Cyber Guru ermöglicht die Integration mit Single Sign-On (SSO)-Systemen über das SAML 2.0-Protokoll, wodurch ein sicherer und zentralisierter Zugang zu den eigenen Diensten ohne direkten Zugriff auf die Benutzerdatenbank geboten wird. Dieser Ansatz überträgt die vollständige Verwaltung der Authentifizierung und der Zugriffspolitiken auf das Identity Provider (IdP)-System des Kunden.
Damit das SAML-Protokoll funktionieren kann, müssen sowohl der Identity Provider (IdP) des Kunden als auch der Service Provider (SP) von Cyber Guru über die SAML2.0-Komponenten verfügen und in der Lage sein, den sogenannten „Circle of Trust“ zu konfigurieren.
Cyber Guru stellt spezifische und einsatzbereite technische Dokumentation zur Verfügung, um das SSO mit den folgenden IdP zu konfigurieren:
-
✅ Google Workspace
-
✅ Microsoft Entra ID (ehemals Azure Active Directory)
Falls der Kunde eine Plattform für Identitäts- und Zugriffsmanagement verwendet (z. B. Oracle, Forgerock, Okta, Microsoft ADFS, Google, IBM, AWS, WSO2 usw.), muss SAML 2.0 mit eigenen internen Ressourcen oder mit Unterstützung/Beratung des Plattformanbieters konfiguriert werden.
Die Konfigurationen sehen außerdem den Austausch von Metadaten zwischen IdP und SP vor. Cyber Guru benötigt eine öffentliche URL, um auf die Metadatenstruktur des IdP zuzugreifen, und stellt seinerseits über eine öffentliche URL die eigene Metadatenstruktur bereit.
Sobald die Konfiguration im Tenant des Kunden abgeschlossen ist, erscheint der Button für den SSO-Login.
Es ist wichtig, zwischen den zwei von Cyber Guru vorgesehenen SSO-Typen zu unterscheiden:
-
Mit Vorab-Benutzerladen (empfohlen)
Diese Methode sieht vor, dass alle Benutzer vor der SSO-Konfiguration in die Plattform geladen werden. Weitere Benutzer können ausschließlich durch Vorab-Laden hinzugefügt werden. Um vorab geladene und nicht in der Assertion enthaltene Attribute zu ändern, müssen die Änderungen direkt in der Cyber Guru-Plattform vorgenommen werden. Das SSO führt in diesem Fall nur den Login und die Aktualisierung der eventuell in der SAML-Assertion vorhandenen Attribute durch, die in der Tabelle des Artikels „Identity Provider-Attribute“ mit der Aktualisierung „Bei jedem Zugriff“ angegeben sind.
Falls der Benutzer nicht in der Plattform vorab geladen ist, wird ihm der Zugang verwehrt.
-
Ohne Vorab-Benutzerladen
Diese Methode sieht vor, dass keine Benutzer in die Plattform vorab geladen werden. Jeder Benutzer wird bei seinem ersten Login in die Plattform aufgenommen, und die Plattform übernimmt automatisch alle in der SSO-Konfiguration definierten Attribute. Die Plattform kann so konfiguriert werden, dass Lizenzen beim ersten Zugriff automatisch zugewiesen werden: Auf diese Weise erhält jeder Benutzer beim ersten Login automatisch eine Lizenz, um in der Plattform zu arbeiten, und es ist kein manueller Eingriff erforderlich.