Google Workspace mit OIDC

Führen Sie die folgenden Schritte aus, um Single Sign-On (SSO) für Claris Studio mit Google Workspaces unter Verwendung von OpenID Connect (OIDC) zu konfigurieren. Um Vertrauen zwischen Ihrem Identitätsdienstleister und einem Claris Studio-Team herzustellen, müssen Sie:

• Einen Google Cloud OIDC App-Client mit spezifischen Einstellungen für Claris Studio erstellen.

• Die Details der erstellten Anwendung in Claris Studio eingeben.

Vorbereiten für Google OIDC

Um dieser Anleitung zu folgen, benötigen Sie:

• Ein Google Workspace-Konto für Ihr Unternehmen mit Lizenzen für mehrere Benutzer

• Eine verifizierte Domäne für dieses Konto.

  Sie können überprüfen, ob Ihre Domäne verifiziert ist, indem Sie sich bei der Google Workspace-Konsole anmelden und sich vergewissern, dass keine Warnung für Verify Domain (Domäne verifizieren) angezeigt wird (wie hier dargestellt).

• Ein super admin-Konto für die Administratorkonsole Ihres Google Workspace. Das erste Benutzerkonto, das Google Workspace für Ihr Unternehmen eingerichtet hat, ist wahrscheinlich ein super admin-Konto.

Claris Studio Setup-Seite öffnen

1. Melden Sie sich bei Ihrem Claris Studio-Team an.

2. Klicken Sie links auf das Register Benutzer und dann auf Externen IdP konfigurieren.

   

3. Wählen Sie im Dialogfeld „Externen Identitätsanbieter konfigurieren“ für Protokoll die Option OIDC. Lassen Sie diese Seite geöffnet, um später zu ihr zurückzukehren.

Eine OIDC-Anwendung erstellen

1. Melden Sie sich in der Google Cloud Platform an und erstellen Sie ein neues Projekt. Geben Sie einen beschreibenden Namen ein und fügen Sie dann Ihre Organisation und den Standort der Organisation hinzu. Klicken Sie auf Erstellen.

   

2. Ihr neues Projekt ist jetzt ausgewählt. Falls das Navigationsmenü in der linken Seitenleiste noch nicht geöffnet ist, klicken Sie oben auf das Menüsymbol, um es zu öffnen.

   Wählen Sie APIs & Services (APIs und Dienste) > Credentials (Anmeldedaten). Oder rufen Sie die Seite Credentials (Anmeldedaten) auf.

   

3. Auf der Seite „Credentials“ (Anmeldedaten) finden Sie eine Warnung und eine Option zum Konfigurieren Ihres OAuth-Zustimmungsbildschirms. Klicken Sie auf Configure Consent Screen (Zustimmungsbildschirm konfigurieren) oder gehen Sie auf die Seite OAuth consent screen (OAuth-Zustimmungsbildschirm).

   

4. Wählen Sie für den OAuth-Zustimmungsbildschirm Internal (Intern) und klicken Sie dann auf Create (Erstellen).

   

5. Geben Sie auf dem nächsten Bildschirm die folgenden Details ein. Alle anderen Felder sind optional. Klicken Sie anschließend auf Save and Continue (Speichern und fortfahren).

   • App Name (Anwendungsname): Geben Sie einen Namen ein, der den Namen Ihres Claris Studio-Teams enthält, damit die Benutzer Ihres Unternehmens ihn bei der Anmeldung erkennen können (z. B. „Claris Studio – Muster GmbH, Vertriebsteam“).

   • User support email (Nutzersupport-E-Mail): Geben Sie die E-Mail-Adresse einer Person in Ihrer Organisation ein, an die sich Benutzer bei Fragen oder Anliegen wenden können.

   • Developer contact information (Kontaktdaten des Entwicklers): Geben Sie Ihre eigene E-Mail-Adresse ein.

   

6. Klicken Sie im Einrichtungsbildschirm „Scopes“ (Bereiche) auf Add or Remove scopes (Bereiche hinzufügen oder entfernen) und aktivieren Sie dann die folgenden Umfänge:

   • .../auth/userinfo.email mit der für den Benutzer sichtbaren Beschreibung See your primary Google Account email address (Primäre E-Mail-Adresse Ihres Google-Kontos sehen).

   • .../auth/userinfo.profile mit der für den Benutzer sichtbaren Beschreibung See your personal info... (Ihre persönlichen Informationen sehen...)

   Klicken Sie anschließend auf Update (Aktualisieren).

   

7. Klicken Sie auf Save and Continue (Speichern und fortfahren).

   

8. Kehren Sie zur Seite Credentials (Anmeldedaten) zurück (klicken Sie dazu in der linken Seitenleiste auf Credentials oder gehen Sie auf die Seite Credentials). Klicken Sie auf Create Credentials (Anmeldedaten erstellen) > OAuth client ID.

   

9. Wählen Sie für Application type (Anwendungstyp) die Option Web application (Webanwendung) und füllen Sie dann die folgenden Felder aus.

   • Name: Geben Sie einen aussagekräftigen Namen ein.

   • Authorized redirect URIs (Autorisierte Weiterleitungs-URIs): Kopieren Sie in Claris Studio die Weiterleitungs-URL der Anwendung (siehe „Claris Studio Setup-Seite öffnen“ weiter oben) und fügen Sie diese hier ein.

   Klicken Sie anschließend auf Create (Erstellen).

   

   

10. Sie sehen jetzt Ihre Client-ID und Client-Secret.

    Um die einzelnen Einträge zu kopieren, klicken Sie auf das Symbol für die Zwischenablage und speichern Sie den Wert an einem sicheren Ort. Diese beiden Werte benötigen Sie später.

    

Werte in Claris Studio eingeben

1. Gehen Sie zurück zur Claris Studio-Seite, die Sie zuvor geöffnet haben (siehe „Claris Studio Setup-Seite öffnen“).

2. Wählen Sie im Dialogfeld Externen Identitätsanbieter konfigurieren unter Protokoll die Option OIDC und geben Sie dann die folgenden Informationen ein:

   • Client-Secret: das Token für Client-Secret, das Sie zuvor kopiert haben

   • Client-ID: das Token für Client-ID, das Sie zuvor kopiert haben

   • Metadaten-URL: https://accounts.google.com/.well-known/openid-configuration

3. Wählen Sie eine oder mehrere Standardgruppen aus, bei denen Sie sich über diesen externen IdP anmelden möchten, und klicken Sie dann auf Anwenden.

   Wenn Sie noch keine Gruppen haben, können Sie hier eine erstellen und später Benutzer hinzufügen. Weitere Informationen finden Sie unter Mit Gruppen arbeiten.

   

4. Kopieren Sie auf der Seite „Benutzer“ den Link mit der Bezeichnung Anmelde-URL für die Anwendung und stellen Sie ihn den Benutzern zur Verfügung. Durch die Verwendung dieser URL können sie sich mit ihren SSO-Anmeldeinformationen bei Claris Studio anmelden.