SSO und LDAP¶
Unter Administration > Einstellungen > Erweiterungen > SSO und LDAP konfigurieren Sie die LDAP-Authentifizierung und Single Sign-On (SSO) fuer calServer. Das Plugin unterstuetzt Microsoft Active Directory, OpenLDAP und SAML-basiertes SSO ueber Azure AD (Entra ID).
LDAP-Konfiguration¶
Verbindungseinstellungen¶
| Feld | Beschreibung |
|---|---|
| Enable LDAP | Aktiviert oder deaktiviert die LDAP-Integration. |
| Directory Server | Auswahl des Verzeichnisdienstes: Microsoft Active Directory oder OpenLDAP. |
| Domains | Domaene(n) des LDAP-Servers (z. B. ldap.example.com). |
| Port | Port des LDAP-Servers (Standard: 389 unverschluesselt, 636 fuer SSL). |
| Base DN | Startpunkt im LDAP-Verzeichnisbaum fuer Benutzer- und Gruppensuche. |
| Bind DN | Benutzer, mit dem calServer sich am LDAP-Server authentifiziert. |
| Account Suffix | Suffix fuer Benutzernamen bei der Anmeldung (z. B. @ldap.example.com). |
| Login Field | LDAP-Attribut fuer den Benutzernamen (z. B. uid oder sAMAccountName). |
| Admin Username | Administrationskonto fuer die LDAP-Verwaltung. |
| Admin Password | Zugehoeriges Passwort. |
Sicherheitsoptionen¶
| Feld | Beschreibung |
|---|---|
| Follow Referrals | Aktiviert das Folgen von Verweisen zu anderen LDAP-Servern. |
| SSL | Verschluesselte Kommunikation ueber SSL. |
| TLS | Verschluesselte Kommunikation ueber TLS (STARTTLS). |
SSO-Optionen¶
| Feld | Beschreibung |
|---|---|
| Login with SSO | Aktiviert Single Sign-On fuer die automatische Anmeldung. |
| Upload krb5 file | Upload der Kerberos-Konfigurationsdatei (krb5.conf) fuer SSO. |
Aktionen¶
| Aktion | Beschreibung |
|---|---|
| Speichern | Uebernimmt die LDAP-Konfiguration. |
| Verbindung testen | Prueft die Erreichbarkeit des LDAP-Servers. |
| Sync all users | Synchronisiert alle Benutzer zwischen LDAP und calServer. |
SAML SSO mit Azure AD einrichten¶
Fuer die Einrichtung von SAML-basiertem SSO mit Microsoft Azure AD (Entra ID) sind folgende Konfigurationsschritte erforderlich.
Anwendung in Azure AD registrieren¶
- Melden Sie sich im Azure-Portal an.
- Navigieren Sie zu Entra Admin Center > Unternehmensanwendungen > Neue Anwendung.
- Waehlen Sie Eigene Anwendung erstellen.
- Vergeben Sie einen Namen (z. B. „calServer SSO") und waehlen Sie Beliebige andere, nicht im Katalog gefundene Anwendung integrieren.
SAML in Azure AD konfigurieren¶
- Oeffnen Sie die erstellte Anwendung unter Unternehmensanwendungen.
- Navigieren Sie zu SSO einrichten > Erste Schritte > SAML.
- Tragen Sie die SAML-URLs ein:
- Bezeichner (Entitaets-ID):
https://<ihre-domain>/auth/saml/metadata - Antwort-URL:
https://<ihre-domain>/auth/saml/login - Anmelde-URL (optional):
https://<ihre-domain>/auth/saml/sso
- Bezeichner (Entitaets-ID):
- Speichern Sie die Einstellungen.
Attribute und Claims anpassen¶
Fuegen Sie unter Attribute & Ansprueche folgende benutzerdefinierten Claims hinzu:
| Claim | Quellattribut |
|---|---|
| company | user.companyname |
user.mail |
|
| lastname | user.surname |
| firstname | user.givenname |
| phone | user.mobilephone |
LDAP-Mapping in calServer konfigurieren¶
Melden Sie sich als Administrator in calServer an und konfigurieren Sie unter LDAP Settings die Attributzuordnung:
| calServer-Feld | SAML-Attribut |
|---|---|
| Vorname | firstname |
| Nachname | lastname |
email |
|
| Telefon | phone |
| Firma | firm |
Benutzer und Gruppen zuweisen¶
- Oeffnen Sie in Azure AD die Anwendung.
- Navigieren Sie zu Users and groups.
- Weisen Sie die gewuenschten Benutzer oder Gruppen zu.
Warning
Fuer Gruppen-Claims in der SAML-Antwort ist eine Microsoft Entra ID P1 oder P2 Lizenz erforderlich. Die Free- und Basic-Editionen unterstuetzen keine Gruppen-Claims.
Direkter SSO-Login (Deeplink)¶
Bei aktiviertem Entra ID startet die URL
den Entra-SSO-Login sofort und ueberspringt das Login-Formular. Das ist exakt dasselbe Ziel wie die Schaltflaeche Sign in with Entra ID auf der Anmeldeseite. Der Deeplink eignet sich als Lesezeichen oder Verknuepfung, um direkt per SSO anzumelden.
Nach einem Logout wird wieder das normale Login-Formular angezeigt (kein automatischer SSO-Redirect).
Hinweise¶
- Testen Sie die LDAP-Verbindung nach jeder Konfigurationsaenderung ueber die Schaltflaeche Verbindung testen.
- Bei Problemen mit der SSO-Anmeldung pruefen Sie die Azure-Logs und die calServer-Konfiguration.
- Gruppen in calServer koennen zur Verwaltung von Kundenaccounts genutzt werden. Benutzer einer Gruppe erhalten automatisch Zugriff auf die zugehoerigen Kunden.
