Zum Hauptinhalt springen

Integration mit einem Identity Provider und Anmeldung mit SAML SSO

Konfigurieren Sie SAML SSO, damit Ihr Team sich mit Ihrem Identity Provider wie Okta oder OneLogin bei Intercom anmelden kann.

Verfasst von Eric Fitzgerald

Die Integration von Intercom mit Ihrem Identity Provider (IdP) macht die Anmeldung für Ihr Team einfach und sicher.

Folgen Sie den Schritten in diesem Artikel, um Ihren Identity Provider zu konfigurieren, um SAML SSO (Single Sign On) von allen Ihren teammates zu verlangen oder es als eine Ihrer Anmeldeoptionen anzubieten. Nach der Konfiguration funktioniert SAML SSO auch mit der Intercom Conversations App.

Bevor Sie beginnen

Wichtig:

  • SAML SSO ist nur im Expert Intercom Plan verfügbar. Informieren Sie sich auf unserer Seite Pläne und Preise über diesen Plan.

  • Sie müssen Berechtigungen haben, um in Intercom auf Einstellungen > Workspace > Sicherheit zuzugreifen, sowie administrative Zugriffsrechte auf Ihren Identity Provider.

Schritt 1: Aktivieren Sie SAML SSO in Intercom

Zuerst müssen Sie SAML SSO in Ihrem Intercom Workspace aktivieren, um die URLs für Ihren Identity Provider zu erhalten.

  1. Gehen Sie zu Einstellungen > Workspace > Sicherheit > Authentifizierungsmethoden

  2. Schalten Sie SAML SSO ein.

  3. Sobald aktiviert, erscheint der Abschnitt zur SAML SSO-Konfiguration.

  4. Das Erste, was Sie sehen, ist die eindeutige SAML URL für Ihren Workspace. Lassen Sie diese Seite geöffnet; Sie benötigen diese URL für den nächsten Schritt.

Schritt 2: Konfigurieren Sie Ihren Identity Provider

In den Einstellungen Ihres Identity Providers (wie Okta oder OneLogin) müssen Sie Intercom als Anwendung hinzufügen. Sie benötigen die SAML URL aus Schritt 1.

Verwenden Sie die folgenden Parameter in der Konfiguration Ihres IdP:

  • Single Sign-On URL: <SAML URL>/consume

  • Empfänger-URL: <SAML URL>/consume

  • Audience restriction/Entity ID: <SAML URL>

  • NameID: E-Mail-Adresse

  • Signierte Assertions: Ja

  • Abgebildete Attribute:

    • firstName (Vorname des users)

    • lastName (Nachname des users)

  • Verschlüsselung: AES256_CBC mit folgendem Zertifikat:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Hinweis: Wenn Ihr Identity Provider dies unterstützt, können Sie in der Konfiguration Ihres IdP eine Sitzungsdauer definieren. Diese legt fest, wie lange eine Sitzung eines teammates gültig ist, bevor eine erneute Anmeldung bei Intercom erforderlich ist. Wenn dies nicht festgelegt ist, beträgt die Standarddauer 3,5 Tage.

Schritt 3: Konfigurieren Sie Intercom mit den Details Ihres IdP

Nachdem Sie Ihren IdP konfiguriert haben, müssen Sie dessen Details wieder in Intercom eintragen.

  1. Gehen Sie zurück zur Intercom SAML SSO-Einstellungsseite (Einstellungen > Workspace > Sicherheit).

  2. Fügen Sie die folgenden Informationen von Ihrem Identity Provider hinzu:

    • Single Sign-On URL des Identity Providers: Dies ist die URL, die verwendet wird, um den Anmeldevorgang zu starten.

    • Öffentliches Zertifikat: Dies ermöglicht Intercom, SAML-Anfragen von Ihrem IdP zu validieren. Es muss ein X.509-Zertifikat sein.

Schritt 4: Fügen Sie Ihre erlaubten domains hinzu und verifizieren Sie sie

Sie müssen angeben, welche domains zur Authentifizierung mit SAML SSO zugelassen sind.

  1. Geben Sie eine domain unter „Erlaubte domains“ ein und klicken Sie auf Domain hinzufügen.

  2. Sie müssen bestätigen, dass Sie die domain besitzen, indem Sie einen TXT-Eintrag in Ihren DNS-Einstellungen mit den bereitgestellten Werten hinzufügen.

  3. Nachdem Sie den TXT-Eintrag hinzugefügt haben, klicken Sie auf DNS-Eintrag verifizieren.

  4. Nach der Verifizierung sehen Sie eine Erfolgsmeldung und die domain wird hinzugefügt. Wiederholen Sie diesen Vorgang, wenn Sie mehr als eine domain hinzufügen müssen.

Hinweis: Wenn Sie den DNS-Eintrag gerade erstellt haben, kann es sein, dass er sich noch verbreitet. Wenn Sie eine Warnmeldung („DNS-Eintrag kann nicht verifiziert werden. Bitte versuchen Sie es später erneut.“) sehen, warten Sie einige Minuten (oder bis zu einigen Stunden) und versuchen Sie es erneut.

Um diese Option zu deaktivieren und SAML SSO als erforderliche Anmeldemethode durchzusetzen, müssen Sie mit SAML SSO angemeldet sein. Dies können Sie nach dem Speichern Ihrer Einstellungen tun.

Schritt 5: Testen und erzwingen Sie SAML SSO

Bevor Sie SAML für alle teammates erzwingen, müssen Sie die Konfiguration testen.

  1. Testen Sie Ihre Einrichtung: Um sicherzustellen, dass alle teammates sich erfolgreich mit SAML SSO anmelden können, bevor Sie andere Methoden deaktivieren, lassen Sie die Optionen Google Sign-On und E-Mail und Passwort aktiviert.

  2. Speichern Sie Ihre Einstellungen am Ende der Seite.

  3. Melden Sie sich ab und versuchen Sie, sich mit der Option Mit SAML SSO anmelden erneut anzumelden, um Ihre Konfiguration zu testen.

  4. SAML SSO erzwingen (optional): Sobald Sie sich erfolgreich angemeldet und bestätigt haben, dass die Einrichtung funktioniert, können Sie zu den Einstellungen zurückkehren und die anderen Anmeldemethoden deaktivieren.

Hinweis:

  • Um die anderen Anmeldeoptionen zu deaktivieren und SAML SSO als einzige Anmeldemethode durchzusetzen, müssen Sie selbst mit SAML SSO angemeldet sein.

  • Sobald Ihr Workspace SAML SSO aktiviert hat, können teammates ihre eigene E-Mail-Adresse auf der Seite Kontosicherheit nicht mehr bearbeiten. Das E-Mail-Feld ist schreibgeschützt.

Wie SAML SSO für Ihr Team funktioniert

Wie sich Teammitglieder anmelden

Sobald SAML SSO aktiviert ist, sehen Teammitglieder auf der Anmeldeseite eine Schaltfläche Mit SAML SSO anmelden. Das Anmeldeerlebnis variiert je nach ihrer E-Mail-Adresse:

  • E-Mail nicht registriert: Wenn die eingegebene E-Mail nicht mit einem Teammitglied in einem Workspace mit aktiviertem SAML übereinstimmt, wird eine Fehlermeldung angezeigt.

  • E-Mail für einen SAML-Workspace registriert: Das Teammitglied wird zum Identity Provider weitergeleitet, um sich anzumelden.

  • E-Mail für mehrere SAML-Workspaces registriert: Dem Teammitglied wird der Workspace-Auswahlbildschirm angezeigt. Nach Auswahl eines Workspaces wird es zum richtigen Identity Provider für diesen Workspace weitergeleitet.

Je nach Identity Provider, den das Teammitglied für jeden Workspace hat, wird es zur richtigen Anmeldeseite des Identity Providers weitergeleitet. Nach der Anmeldung wird der user zum korrekten Workspace zurückgebracht und eingeloggt.

Zwischen Workspaces wechseln

SAML SSO wird beim Wechseln zwischen Workspaces unterstützt:

  • Wenn ein Teammitglied in zwei Workspaces angemeldet ist, die denselben SAML SSO-Anbieter verwenden, kann es ohne erneute Authentifizierung zwischen ihnen wechseln.

  • Hat das Teammitglied Zugriff auf einen dritten Workspace, der E-Mail/Passwort verwendet, und ist nicht angemeldet, wird es zum Workspace-Wechsler weitergeleitet, um sich mit seinem Passwort anzumelden.

Anmeldung in der mobilen App (Intercom Conversations App)

SAML SSO wird in der iOS- und Android-Intercom Conversations App unterstützt.

  1. Navigieren Sie zum Anmeldebildschirm und tippen Sie auf die Schaltfläche Mit SAML SSO anmelden.

  2. Geben Sie Ihre Arbeits-E-Mail ein und tippen Sie auf Weiter.

  3. Wenn Sie Zugriff auf mehrere Workspaces haben, sehen Sie eine Liste zur Auswahl. (Wenn Sie nur einen haben, wird dieser Bildschirm übersprungen).

  4. Die Auswahl eines Workspaces öffnet eine Webansicht, um sich bei Ihrem SAML-Anbieter anzumelden.

  5. Nach der Anmeldung sind Sie in der App eingeloggt.

Wenn Sie kein SAML SSO für Ihr Konto eingerichtet haben und versuchen, sich mit SAML SSO anzumelden, wird eine Fehlermeldung angezeigt.

Workspace-Einladungen

SAML SSO ist mit Workspace-Einladungen kompatibel. Wenn ein Teammitglied eine Einladung annimmt, muss die Einladungs-E-Mail genau mit der vom Identity Provider zurückgegebenen E-Mail übereinstimmen, sonst schlägt die Einladung fehl.

So ändern Sie die E-Mail-Adressen von Teammitglied-/Admin-Profilen, wenn der Workspace SAML SSO aktiviert hat

1. Der Admin sollte "E-Mail und Passwort" als Anmeldemethode aktivieren, falls noch nicht geschehen.

2. Alle Teammitglieder setzen/ändern ihr Intercom-Passwort und bestätigen, dass sie sich mit ihrer alten E-Mail + Passwort anmelden können.

3. Der Admin deaktiviert SAML SSO im Workspace (dadurch wird das E-Mail-Feld für Teammitglieder bearbeitbar).

4. Jedes Teammitglied meldet sich mit seiner alten E-Mail + Passwort an und aktualisiert individuell seine eigene Login-E-Mail auf die neue domain.

5. Der Admin aktualisiert die E-Mails der users im IdP auf die neue domain.

6. Der Admin aktiviert SAML SSO im Workspace wieder.

7. SSO funktioniert jetzt mit den neuen E-Mails. Der Admin kann optional die SSO-Only-Anmeldung wieder erzwingen.

IdP-spezifische Anleitungen und Fehlerbehebung

Brauchen Sie Hilfe mit Ihrem Identity Provider? Der Intercom-Support kann Ihnen helfen, SAML SSO innerhalb von Intercom zu konfigurieren. Für IdP-spezifische Einrichtungsschritte, Konfiguration in der Admin-Konsole Ihres Providers (z. B. Microsoft Entra, Okta, JumpCloud) oder Fehler, die vom IdP ausgehen, empfehlen wir, direkt den Support Ihres Identity Providers zu kontaktieren – sie haben Zugriff auf Ihre Umgebung und können Probleme auf ihrer Seite lösen. Unsere SAML-Dokumentation steht Ihnen als Referenz zur Verfügung.

Fehlerbehebung bei Google Workspace

Wenn Sie Google Workspace als Ihren SSO-Anbieter verwenden und einen Zugriffsfehler sehen, können Sie in Ihrer Google Admin-Konsole "Remediation Messages" aktivieren, um den Grund für den Fehler zu verstehen. Nach der Aktivierung sehen Sie detailliertere Informationen in der Fehlermeldung (z. B. "das Gerät... wird nicht von Google Endpoint Management verwaltet").

Nach der Aktivierung können Sie detailliertere Informationen in der Fehlermeldung sehen.

Zum Beispiel könnte der folgende Fehler darauf hinweisen, dass das verwendete Gerät nicht von Google Endpoint Management verwaltet wird:

Just-in-Time (JIT) Provisioning aktivieren

Just-in-Time Provisioning fügt Teammitglieder automatisch zu Ihrem Intercom Workspace hinzu, wenn sie sich zum ersten Mal mit SAML SSO anmelden, falls sie noch kein Intercom-Konto haben.

Um dies zu aktivieren, gehen Sie zu Einstellungen > Workspace > Sicherheit, stellen Sie sicher, dass SAML SSO aktiviert ist, und klicken Sie auf Provisioning:

Definieren Sie dann welche Berechtigungen neue Teammitglieder bei der JIT-Provisionierung erhalten sollen:

Hinweis: Neue Teammitglieder werden nur hinzugefügt, wenn Sie verfügbare Sitze haben.

Speichern Sie abschließend Ihre Einstellungen und testen Sie Ihre Konfiguration, indem Sie sich mit Ihrem Identity Provider authentifizieren:

Sobald Ihr Workspace SAML SSO mit einem beliebigen Anbieter aktiviert hat, können Teammitglieder ihre eigene E-Mail-Adresse auf der Seite Account security nicht mehr bearbeiten. Das E-Mail-Feld ist schreibgeschützt.

SAML mit OneLogin konfigurieren

Sie können die App "Intercom SAML 2.0" im OneLogin Store verwenden.

  1. Gehen Sie auf Ihrer OneLogin-Admin-Seite zu Applications und klicken Sie auf Add App.

  2. Suchen Sie nach der App Intercom SAML 2.0 und fügen Sie sie hinzu.

  3. Öffnen Sie den Tab Configuration und geben Sie den SAML-Namen für Ihren Workspace ein.

  4. Kopieren Sie auf dem Tab SSO die URL "SAML 2.0 Endpoint" und fügen Sie sie in die SAML-Einstellungen Ihres Intercom Workspaces ein.

  5. Klicken Sie unter dem Zertifikat auf View Details, kopieren Sie das Zertifikat und fügen Sie es in das Feld Public certificate in Intercom ein.

  6. Speichern Sie Ihre Einstellungen in Intercom und testen Sie die Verbindung.

Hinweis: Wenn Ihr Workspace in der EU oder AU gehostet wird, wenden Sie sich an das OneLogin-Team, um sicherzustellen, dass Ihre Integration unterstützt wird.

SAML mit Okta konfigurieren

Sie können die "Intercom"-App aus dem Okta App Store verwenden.

  1. In Okta:

    • Öffnen Sie das Okta-Admin-Dashboard und fügen Sie die Intercom-App hinzu.

    • Gehen Sie zu den Anmeldeoptionen.

    • Laden Sie das Signing Certificate herunter und kopieren Sie die von Okta bereitgestellte Sign on URL.

  2. In Intercom:

    • Gehen Sie zu Einstellungen > Workspace > Sicherheit und aktivieren Sie SAML SSO.

    • Notieren Sie sich Ihre SAML URL (oben in den SAML-Einstellungen).

    • Geben Sie die folgenden Details von Okta ein:

      • Identity Provider Sign-On URL: (Die Sign on URL von Okta)

      • Public Certificate: (Fügen Sie das vollständige Zertifikat ein, das Sie von Okta heruntergeladen haben)

    • Geben Sie unter „Allowed Domains“ die domain Ihres Unternehmens ein (z. B. acme.com).

    • Klicken Sie noch nicht auf Speichern.

  3. Zurück in Okta:

    • Gehen Sie zurück zu den Anmeldeoptionen Ihrer Okta Intercom-App.

    • Laden Sie unter Encryption Certificate folgendes Zertifikat als intercom.pem hoch:

      -----BEGIN CERTIFICATE-----
      MIIDYzCCAkugAwIBAgIUS9LFUH5IWanIgQ78d/qyKOdojAYwDQYJKoZIhvcNAQEL
      BQAwQTERMA8GA1UECgwISW50ZXJjb20xETAPBgNVBAsMCFBsYXRmb3JtMRkwFwYD
      VQQDDBBTQU1MIENlcnRpZmljYXRlMB4XDTI2MDExMjE3NTIzN1oXDTM2MDExMDE3
      NTIzN1owQTERMA8GA1UECgwISW50ZXJjb20xETAPBgNVBAsMCFBsYXRmb3JtMRkw
      FwYDVQQDDBBTQU1MIENlcnRpZmljYXRlMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
      MIIBCgKCAQEA2LVcYLNwR0t1Co/FBNSFUEdpOJTM87X0//NPisUgQJ71l11Dohg9
      Yg1aAraqOsQ9EPR9prdQjP50lhOmogjvPDClPlXtoHdRCJ81U/3duXoBdGS02NN3
      2DetudNnyjeUefkcnPWsQ+FNZasnP9ODU8dtPKxMcLP3AmcUYOAaKp1r3WBuFDcT
      woMtbrWUoxTfBeYx6nQ9TfzJOGQFZCYs30Sx1j5LVio5DoM3oynTTh0qOzJS+KpU
      iIIqby8szpqWMfdPNTdBd7XQK2SkHmBgkgSDfQIII93kkXCP1bCOuo4rC+lIeXlF
      gIi2Z4iMxuKceBeLBgFTovG7dVDeGmTucQIDAQABo1MwUTAdBgNVHQ4EFgQUgZdt
      wisFHetsCww03EXQGt8Oq24wHwYDVR0jBBgwFoAUgZdtwisFHetsCww03EXQGt8O
      q24wDwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAQEAiL3wXWof5x+k
      thOn2tAspFR/IH5NQHPLocV605FcRjt1JS1z0cBjtBroTKFarXo6T1NKQN5Lhjsu
      wrvu1J/YQcGnSmChar8OJSIbxPhHrbpA6Gg2mtkH4BTnnXY3LBgVFfCl5oiFxZqB
      ELkm6iBZmReot+MPWvE0Ypx7hQLI/3qLc5yYEw7ZNKWq/lRbbT4DLgKeHH89fSrm
      cpDa9ZHF2e6rlx95LCbZUWyEE6pPFeq+6CyQt+FkwLl1e+ZIJTknWgD/bzPsZ6CF
      XfF2fS2ObaUISKYEZMZx5o+JZnnYGr1U614lhniha+Rpykzoa+SsOdwvI0xl5ZRr
      aqD3fI3jqA==
      -----END CERTIFICATE-----

    • Fügen Sie unter „Erweiterte Anmeldeeinstellungen“ Ihre SAML Base URL von Intercom ein.

    • Klicken Sie auf Speichern.

  4. Testen und Aktivieren:

    • Gehen Sie zurück zu den SAML-Einstellungen Ihres Intercom-Workspaces und klicken Sie auf Speichern.

    • Testen Sie Ihre SAML-Konfiguration, indem Sie sich abmelden und mit SAML erneut anmelden.

    • Nach Bestätigung können Sie zu den Einstellungen zurückkehren und die E-Mail/Passwort- oder Google-Anmeldeoptionen deaktivieren, um SAML durchzusetzen.

Verwandte Artikel
Erste Schritte FAQs
Weise Teamrollen automatisch mit SCIM-Gruppen zu
Hat dies deine Frage beantwortet?