bestimmten SSO-Provider-Anwendung zugewiesen werden.
So aktivieren Sie die erweiterte Entity ID für eine aktive SAML-SSO-Konfiguration:
-
Deaktivieren Sie Altium Sign-On Settings.
-
Aktualisieren Sie die Seite, um eine Neugenerierung der URL Entity ID in ihr erweitertes Format auszulösen: https://live.altium.com/XXXXXXXXXX. Die aktuelle Organization kann nun über ihre erweiterte Entity ID eindeutig identifiziert werden.
-
Ändern Sie in der Anwendungsverwaltungsoberfläche des Identity Providers die Referenz Entity ID der Anwendung – typischerweise als Variante von „Audience“ oder „Entity“ bezeichnet – auf die neue erweiterte Version, die aus dem Altium Dashboard kopiert wurde. Speichern Sie die Einstellungen.
-
Aktivieren Sie Integration test im Dashboard und aktivieren Sie Altium Sign-On Settings erneut.
Dieser Vorgang kann für die anderen Altium Organizations Ihres Unternehmens wiederholt werden, die jeweils mit ihrer eigenen dedizierten Anwendung innerhalb des SSO Identity Providers verknüpft sein sollten. Als Referenzbeispiel wird im hier enthaltenen Microsoft Entra ID setup guide in Schritt 3 eine benannte Anwendung erstellt und in Schritt 6 die Identifier (Entity ID) hinzugefügt.
Authentifizierungsmethoden
Neben einer Einrichtungsoberfläche zur Konfiguration der Altium-SSO-Konnektivität bietet die Seite Authentication im Dashboard auch globale und individuelle Kontrolle über die gesamte Bandbreite der Benutzeranmeldeoptionen – nämlich: traditionelles E-Mail/Passwort, Google®, Facebook® und Renesas-Anmeldung sowie Single Sign-On über den Identity Provider Ihrer Organisation. Die im Abschnitt Authentication methods der Seite aktivierten Optionen bestimmen die Anmeldemethoden, die allen Company-Account-Benutzern Ihrer Organisation zur Verfügung stehen.
Anmeldeoptionen können für einen individual-Benutzer konfiguriert werden, indem die Einstellungen in dessen Dashboard Altium Account-Eintrag bearbeitet werden. Wählen Sie auf der Seite Dashboard Users page des Benutzers die Schaltfläche 
, um auf dessen Optionen zum Überschreiben der Anmeldung zuzugreifen. Wenn diese Einstellungen bei aktivierter Option Override Authentication methods bearbeitet werden, haben sie nur für diesen Benutzer Vorrang vor den globalen Anmeldungseinstellungen auf der Seite Authentication.
Die Einstellungen für die Authentifizierungsüberschreibung können verwendet werden, wenn SSO die für eine Organisation erzwungene Anmeldemethode ist (alle anderen Optionen sind global deaktiviert), ein einzelner Benutzer jedoch eine bestimmte Art von Anmeldezugriff benötigt – zum Beispiel nur E-Mail/Passwort.
Individuelle Benutzer-Anmeldemethoden, die über die Einstellungen Override Authentication methods festgelegt wurden (wie oben), können mit der Option Reset users overrides im Abschnitt Authentication methods der Seite Authentication auf ihre Standardwerte zurückgesetzt werden. Dadurch werden die individuellen Anmeldeeinstellungen für alle Benutzer auf die globalen Authentifizierungsmethoden zurückgesetzt, die derzeit auf der Seite Authentication ausgewählt sind.
Konfiguration der 2-Schritt-Verifizierung
Gruppenadministratoren eines Company Account können die 2-Schritt-Verifizierung konfigurieren, um eine zusätzliche Sicherheitsebene bereitzustellen, damit Benutzer ihre Identität bestätigen können, wenn sie versuchen, sich mit ihren E-Mail-/Passwort-Anmeldedaten bei ihren Altium Konten anzumelden. Die zusätzliche Verifizierungsmethode kann so eingestellt werden, dass ein Einmalpasswort (OTP) per E-Mail gesendet oder ein OTP in einer Authenticator-Anwendung wie Google Authenticator oder Okta Verify generiert wird. Die 2-Schritt-Verifizierung kann für alle Benutzer im Company Account erzwungen werden, oder einzelne Benutzer können die 2-Schritt-Verifizierung für ihre Konten konfigurieren.
Die Konfiguration der 2-Schritt-Verifizierung auf Ebene des Company Account wird von einem Gruppenadministrator des Kontos im 2-Step Verification Bereich der Seite Dashboard Authentication durchgeführt. Aktivieren Sie dazu die Option Enforce 2-Step Verification und wählen Sie die erforderliche Method, entweder OTP via Email oder OTP via Authenticator App. Wenn die Option OTP via Authenticator App ausgewählt ist, wählen Sie die erforderliche App aus der Dropdown-Liste (Other, Okta oder Google). Optional können Sie einen Link im Feld Instructions Link (Optional) festlegen (dieser Link wird auf der Seite 2-Step Authentication angezeigt, wenn ein Benutzer versucht, sich anzumelden).
Wenn die Erzwingung der 2-Schritt-Verifizierung aktiviert ist und die Methode OTP via Authenticator App gewählt wurde, muss der Benutzer bei der ersten Anmeldung die abschließende Konfiguration vornehmen. Dabei muss ein Authenticator-Code zur bevorzugten Authenticator-Anwendung hinzugefügt werden, indem der bereitgestellte QR-Code mit der Anwendung gescannt oder der geheime Schlüssel eingegeben wird. Danach muss der von der Anwendung generierte Code in das Feld Enter code eingegeben werden. Nach dem Klicken auf Continue werden mehrere Wiederherstellungscodes bereitgestellt, die verwendet werden können, falls der Zugriff auf den Authenticator-Code in der Anwendung verloren geht. Diese Codes sollten an einem sicheren Ort aufbewahrt werden. Klicken Sie auf Done, um die Anmeldung beim Altium Konto abzuschließen.
Beachten Sie, dass sich Gruppenadministratoren des Company Account ohne den zusätzlichen Verifizierungsschritt anmelden, d. h., für die Anmeldung eines Gruppenadministrators sind nur E-Mail-/Passwort-Anmeldedaten erforderlich.
Alternativ kann die 2-Schritt-Verifizierung auf Ebene des Altium Kontos konfiguriert werden, wenn die Erzwingung der 2-Schritt-Verifizierung auf Ebene des Company Account nicht aktiviert ist (die Option Enforce 2-Step Verification ist auf der Seite Dashboard Authentication deaktiviert). Wenn Sie bei Ihrem Altium Konto angemeldet sind, greifen Sie auf Ihr Profil zu (indem Sie oben rechts im Browserfenster auf Ihren Benutzer-Avatar/Ihr Benutzerbild klicken und im Dropdown-Menü My Profile auswählen) und öffnen Sie die Seite Authentication. Aktivieren Sie im Bereich 2-Step Verification der Seite die Option Enable 2-Step Verification und wählen Sie die erforderliche Method, entweder OTP via Email oder OTP via Authenticator App.
-
Wenn die Methode OTP via Email gewählt wurde, werden E-Mails zur Codeverifizierung an die E-Mail-Adresse Ihres Profils gesendet.
-
Wenn die Methode OTP via Authenticator App gewählt wurde, wählen Sie die erforderliche App aus der Dropdown-Liste (Other, Okta oder Google). Schließen Sie im angezeigten Fenster die Einrichtung der Anwendung wie oben beschrieben ab.
-
Wenn die Erzwingung der 2-Schritt-Verifizierung auf Ebene des Company Account aktiviert ist, spiegeln die Profileinstellungen die Einstellungen des Company Account im schreibgeschützten Modus wider.
-
Ein Gruppenadministrator des Altium Kontos des Unternehmens kann die 2-Schritt-Verifizierungseinstellungen eines Benutzers zurücksetzen (weitere Informationen).
Wenn das Altium Konto eines Benutzers Teil des Altium Kontos eines Unternehmens ist und die 2-Schritt-Verifizierung für das Altium Konto noch nicht konfiguriert wurde, wird dem Benutzer vorgeschlagen, die 2-Schritt-Verifizierung für sein Altium Konto zu konfigurieren, wenn er sich mit seiner E-Mail-Adresse und seinem Passwort anmeldet, selbst wenn die Erzwingung der 2-Schritt-Verifizierung auf Ebene des Company Account nicht aktiviert ist. Wählen Sie die bevorzugte Method und folgen Sie den weiteren Schritten zur Konfiguration der 2-Schritt-Verifizierung (die Konfiguration erfolgt ähnlich wie oben beschrieben). Alternativ können Sie auf Remind me in a week klicken, um die Konfiguration der 2-Schritt-Verifizierung zu verschieben.
Beachten Sie, dass ein Benutzer, für den keine 2-Schritt-Verifizierung konfiguriert ist und der Gruppenadministrator eines Company Account oder Administrator eines auf der Altium Platform gehosteten Workspace ist (d. h., der Benutzer ist Mitglied der Administratorgruppe in einem Workspace – weitere Informationen), die 2-Schritt-Verifizierung innerhalb eines Monats nach dem ersten Anmeldeversuch konfigurieren muss (
). Nach einem Monat ist das Steuerelement Remind me in a week nicht mehr verfügbar.
Gerätebasierte Authentifizierung
Benutzer können eine vom Gerät unterstützte gerätebasierte Authentifizierungsmethode (wie Windows Hello oder Face ID) konfigurieren, wenn sie sich beim Altium Konto anmelden.
Um die gerätebasierte Authentifizierung zu konfigurieren, klicken Sie auf der Altium Sign In Seite auf die Schaltfläche mit dem Fingerabdruck (https://auth.altium.com/).
Schließen Sie im nächsten Schritt die Anmeldung mit Ihrem Passwort ab und klicken Sie auf Continue.
Abhängig von Ihrem Gerät werden Ihnen Schritte zum Abschließen der Konfiguration der entsprechenden Authentifizierungsmethode angezeigt. Geben Sie nach Abschluss die gewünschte Device Name ein und klicken Sie auf Done.
Wenn Sie sich das nächste Mal mithilfe der gerätebasierten Authentifizierung anmelden möchten (indem Sie auf der Altium Sign In Seite auf die Schaltfläche mit dem Fingerabdruck klicken), wird Ihnen vorgeschlagen, die konfigurierte Methode für die Anmeldung zu verwenden.
Die konfigurierten gerätebasierten Authentifizierungsmethoden finden Sie in Ihrem Profil. Greifen Sie auf Ihr Profil zu (indem Sie oben rechts im Browserfenster auf Ihren Benutzer-Avatar/Ihr Benutzerbild klicken und im Dropdown-Menü My Profile auswählen) und öffnen Sie die Seite Authentication. Die konfigurierten Methoden werden im Bereich Authentication methods der Seite aufgeführt. Um eine konfigurierte Methode zu entfernen, verwenden Sie das Steuerelement Unlink account im entsprechenden Eintrag.
Verknüpfen eines Renesas Kontos
Sie können Ihr Altium Konto auch mit Ihrem Renesas Konto verknüpfen, um Letzteres bei der Anmeldung am Altium Konto zu verwenden. Greifen Sie dazu auf Ihr Profil zu (indem Sie oben rechts im Browserfenster auf Ihren Benutzer-Avatar/Ihr Benutzerbild klicken und im Dropdown-Menü My Profile auswählen) und öffnen Sie die Seite Authentication. Klicken Sie im Bereich Authentication methods der Seite auf das Steuerelement Link account in der Kachel Renesas.
Verwenden Sie die nachfolgenden Seiten, um sich bei Ihrem Renesas Konto anzumelden und es mit Ihrem Altium Konto zu verknüpfen. Sobald das Renesas Konto verknüpft ist, wird seine Kachel auf der Seite Authentication mit dem Steuerelement Unlink account angezeigt, das zum Entfernen der Verknüpfung zwischen den Konten verwendet werden kann.
Wenn dies durch globale und individuelle Einstellungen für Authentifizierungsmethoden zulässig ist (weitere Informationen), kann das verknüpfte Renesas Konto bei der Anmeldung an Ihrem Altium Konto verwendet werden.
AI-localized