SAML und SSO in Brandfolder

Mit SAML (Security Assertion Markup Language) können Sie schnell einen nahtlosen Authentifizierungsprozess für alle Ihre Brandfolder-Benutzer*innen implementieren.

Brandfolder Image

Wir können eine Verbindung mit jedem SAML 2.0-Authentifizierungsanbieter herstellen. Zu den Anbietern gehören:

• Azure
• Okta
• OneLogin
• IBM

Optionen für den Benutzerzugriff:

1. Allgemeine Zugriffseinstellung – Sie können den allgemeinen Zugriff für alle Benutzer aktivieren. 

Dies geschieht über die Benutzeroberfläche, indem Sie zur Organisationsebene > Einstellungen > Benutzer verwalten navigieren. 

• Wählen Sie die Organisation, einen bestimmten Brandfolder oder eine Sammlung aus, auf die Benutzer*innen Zugriff haben sollen.
• Sie finden ein Dropdown-Menü für die Standardberechtigungsstufe in der oberen rechten Ecke. Hier können Sie „Keine“, „Gast“ oder „Mitarbeiter“ auswählen.
• Wenn diese Einstellung aktiviert ist, haben alle Benutzer*innen, die sich über SAML anmelden, automatisch Zugriff auf einen bestimmten Brandfolder und/oder eine Sammlung mit dieser bestimmten Berechtigungsstufe.

Seien Sie äußerst vorsichtig, wenn Sie Standardberechtigungen auf Organisations- und Brandfolder-Ebene hinzufügen.

2. Team-Zugriffseinstellungen – Teams ermöglichen es einer bestimmten Gruppe von Benutzer*innen, die innerhalb des IdP eingerichtet wurden, eine bestimmte Zugriffsebene innerhalb von Brandfolder zu erhalten. Dadurch können einige oder alle Benutzer*innen in separate Teams (oder Abteilungen) für unterschiedliche Datenschutzstufen in verschiedenen Brandfoldern und Sammlungen aufgeteilt werden.
   • Dies erreichen Sie, indem Sie in der SAML-Antwort ein benutzerdefiniertes Attribut namens „teams“ mit dem zugehörigen Gruppenwert freigeben.
   • Sie können auch einen bestimmten Anspruch freigeben, indem Sie ADFS als IdP verwenden. 
   • Sobald die Konfiguration abgeschlossen ist, verwenden Sie das  Document Team Configuration sheet.xlsx  als Leitfaden. Erstellen Sie ein eigenes und senden Sie es an den Brandfolder-Support oder Ihren Brandfolder-Kontakt. 
   •  Dieses Dokument muss Folgendes enthalten:
     • Teamwert (der Gruppenname)
     • Die Zugriffsstufe, die der Teamwert erhalten soll (Organisation, Brandfolder, Sammlung)
     • Die Berechtigungsstufe, die das Team erhalten soll (Inhaber, Administrator, Mitarbeiter, Gast)
3. Benutzerdefinierter Zugriff – Wenn die beiden oben genannten Optionen für Ihren Anwendungsfall nicht funktionieren, kann ein*e Organisationsadministrator*in eine*n Benutzer*in zu einem bestimmten Brandfolder oder einer bestimmten Sammlung hinzufügen, der bzw. die nicht dem herkömmlichen Team/allgemein zugewiesen ist. Weitere Informationen zur Benutzerverwaltung

Attribute für Benutzerprofile 

• Die „nameid“ des*der Benutzer*in muss eine E-Mail-Adresse sein.
• Wir empfehlen die Angabe folgender Attribute zum*zur Benutzer*in: first name: givenname und last name: surname.
• Sie können auch das Unternehmen, den Titel und die Abteilung eines*einer Benutzer*in angeben. 

Die Optionen in den Arrays unten sind potenzielle Werte, die Brandfolder zuordnen möchte. Diese Optionen sind hilfreich, wenn Sie Analysen zu Ihren Assets nachverfolgen möchten. 

def self.userattr_samlattr_mapping { "first_name": ["first_name", "firstname", "givenname"], "last_name": ["last_name", "lastname", "surname"], "company": ["company", "company_name"], "title": ["title"], "department": ["department"] } end

Brandfolder und SSO 

SSO (Single Sign-on – Einmalanmeldung) ist eine weitere Option für die Benutzerauthentifizierung über Brandfolder. SSO ermöglicht es Kund*innen, ihr bestehendes Benutzerkontosystem in Brandfolder zu integrieren, um die Anzahl der zu verwaltenden Kennwörter und Anmeldebildschirme zu reduzieren.