SSO einrichten

Diese Funktion ist nur im Premium-Abonnement verfügbar.

Standardmässig loggen sich Benutzer mit E-Mail-Adresse und Passwort in hakuna ein. Mit SSO (Single Sign-on) können sich Mitarbeitende stattdessen über den Identity Provider (IdP) Ihres Unternehmens via OpenID-Connect (OIDC) einloggen. Dieser Artikel beschreibt, wie Sie OpenID-Connect für Ihr hakuna-Konto aktivieren und bei Ihrem Identity Provider konfigurieren können.

Grundlagen

  • hakuna unterstützt aktuell folgende Anbieter via Open-ID Connect. Falls Sie einen anderen Anbieter haben oder Ihren Identity Provider selber hosten, kontaktieren Sie bitte unseren Support, damit wir Ihren Anbieter freigeben können

    • Microsoft Azure AD

    • Google Cloud Authentication

    • Okta

    • OneLogin

  • Auto-Provisioning wird nicht unterstützt, d.h. Benutzer müssen vor dem ersten SSO-Login in hakuna mit der entsprechenden E-Mail-Adresse angelegt werden. Die E-Mail-Adresse in hakuna muss mit der hinterlegten E-Mail-Adresse des entsprechenden Benutzers beim Identity Provider entsprechen. Benutzer können sich auch ohne Verschicken einer Einladung (welches zum Setzen eines Passwort auffordert) via SSO bei hakuna anmelden

  • Single Sign-out wird nicht unterstützt

Schritt 1: SSO in hakuna aktivieren

Die SSO-Funktion kann in den hakuna-Einstellungen (⚙️) unter Single Sign-On (SSO) aktiviert werden. Hier müssen im nächsten Schritt auch die Werte von Identity Provider eingetragen werden. Für die Konfiguration bei Ihrem Identity Provider benötigen Sie die Callback-URI (dieses Feld erscheint, nachdem die SSO-Funktion aktiviert wurde).

Schritt 2: SSO bei Ihrem Identity Provider konfigurieren

Für die Konfiguration von SSO benötigen Sie folgende Werte, welche Sie anschliessend bei hakuna eintragen müssen:

  • Authorize-URI

  • Token-URI

  • Client ID

  • Client Secret

Folgende Identity Provider wurden von uns mit hakuna auf Kompatibilität getestet. Falls Ihr Identity Provider nicht aufgeführt ist, funktioniert dieser voraussichtlich trotzdem mit hakuna, sofern OpenID-Connect unterstützt wird.

Microsoft Azure AD

  1. Melden Sie sich beim Azure AD Portal an

  2. Klicken Sie auf Ihr Azure Active Directory

  3. Klicken Sie App registration > New registration

  4. Wählen Sie einen Name, z.B. "hakuna"

  5. Hinterlegen Sie bei Redirect URI die Callback-URI von hakuna (Typ: Web): https://app.hakuna.ch/sso/oauth_callback. Klicken Sie auf Register

  6. Kopieren Sie die Application (client ID) in die SSO-Einstellungen von hakuna (Feld "Client ID")

  7. Klicken Sie oben auf Endpoints. Kopieren Sie aus dieser Liste den OAuth 2.0 authorization endpoint (v2) und OAuth 2.0 token endpoint (v2) in die SSO-Einstellungen von hakuna (Felder "Authorize-URI" bzw. "Token-URI"). Beispiel: https://login.microsoftonline.com/bf7b1673-10a0-4a11-9b44-6a71a32ac1dc/oauth2/v2.0/authorize und https://login.microsoftonline.com/bf7b1673-10a0-4a11-9b44-6a71a32ac1dc/oauth2/v2.0/token

  8. Klicken Sie auf Certificates & secrets

  9. Klicken Sie auf New client secret, wählen Sie eine Beschreibung und eine Ablauffrist. Klicken Sie auf Add

  10. Kopieren Sie Value des nun erstellten Secrets in die SSO-Einstellungen von hakuna (Feld "Client Secret")

Google Cloud Authentication

  1. Melden Sie sich bei Google Cloud mit einem Benutzer an, welcher privilegiert ist, Anmeldedaten zu verwalten

  2. Klicken Sie auf APIs und Dienste > Anmeldedaten

  3. Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID

  4. Wählen Sie Webanwendung als Anwendungstyp und hinterlegen Sie einen beliebigen Namen (z.B. "hakuna SSO")

  5. Klicken Sie bei Autorisierte Weiterleitungs-URIs auf URI hinzufügen und hinterlegen Sie dort die Callback-URI von hakuna: https://app.hakuna.ch/sso/oauth_callback

  6. Klicken Sie auf Erstellen

  7. Kopieren Sie aus dem nun geöffneten Dialogfeld die Client-ID sowie den Clientschlüssel in die SSO-Einstellungen von hakuna (Felder "Client ID" bzw. "Client Secret")

  8. Hinterlegen Sie in den SSO-Einstellung von hakuna die Authorize-URI und Token-URI der Google-Endpunkte (z.B. https://accounts.google.com/o/oauth2/v2/auth und https://oauth2.googleapis.com/token)

Okta

  1. Registrieren Sie in Okta für hakuna eine neue Applikation (Sign-in method: OIDC - OpenID-Connect Integration, Application type: Web Application)

  2. Hinterlegen Sie in dieser Applikation bei Sign-in redirect URI die Callback-URI von hakuna: https://app.hakuna.ch/sso/oauth_callback

  3. Kopieren Sie nach dem Speichern der Applikation die Client ID und Client Secret in die SSO-Einstellungen von hakuna

  4. Hinterlegen Sie in den SSO-Einstellungen von hakuna die Authorize-URI und Token-URI der Okta-Endpunkte (z.B. https://${yourOktaDomain}/oauth2/v1/authorize und https://${yourOktaDomain}/oauth2/v1/token)

OneLogin

  1. Registrieren Sie in OneLogin für hakuna einen neuen Custom Connector unter Applications > Custom Connectors > New Connector

  2. Wählen Sie einen Namen (z.B. "hakuna"), als Sign on method den Wert OpenID Connect und hinterlegen Sie bei Login URL folgende Callback-URI von hakuna: https://app.hakuna.ch/sso/oauth_callback. Speichern Sie danach via Save den Connector

  3. Unter More Actions, klicken Sie Add App to Connector. Speichern Sie die App via Save

  4. Klicken Sie links auf den Reiter SSO, wechseln Sie bei Token Endpoint die Authentication Method auf POST. Klicken Sie Save

  5. Kopieren Sie die Client ID und Client Secret aus dem Reiter SSO in die SSO-Einstellungen von hakuna

  6. Hinterlegen Sie in den SSO-Einstellung von hakuna die Authorize-URI und Token-URI der OneLogin-Endpunkte (z.B. https://<subdomain>.onelogin.com/oidc/2/auth und https://<subdomain>.onelogin.com/oidc/2/token)