RemotePC Single Sign-On mit Keycloak

    Single Sign-On mit Keycloak

    RemotePC Team- und Enterprise-Planbenutzer können Single Sign-On (SSO) für den Zugriff auf ihr Konto verwenden. Der Administrator der Konten kann einen SAML 2.0-Identitätsanbieter (IdP) wählen, um sich bei Ihrem RemotePC-Konto anzumelden, ohne sich ein weiteres Passwort merken zu müssen.

    Um Single Sign-On (SSO) mit Keycloak einzurichten, muss der Administrator:


    Single Sign-On (SSO) mit Keycloak als IdP konfigurieren

    Um Keycloak als Identitätsanbieter für SSO zu verwenden, müssen Sie einen SAML 2.0-Client erstellen.

    So erstellen Sie einen SAML 2.0-Client:

    1. Melden Sie sich bei der Keycloak-Verwaltungskonsole an. Nach der Anmeldung sehen Sie die Verwaltungskonsole mit einem bereits vorhandenen Master-Realm.

      RemotePC
    2. Gehen Sie zur Registerkarte 'Clients', klicken Sie auf die Schaltfläche 'Erstellen' auf der rechten Seite der Seite und fügen Sie die folgende URL hinzu:
      Client-ID: https://sso.remotepc.com/rpcnew/sso/metadata

      RemotePC
    3. Klicken Sie auf das Dropdown-Menü 'Client-Protokoll' und wählen Sie 'saml'.

      RemotePC
    4. Klicken Sie auf 'Speichern'. Dadurch wird der Client erstellt und Sie werden automatisch zur Registerkarte 'Einstellungen' des Clients weitergeleitet.
    5. Um Keycloak für SSO mit RemotePC zu verwenden, müssen einige Änderungen in den Keycloak-Client-Einstellungen vorgenommen werden.

      Nehmen Sie die erforderlichen Änderungen wie folgt vor:

      • Client-ID: https://sso.remotepc.com/com/rpcnew/sso/metadata
      • Name: RemotePC
      • Aktiviert: EIN
      • Zustimmung erforderlich: AUS
      • Client-Protokoll: saml
      • AuthnStatement einschließen: EIN
      • OneTimeUse-Bedingung einschließen: AUS
      • Dokumente signieren: EIN
      • REDIRECT-Signaturschlüssel-Suche optimieren: AUS
      • Assertions signieren: AUS
      • Signaturalgorithmus: RSA_SHA1
      • SAML-Signaturschlüsselname: KEY_ID
      • Kanonisierungsmethode: EXCLUSIVE
      • Assertions verschlüsseln: AUS
      • Client-Signatur erforderlich: AUS
      • POST-Bindung erzwingen: EIN
      • Front-Channel-Abmeldung: EIN
      • Name-ID-Format erzwingen: EIN
      • Name-ID-Format: E-Mail
      • Gültige Weiterleitungs-URLs: https://sso.remotepc.com/rpcnew/sso/process
      • Master-SAML-Verarbeitungs-URL: https://sso.remotepc.com/rpcnew/sso/process
      • Assertion Consumer Service POST-Bindungs-URL: https://sso.remotepc.com/rpcnew/sso/metadata
      • Assertion Consumer Service Redirect-Bindungs-URL: https://sso.remotepc.com/rpcnew/sso/metadata

        RemotePC
    6. Klicken Sie auf 'Speichern'.


    Benutzer hinzufügen

    Um SSO für Benutzerkonten zu aktivieren, muss der Administrator Benutzer zum auf der Keycloak-Verwaltungskonsole erstellten SAML 2.0-Client hinzufügen.

    So fügen Sie Benutzer hinzu:

    1. Gehen Sie zur Registerkarte 'Benutzer' und klicken Sie auf 'Benutzer hinzufügen'.

      RemotePC
    2. Geben Sie den 'Benutzernamen' und die 'E-Mail' ein und klicken Sie auf 'Speichern'.
      Hinweis: Die eingegebene E-Mail-Adresse muss mit der übereinstimmen, die Sie für die Anmeldung bei Ihrem RemotePC-Konto angegeben haben.

      RemotePC
    3. Sobald der Benutzer erstellt wurde, gehen Sie zur Registerkarte 'Anmeldedaten' und legen Sie ein Passwort für den Benutzer fest, das für die Anmeldung verwendet wird.

      RemotePC
    4. Stellen Sie den Umschalter 'Temporär' auf 'AUS' und klicken Sie dann auf 'Passwort festlegen', um Ihre Änderungen zu übernehmen.


    RemotePC-Konto für Single Sign-On (SSO) konfigurieren

    Der Administrator muss die empfangenen SAML 2.0-URLs und das Zertifikat in der Single Sign-On-Anwendung über die RemotePC-Weboberfläche angeben.

    So konfigurieren Sie SSO:

    1. Melden Sie sich über den Webbrowser bei RemotePC an.
    2. Klicken Sie auf den oben rechts angezeigten Benutzernamen und dann auf 'Mein Konto'.
    3. Klicken Sie auf 'Single Sign-On'.
    4. Geben Sie einen Namen für Ihr SSO-Profil ein und fügen Sie die folgenden URLs hinzu:
      • IDP-Aussteller-URL:
        http://localhost:8080/auth/realms/master
        Bsp.: https://serverdomainname/auth/realms/master
      • Single Sign-On-Anmelde-URL:
        http://localhost:8080/auth/realms/master/protocol/saml
        Bsp.: https://serverdomainname/auth/realms/master/protocol/saml

        • Hinweis: Die URLs können je nach Ihrer Keycloak-Installation variieren. Standardmäßig wird Keycloak auf Port 8080 installiert. Wenn Sie diesen geändert haben oder wenn Ihre Keycloak-Installation auf einem anderen Port vorhanden ist, müssen Sie diese URLs entsprechend anpassen.

    5. Fügen Sie das 'X.509-Zertifikat' hinzu, das Sie von Ihrem auf der Keycloak-Verwaltungskonsole erstellten SAML 2.0-Client erhalten haben.

      Hinweis: So können Sie das X.509-Zertifikat anzeigen und kopieren:

      i. Gehen Sie in Ihrer Keycloak-Administratorkonsole zur Registerkarte 'Realm-Einstellungen'.
      ii. Wählen Sie die Registerkarte 'Schlüssel' und klicken Sie auf die Schaltfläche 'Zertifikat' auf der rechten Seite der Seite.


      RemotePC
    6. Klicken Sie auf 'Single Sign-On konfigurieren'.

    Sie erhalten eine E-Mail, wenn SSO für Ihr Konto aktiviert wurde.