Einrichten von Single Sign-On (SSO)

CA Agile Central On-Demand-Kunden mit einem SAML 2.0-kompatiblen Identity Provider (IdP) können ihr CA Agile Central-Abo für die Anmeldung bei CA Agile Central über Single Sign-On (SSO) konfigurieren. Der Schlüssel zu dieser sicheren SSO-Internetauthentifizierung ist der Webbrowser. Der Browser interagiert mit dem SAML 2.0-kompatiblen Identity Provider des Benutzers, überprüft die Anmeldeinformationen, erstellt die SAML-Assertion und sendet die Assertion an CA Agile Central.

Hinweis: Weder CA Agile Central-Arbeitselement-Connectors noch CA Agile Central SCM-Connectors unterstützen diese Funktion. Allerdings können diese Connectors im SSO-Ausnahmemodus verwendet werden. (Informationen dazu finden Sie im Bereich SSO mit Ausnahmen auf der Seite Verwenden von Advanced Security and Administration.)

Funktionsweise

  1. Greifen Sie zunächst auf CA Agile Central über die URL zu, die Ihr Identity Provider während des Setup-Prozesses erstellt hat, und melden Sie sich bei Ihrem Identity Management System an.
  2. Ihrem Browser wird ein SAML-Token bereitgestellt.
  3. Das SAML-Token wird an den Ping Federate Server von CA Agile Central gesendet.
  4. Wenn Sie ein gültiger CA Agile Central-Benutzer für das ausgewählte Abonnement sind, wird ein authentifiziertes Token zurück an Ihren Webbrowser gesendet.
  5. Der Browser sendet das authentifizierte Token an CA Agile Central. Dort wird es akzeptiert, und Sie sind für das entsprechende Abo berechtigt.

Setup

Um SSO einzurichten, muss Ihr Unternehmen über ein SAML 2.0-kompatibles Identity Management System (z. B. CA SiteMinder, Ping Connect, Oracle Access Manager [COREid] oder Tivoli Access Manager) und eine technisch versierte Person (oftmals ein IT-Administrator) verfügen, die es ausführt. Ihr Identify Management System-Administrator muss in der Lage sein, sich anzumelden und Ihr Identity Management System zu konfigurieren. Für Testzwecke empfiehlt es sich, dieser Person temporären Zugriff auf CA Agile Central bereitzustellen.

Wenn Sie kein Identity Management System eingerichtet haben, sollten Sie es in Betracht ziehen, CA SiteMinder einzurichten. Darüber hinaus sind sowohl Ping Identity als auch Symplified Partner von CA Agile Central mit Erfahrung bei der Implementierung von SSO.

Hinweis: Dieser Service ist nur für Kunden mit aktiven Produktionsabonnements verfügbar. Kostenlose, Sandbox- und Testabonnements sind für diesen Dienst nicht wählbar.
  1. Kontaktieren Sie den Support, um einen neuen Fall zu öffnen. Der CA Agile Central Support arbeitet mit Ihrem Identity Management System-Administrator zusammen.
  2. CA Agile Central Support sendet die Datei "CA Agile Central Service Provider metadata.xml" an Sie. Dazu gehören Informationen wie unser SSO-Server, welche Protokolle wir unterstützen und unser öffentlicher Signaturschlüssel. Diese metadata.xml ist Teil des SAML 2.0-Standards.
  3. Konfigurieren Sie eine Verbindung zwischen einem Identity Provider (IdP) und dem CA Agile Central Service Provider in der Software mit der CA Agile Central-Datei "metadata.xml" als Eingabewert.
  4. Stellen Sie sicher, dass Ihr Identity Provider (IdP) SP-initiierte SSO-Sitzungen zulässt.
  5. Exportieren Sie die IdP-Datei "metadata.xml" mit eingebettetem Zertifikat des öffentlichen Schlüssels. Diese Datei enthält Ihre eigenen Informationen wie Ihren SSO-Server, unterstützte Protokolle und Ihren öffentlichen Schlüssel.
    • Ihr SAML_SUBJECT muss das Format Ihrer CA Agile Central-ID aufweisen, beispielsweise @. CA Agile Central kann dies nicht für Sie ändern. Für Testzwecke kann Ihr CA Agile Central-Abonnementadministrator Ihren IT-Administrator zum CA Agile Central-Abonnement hinzufügen.
    • Wenn die Zuordnung nicht erfüllt werden kann, müssen CA Agile Central-Benutzer-IDs geändert werden, um dem Format von SAML_SUBJECT zu entsprechen, damit dies funktioniert.
  6. Übertragen Sie diese Datei auf sichere Weise an den CA Agile Central Support über den Link Support innerhalb des CA Agile Central-Produkts. Dies kann auch per E-Mail erfolgen, wenn beide Seiten SSL unterstützen.
  7. Der CA Agile Central Support sendet diese Datei an CA Agile Central Operations. CA Agile Central Operations richtet unsere SSO-Software für diese spezielle Verbindung ein. Wir stellen außerdem sicher, dass die richtige Abonnement-ID der Verbindung zugeordnet und dass SSO für dieses Abonnement aktiviert ist.
  8. Stellen Sie sicher, dass Sie sich über den IdP-Endpunkt anmelden können.
  9. Stellen Sie Ihren Benutzern die Umleitungs-URL bereit, damit sie sich bei CA Agile Central über SSO anmelden können.

Festlegen von Active Directory Federation Services (ADFS) SSO

  1. Öffnen Sie die ADFS 2.0-Verwaltungsanwendung.
  2. Erweitern Sie Vertrauensstellungen im linken Menü, und wählen Sie "Vertrauensstellungen der vertrauenden Seite" aus.
  3. Wählen Sie im Menü "Aktionen" die Option Vertrauensstellung der vertrauenden Seite hinzufügen.
  4. Wählen Sie Starten aus, um den Assistenten zu starten.
  5. Wählen Sie die Option Daten über die vertrauende Seite aus einer Datei importieren.
  6. Suchen Sie die CA Agile Central-Datei "metadata.xml" in Ihrem System, und wählen Sie Öffnen und anschließend Weiter im Assistentenbildschirm aus.
  7. Geben Sie Ihren Anzeigenamen ein, und wählen Sie Weiter.
  8. Wählen Sie die Autorisierungsregeln Ihrer Organisation. In der Regel verwenden die meisten Umgebungen die Option Alle Benutzer zulassen.
  9. Wählen Sie Weiter und anschließend Schließen aus.
  10. Stellen Sie sicher, dass das Feld Nach Abschluss des Assistenten das Dialogfeld "Anspruchsregeln bearbeiten" für diese Anspruchsanbieter-Vertrauensstellung öffnen ausgewählt ist, und klicken Sie dann auf Schließen.
  11. Wählen Sie im Fenster "Anspruchsregeln bearbeiten" die Option "Regel hinzufügen".
  12. Wählen Sie eine Vorlage für eine Anspruchsregel, und klicken Sie auf Weiter.
  13. Fügen Sie einen Namen für die Claim-Regel hinzu, wählen Sie das gewünschte Attribut, und ändern Sie die Attribute.

    *In diesem Beispiel versieht Active Directory LDAP-Eigenschaften für den ausgehenden Anspruch mit Attributen und ordnet sie zu. Das LDAP-Attribut ist die E-Mail-Adresse. Der ausgehende Anspruchstyp ist auf die Namens-ID festgelegt. (Abhängig von der IdP-Konfiguration Ihres Unternehmens müssen Sie evtl. eine andere Option als die Namens-ID auswählen.)

  14. Wählen Sie Fertig stellen aus.
  15. Wählen Sie Schließen aus.
  16. Sie können nun Ihre metadata.xml aus Ihrem Browser exportieren und dem CA Agile Central Support über Ihren Fall in Bezug auf das Setup der SSO-Instanz bereitstellen, sodass das CA Agile Central Operations-Team sie zur Finalisierung des Setup implementieren kann. Sie können die ADFS-Metadaten mit der URL https:///FederationMetadata/2007-06/FederationMetadata.xml speichern, wobei für Ihren Servernamen oder die IP-Adresse steht. Sobald dies abgeschlossen ist, bestätigt der CA Agile Central Support Ihre SSO-URL und stellt sicher, dass Sie sich ordnungsgemäß anmelden können.

 

Hinweis:
  • Der Namensteil der CA Agile Central-Anmelde-ID ([email protected]) muss mit der Anmelde-ID identisch sein, die das Identity Management System verwendet. Sollten sich diese Anmelde-IDs unterscheiden, funktioniert SSO für diesen Benutzer nicht, und Sie müssen die CA Agile Central-Anmelde-IDs entsprechend aktualisieren.
    • Wenn Sie Identity Management-Benutzernamen im Format "peter" verwenden, lassen viele IdP-Systeme die Verkettung des Teils @company.com zu. Dies ermöglicht es, dass die IdP-Benutzernamen mit dem Format [email protected] übereinstimmen.
  • Das Deaktivieren eines Benutzers in Ihrem IdP-System beendet seine Sitzung in CA Agile Central nicht sofort. Ein angemeldeter Benutzer hat weiterhin Zugriff, bis er sich bei CA Agile Central abmeldet, die Sitzung das Zeitlimit überschreitet oder ein Abonnementadministrator das Konto in CA Agile Central deaktiviert.
  • Ihr Identity Provider muss die Systemuhr mit einer zuverlässigen Zeitquelle synchronisieren; andernfalls sind die generierten Token ungültig und das SSO schlägt fehl.
  • SSO für CA Agile Central-On-Premises-Abonnements ist als LDAP-Lösung (nicht SSO) verfügbar. Weitere Informationen erhalten Sie beim CA Agile Central Support.

 

Häufig gestellte Fragen

  1. Wer ist Verantwortlicher der öffentlichen Schlüsselzertifikate (Drittanbieter-Clearinghouse wie Ping Identity) oder stellt CA Agile Central den Zertifikatserver bereit?
    Für bedarfsorientierte Benutzer ist ein Ping Federate Server in CA Agile Central installiert, der eine Kopie des öffentlichen Schlüssels für Ihr Identity Management System enthält. So können wir Token validieren, ohne private Zertifikate zu speichern. Wenn Sie mehr als eine Abonnement-ID haben, müssen Sie eine andere Service Provider-Verbindung für jede CA Agile Central-Abonnement-ID erstellen, die mit SSO authentifiziert werden soll.

  2. Können wir unsere eigenen Zertifikatserver bereitstellen?
    Ja, Sie können alle SAML-2.0-kompatiblen Identity Management Systems hinter der Firewall verwenden, um mit unserem Ping Federate Server zu kommunizieren. Sie müssen dieses Zertifikat in dem oben genannten angeforderten Format angeben.

  3. Dies dient der Authentifizierung. Nutzen Sie Autorisierung, oder planen Sie dies?
    Nein, wir haben keine Autorisierungspläne.

  4. Was sind einige der Herausforderungen, die wir beachten müssen?
    SSO erfordert einige Zeit bei der Konfiguration auf beiden Seiten. Das Identity Management System wird in der Regel von Ihrer IT-Abteilung verwaltet, einer Gruppe, mit der CA Agile Central nicht immer zusammenarbeitet. Es kann einige Zeit dauern, um den Ansprechpartner in Ihrer IT-Gruppe zu identifizieren, der die neue Service Provider-Verbindung und die XML-Metadatendatei für den öffentlichen Schlüssel erstellen kann, die CA Agile Central zur Aktivierung von SSO benötigt. Identifizieren Sie diese Person, bevor Sie Anrufe beim CA Agile Central Support planen.

  5. Gibt es eine Best Practice für SSO, beispielsweise mit einer kleinen Gruppe beginnen und skalieren oder einfach loslegen?
    Für bestehende Kunden gibt es einen Hybridmodus, der SSO- und CA Agile Central-Authentifizierung ermöglicht. Es wird empfohlen, diesen Modus beim Einrichten zu verwenden und erst zur reinen SSO-Authentifizierung zu wechseln, nachdem alle Benutzer sich mit SSO anmelden konnten. Wenn Sie zur reinen SSO-Authentifizierung wechseln, können Benutzer sich nur hinter der Unternehmensfirewall bei CA Agile Central anmelden. Wenn Benutzer in der Lage sein sollen, sich zuhause bei CA Agile Central anzumelden (oder von einem beliebigen Webspeicherort, der sich nicht hinter Ihrer Firewall befindet), sollten Sie Ihre CA Agile Central-Verbindung für den Hybridmodus einrichten.

  6. Was passiert, wenn ein Benutzer sein Kennwort vergessen hat?
    Die Antwort hängt davon ab, für welche Art von SSO das Abonnement konfiguriert wurde:
    1. Abonnements mit dem Modus Nur SSO müssen vom internen IT-Team zurückgesetzt werden, da CA Agile Central keinen Zugriff auf dieses Kennwort-Repository hat.
    2. Für Abonnements mit SSO-Hybridmodus kann das CA Agile Central-Kennwort (SSO-Token funktioniert noch nicht) oder das interne SSO-Kennwort (CA Agile Central-Kennwort funktioniert noch nicht) zurückgesetzt werden.

  7. Heute erhalten Benutzer E-Mails mit Kennwortablaufbenachrichtigungen, die warnen, dass Kennwörter bald ablaufen. Werden diese entfernt, wenn wir in den Modus SSO nur mit Ausnahmen wechseln?
    Ja, diese werden für alle entfernt, die nicht in der Ausnahmeliste stehen.

  8. Nach dem Wechsel zum Modus SSO nur mit Ausnahmen gelangt ein reiner SSO-Benutzer zur Kennwortänderung auf der Profilseite, oder wird dieser Bereich nicht mehr angezeigt?
    Dieser wird nicht mehr auf der Profilseite angezeigt.

  9. Was würde passieren, wenn ein reiner SSO-Benutzer zur Anmeldeseite von CA Agile Central geht und Kennwort vergessen auswählt?
    Das CA Agile Central-System sendet ihm einen Link mit den SSO-Informationen für Ihr Abonnement.

  10. Können wir Integrationen und Apps verwenden?
    Integrationen unterstützen derzeit keine SAML-basierte Authentifizierung. Es ist möglich, eine Integration zu schreiben, die ein SAML-Token von einem Identity Provider anfordern kann, aber dies wurde noch nicht gemacht. Kunden, die Integrationen oder die Webservices-API verwenden, werden wahrscheinlich den Modus SSO mit Ausnahmen oder einen API-Schlüssel wählen. Die Verwendung der Webservices-API über benutzerdefinierte CA Agile Central-Anwendungen im Browser wird unterstützt, da sie ein Cookie im Rahmen des Anmeldeprozesses erhalten können.

  11. Wie lange dauert das Setup?
    Nachdem Sie den richtigen Ansprechpartner in Ihrer IT-Abteilung identifiziert haben, dauert es ein paar Tage, bis SSO verwendet werden kann.

  12. Ist CA Agile Central-SSO für alle CA Agile Central-Editionen verfügbar, und fallen zusätzliche Kosten an?
    SSO ist im Lieferumfang von Unlimited Edition-Abonnements ohne zusätzliche Kosten enthalten. Wenn Sie Enterprise Edition verwenden, wenden Sie sich an Ihren CA Agile Central Account Manager, um ein Upgrade auf Unlimited Edition zu erörtern.

  13. Können wir dies auf Sandbox testen?
    SSO ist nicht auf sandbox.rallydev.com verfügbar. Es kann sicher im Hybridmodus in der Produktion getestet werden, ohne dass es Konflikte mit anderen Benutzern in Ihrem Abonnement gibt.

  14. Wenn ich ein SSO-Benutzerkonto deaktiviere, wird er direkt bei CA Agile Central abgemeldet?
    Nein. Wenn er bei CA Agile Central während der Deaktivierung des SSO-Kontos angemeldet war, kann er weiterhin auf CA Agile Central zugreifen, bis er sich abmeldet oder bis seine Sitzung das Zeitlimit erreicht und er gezwungen wird, sich erneut zu authentifizieren.

  15. Wie exportiere ich eine Metadatendatei aus ADFS?
    Im Allgemeinen befinden sich die ADFS-Metadaten unter https:///FederationMetadata/2007-06/FederationMetadata.xml, wobei für Ihren Servernamen oder die IP-Adresse steht. Sie können die Datei speichern.

  16. Wenn ich keinen Identity Provider (IdP) verwende, kann ich SSO trotzdem aktivieren?
    Vielleicht. Kontaktieren Sie die für Ihr Konto zuständige Person, und bitten Sie sie, unser Technical Services-Team einzubeziehen, um mit dem Discovery-Prozess zu beginnen.

  17. Wie sieht eine Beispiel-Metadatendatei aus?
    0jMS2Redw9hkax3mk0gs0zvN92A=
        A8AoyWPlgCZ4vhqDkDylu530TFiv1+374ekc8xzOKMUsn2B2H4IbVfrqou4SdIRK/WU52lkkItc6
        CbznJokbWZSoxfpEe9aAuLMJn4cS6Ln1qDCw0X3BXCPQ6+H16Yy3ZTYq5gSHo18GEOqe9iW9872k
        RfPgcVNAuqszdxTY5BkX7v5g9Grc8ALNYYVWssMaXJUNdm/oiq//WYAZxxFXa7f3kEY2ltQKaaQv
        3n/SLWzDAdBl1NNBaRC4a1QyrInec019AjpoQ2W+h4FER121xUlGyx0AX+M0ZEmY3+7PuusC6sWS
        af1jdUid9E2jNxTJJwvmqSPOKBKIXAnM1okrJA==
        
        MIIDPjCCAiagAwIBAgIGAS2WHAUZMA0GCSqGSIb3DQEBBQUAMGAxCzAJBgNVBAYTAlVTMQswCQYD
        VQQIEwJDTzEQMA4GA1UEBxMHQm91bGRlcjEXMBUGA1UEChMOUmFsbHkgU29mdHdhcmUxGTAXBgNV
        BAMTEHNzby5yYWxseWRldi5jb20wHhcNMTEwMTE3MjIzMjU0WhcNMzgwNjA0MjEzMjU0WjBgMQsw
        CQYDVQQGEwJVUzELMAkGA1UECBMCQ08xEDAOBgNVBAcTB0JvdWxkZXIxFzAVBgNVBAoTDlJhbGx5
        IFNvZnR3YXJlMRkwFwYDVQQDExBzc28ucmFsbHlkZXYuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOC
        AQ8AMIIBCgKCAQEAlfegSpv/FnbkyoZshy3pm5zghS/losCo026l1Li2MO4ZVuWncbaXduMmg36F
        1qFJGxS3OYepXdhgQaLrfk1WqqILwM++xuGLCoeaKfsnXXuDVa2AtzQwBk7TyMCWFyVw1+AOT9wX
        /cX1Pd77nenQ9rq5Cc51PxfciEtD/r0M9XtVv3R2shOH4yKAslRGbEpoepENsy+vSid/vprlEqXL
        c+jQ59WbXffl1qZDf9xB7CeQhdefeklsEzXIpVvYeyYV+J0D7V0GvJRchokEb3IQYRUIefElrAGi
        7f5HEU8rat7bReHzLgzN80OS6UzS0affQZ+LUwXeRN0ACPYspe+72QIDAQABMA0GCSqGSIb3DQEB
        BQUAA4IBAQCUPiGKwasTqvkQxEsqFDFL4FWVJUii6Io5Jh+aBbHhUKqZ7Z6CrnXFVFmQa9avrAmd
        yzE6kkPDWUioYVoENrM2nxjGpsqic7f/uw23cctl2OJxmqLdHUPEapf77VRsiGXQvcnrfevo2Iw7
        6RKho9QLIEU3kOAcM/cZnUxxaK0H3yLsCjuUptiLWqUvqYKuyMheHd4gsZl7t6yGtM0oEyTs8xLS
        smYrHIvQyyXWdJxQar3 + lWg9K8qJbxQdbcp4E5ipafKluPmXuG09wujIDgIpyLeu/ALCKiOCvRlp
        BH9qLawXx7oGN4skw4SoQTI8dnZ+mrP6qADWOT79cIc0OHvM
            
        LfegSpv/FnbkyoZshy3pm5zghS/losCo026l1Li2MO4ZVuWncbaXduMmg36F1qFJGxS3OYepXdhg
        QaLrfk1WqqILwM ++ xuGLCoeaKfsnXXuDVa2AtzQwBk7TyMCWFyVw1 + AOT9wX/cX1Pd77nenQ9rq5
        Cc51PxfciEtD/r0M9XtVv3R2shOH4yKAslRGbEpoepENsy+vSid/vprlEqXLc+jQ59WbXffl1qZD
        f9xB7CeQhdefeklsEzXIpVvYeyYV+J0D7V0GvJRchokEb3IQYRUIefElrAGi7f5HEU8rat7bReHz
        LgzN80OS6UzS0affQZ+LUwXeRN0ACPYspe+72Q==
              AQABCA Agile Central Software Development Corp.OperationsTeam[email protected]303-565-2800

Feedback

Benötigen Sie weitere Informationen? Die CA Agile Central-Community ist Ihre zentrale Anlaufstelle für Self-Service und Support. Treten Sie der CA Agile Central-Community bei, um dem CA Agile Central-Support Feedback mitzuteilen oder Fälle zu melden, Antworten zu finden oder mit anderen Benutzern zusammenzuarbeiten.