Verwalten von Benutzern und Organisationen mit SSO

Inhalt Dieser Seite:

Über das Verwalten von Benutzern und Organisationen mit SSO

Mit Single Sign-On (SSO) können sich Benutzer bei Qualtrics authentifizieren, indem sie das interne Anmeldesystem ihrer Organisation verwenden. Die drei größten Vorteile sind verbesserte Sicherheit, ein nahtloses Anmeldeerlebnis für Benutzer und eine vereinfachte Benutzerverwaltung für Administratoren.

  1. Verbesserte Sicherheit: Benutzer können nicht auf ihr Qualtrics-Konto zugreifen, es sei denn, sie authentifizieren sich erfolgreich über SSO.
  2. Nahtloses Anmeldeerlebnis: Benutzer müssen sich nicht mehr verschiedene Anmeldedaten merken, um auf die Qualtrics-Plattform zu gelangen. Stattdessen wird ein Portal mit Anmeldedaten verwendet, um auf das Hauptportal der Organisation, auf Qualtrics und auf jede andere Software, die Ihr IT-Team in Ihr SSO integriert, hat zu gelangen.
  3. Vereinfachte Benutzerverwaltung: SSO erleichtert die Administration größerer Lizenzen, da Sie die in den IT-Systemen Ihrer Organisation gespeicherten Informationen zur Verwaltung der Qualtrics-Benutzer nutzen können. Beispielsweise kann Qualtrics Benutzerattribute verbrauchen, die von Ihrem System für die Zuweisung von Benutzername, Vorname, Nachname und E-Mail-Werten an Benutzerkonten übergeben werden. SSO kann auch verwendet werden, um Benutzerkontoberechtigungen automatisch über Benutzertyp (EN), Abteilung (EN) und Gruppen (EN)-Zuordnung zuzuweisen und zu aktualisieren. Diese Merkmale helfen sicherzustellen, dass Benutzerkonten immer die korrekten Berechtigungen und Zuständigkeiten haben. All diese Punkte reduzieren die administrative Arbeit, die von einem Administrator erledigt werden muss, der ansonsten manuell Benutzerkontoinformationen und -berechtigungen verwalten müsste.

Benutzer automatisch registrieren

Qualtrics hat die Möglichkeit, Benutzerkonten zu erstellen, wenn Benutzer ohne Konto sich erfolgreich in Ihrer Qualtrics-Organisation authentifizieren. Wenn sich ein Benutzer über SSO bei Qualtrics anmeldet, nimmt das System den Benutzernamenwert, der für den Benutzer von Ihrem System übergeben wurde, und sucht danach in Ihrer Qualtrics-Organisation. Wenn kein Benutzerkonto vorhanden ist, das den Benutzernamenwert aufweist, erstellt das Qualtrics-System ein Konto für den Benutzer. Dieser Prozess wird allgemein als „Just-in-Time-Benutzerbereitstellung“ bezeichnet.

Wenn Benutzer über die Selbstregistrierung erstellt werden, wird das Suffix #brandID an den Qualtrics-Benutzernamen angehängt, um Probleme mit doppelten Benutzernamen innerhalb des Qualtrics-Systems zu verhindern. Das Suffix variiert je nach Organisation und verwendet die Organisations-ID der Qualtrics-Instanz, zu der der Benutzer gehört. Wenn zum Beispiel die Organisations-ID „fakeenvironment“ lautet, dann lautet das Suffix „#fakeenvironment“.

Wir empfehlen SSO-fähigen Organisationen sicherzustellen, dass alle Benutzer, ob SSO oder Nicht-SSO, das Suffix #brandID aufweisen.

Beispiel: Wenn John Doe versucht, sich über SSO bei der Qualtrics-Organisation „fakeenvironment“ anzumelden, geschieht Folgendes:

  1. Sobald sich der Benutzer erfolgreich über SSO authentifiziert hat, übergibt Ihr System mehrere Benutzerattribute. Der übergebene Benutzernamenwert ist „johndoe@email.com“.
  2. Das Qualtrics-System überprüft dann, ob bereits ein Benutzerkonto mit dem Benutzernamen „johndoe@email.com#fakeenvironment“ in der Organisation fakeenvironment existiert.
  3. Existiert innerhalb der Organisation fakeenvironment ein Benutzerkonto mit einem der folgenden Benutzernamen (wobei dies in eben dieser Reihenfolge geprüft wird), wird der Benutzer bei dem Konto angemeldet:
    • „johndoe@email.com#fakeenvironment“
    • „johndoe@email.com“
  4. Existiert kein Benutzerkonto mit einem der in Schritt 4 aufgeführten Benutzernamen, und ist für die Organisation Selbstregistrierung aktiviert, sucht das Qualtrics-System nach dem Wert, der für die E-Mail des Benutzers übergeben wurde, und prüft, ob die E-Mail-Domäne in der Liste der gültigen E-Mail-Domänen (EN) vorhanden ist. Wenn die E-Mail des Benutzers eine gültige Domäne hat, erstellt das Qualtrics-System ein Benutzerkonto mit dem Benutzernamen „johndoe@email.com#fakeenvironment“.

Wenn Sie Werte für Vor- und Nachnamen für Benutzer übergeben, verwendet das Qualtrics-System diese Werte, um die mit den Benutzerkonten verknüpften Vor- und Nachnamen auszufüllen. Andernfalls wird der Benutzernamenwert verwendet, um die Felder Vor- und Nachname auszufüllen.

Tipp: Um eine E-Mail-Benachrichtigung zu erhalten, sobald sich ein Benutzer über SSO selbst registriert, kontaktieren Sie bitte den Qualtrics Support.
Vorsicht: Wenn für eine Organisation Just-in-Time-Benutzerbereitstellung deaktiviert ist, müssen Benutzerkonten in Qualtrics von Administratoren manuell erstellt werden. Wenn Benutzer versuchen, sich bei Ihrer Qualtrics-Organisation ohne Benutzerkonto anzumelden, wird ihnen der Zugriff auf die Plattform verweigert.

Anmeldeportal anpassen

Qualtrics hat die Möglichkeit, eine Beschreibung der Anmeldeseite (EN) anzuzeigen, wenn Benutzer sich über LDAP SSO anmelden. Administratoren haben die Möglichkeit, den Text zu bearbeiten, der auf der auf der Verwaltungsseite unter der Registerkarte Organisationseinstellungen angezeigt wird.

Vorsicht: Wenn CAS (EN), SAML (EN) oder Google OAuth 2.0 (EN) für eine Organisation aktiviert ist, wird dieses Merkmal die im SSO-Anmeldeportal angezeigte Nachricht nicht verändern. Um das SSO-Anmeldeportal für diese SSO-Typen zu ändern, müssen Sie Ihr IT-Team kontaktieren.

Benutzerberechtigungen zuweisen

BENUTZERTYP, ABTEILUNG UND GRUPPENZUORDNUNG

Wenn sich ein Benutzer über SSO bei Qualtrics anmeldet, können von der System-Organisation über Benutzerattribute zusätzliche Informationen über den Benutzer übergeben werden. Qualtrics hat die Möglichkeit, diese Informationen zu verwenden, um den Benutzertyp (EN), die Abteilung (EN) und die Gruppe (EN) eines Benutzers zuzuweisen und zu aktualisieren. Dies wird als Mapping oder Zuordnung bezeichnet. Diese Zuordnung von Benutzertyp, Abteilung und Gruppe wird vom Qualtrics SSO-Team implementiert. Das Team arbeitet eng mit Ihnen und mit Ihrem IT-Team zusammen, um sicherzustellen, dass die gewünschten Attribute enthalten sind.

Vorsicht: CAS (EN) oder Google OAuth 2.0 (EN) sind mit diesen Funktionen nicht kompatibel, da sie keine zusätzlichen Attribute an das Qualtrics-System weitergeben können.
Tipp: Wenn Just-in-Time-Benutzerbereitstellung (EN) für Ihre Organisation aktiviert ist, werden bei der Erstellung eines Benutzerkontos der Benutzertyp und die Abteilung zugeordnet.

Da die Benutzerattribute bei jeder Anmeldung aktualisiert werden, werden alle von Administratoren vorgenommenen Änderungen am Benutzertyp oder der Abteilung bei der nächsten Anmeldung überschrieben. Dies wird durch eine der folgenden Maßnahmen verhindert:

  1. Das IT-Team der Organisation aktualisiert den Wert, der für den Benutzer innerhalb des Attributs Benutzertyp oder Abteilung übergeben wird.
  2. Ein Administrator verwaltet die Berechtigungen der Benutzer auf Benutzerebene (EN), anstatt durch Ändern von Benutzertyp oder Abteilung.

Anders als bei der Zuordnung von Benutzertypen und Abteilungen wird die von Administratoren vorgenommene Zuordnung von Gruppen nicht überschrieben, da Benutzer gleichzeitig mehreren Gruppen angehören können.

Qualtrics kann nur jeweils ein Attribut für Benutzertyp, Abteilung und Gruppenzuordnung referenzieren. Werte, die angeben, welchem Benutzertyp oder welcher Abteilung Benutzer zugewiesen werden sollen, müssen innerhalb desselben jeweiligen Attributs für alle Benutzer übergeben werden. Es gibt jedoch einen gewissen Spielraum, da Qualtrics bis zu fünfzig Bedingungen für Gruppenzuordnungen konfigurieren kann, von denen jede RegEx verwenden kann.

Beispiel: Nachstehend finden Sie einige Beispiele für Zuordnungsbedingungen des Benutzertyps, basierend auf dem Attribut „Abteilung“:

  1. Wenn Abteilung HR entspricht, dann ist Benutzertyp Standard-Benutzertyp.
  2. Wenn Abteilung HR oder Benutzerkonto entspricht, dann ist Benutzertyp Standard-Benutzertyp.
  3. Wenn Abteilung HR enthält, dann ist Benutzertyp Standard-Benutzertyp.
  4. Wenn Abteilung nicht HR entspricht, dann ist Benutzertyp Eingeschränkter Benutzertyp.
  5. Wenn Abteilung nicht HR oder Benutzerkonto entspricht, dann ist Benutzertyp Eingeschränkter Benutzertyp.
Vorsicht: Benutzerdefinierte Benutzertypen, Abteilungen und Gruppen müssen von einem Administrator erstellt werden, bevor wir die Zuordnung konfigurieren können, um Benutzer bei der Anmeldung automatisch zuzuweisen.
Tipp: Administrator-Konten sind gegen die Zuordnung von Benutzertyp immun. Administrator-Konten können nur von anderen Administratoren geändert werden.
Tipp: Als bewährte Praxis wird .* vor und nach einem erwarteten Wert (d. h. .*student.*) hinzugefügt, wenn nur ein Wert aufgeführt ist. Dies verhindert Verbrauchsprobleme des Wertes, wenn dieser zufällig innerhalb eines mehrwertigen Attributs übergeben wird.

Qualtrics wendet die Zuordnung von Benutzertyp und Abteilung in der Reihenfolge an, die auf den Zuordnungsbedingungen für Benutzertyp und Abteilung in Qualtrics basiert. Das bedeutet, wenn wir mehrere Bedingungen konfigurieren, die das System bei der Zuweisung von Benutzern zu einem bestimmten Benutzertyp oder einer Abteilung berücksichtigen soll, beginnt Qualtrics mit der obersten Bedingung und arbeitet sich nach unten vor.

Beispiel: Stellen Sie sich vor, dass wir eine Benutzertypzuordnung eingerichtet haben, um alle Benutzer im Fachbereich Psychologie dem Standard-Benutzertyp und alle Benutzer im Fachbereich Wirtschaft dem eingeschränkten Benutzertyp zuzuordnen. Wenn sich ein neuer Benutzer über SSO bei Qualtrics anmeldet und als Fachbereich sowohl „Psychologie“ als auch „Wirtschaft“ angibt, weil er vielleicht Kurse in beiden Bereichen unterrichtet, wird das System ihn dem Benutzertyp zuweisen, der zuerst in der Zuordnung beschrieben wird. Die folgende Einrichtung würde dazu führen, dass dem Benutzer automatisch der Standard-Benutzertyp zugewiesen wird:

  1. Wenn Abteilung Psychologie entspricht, dann ist Benutzertyp Standard-Benutzertyp
  2. Wenn Abteilung Wirtschaft entspricht, dann ist Benutzertyp Eingeschränkter Benutzertyp

Qualtrics wendet die Zuordnung von Gruppe in der Reihenfolge an, die auf den Benutzerattributwerten der SAML-Antwort basiert. Das bedeutet, wenn wir mehrere Bedingungen konfigurieren, die das System bei der Zuweisung von Benutzern zu einer bestimmten Gruppe berücksichtigen soll, beginnt das System mit der obersten Bedingung und arbeitet sich nach unten vor.

Beispiel: Stellen Sie sich vor, dass wir eine Gruppenzuordnung eingerichtet haben, um alle Benutzer im Fachbereich Psychologie der Gruppe Psychologie und alle Benutzer im Fachbereich Wirtschaft der Gruppe Wirtschaft zuordnen. Wenn sich ein neuer Benutzer über SSO bei Qualtrics anmeldet und als Fachbereich sowohl „Psychologie“ als auch „Wirtschaft“ angibt, weil er vielleicht Kurse in beiden Bereichen unterrichtet, wird das System ihn der Gruppe zuweisen, die zuerst in der SAML-Antwort beschrieben wird. Wenn die SAML-Antwort Folgendes übergeben hat, wird der Benutzer automatisch der Gruppe Psychologie zugewiesen:

<AttributeStatement>

<Attribute Name="Abteilung">

<AttributeValue>Psychologie</AttributeValue>

</Attribute>

<Attribute

<AttributeValue>Wirtschaft</AttributeValue>

</Attribute>

</AttributeStatement>

Wenn Benutzer einen Wert übergeben, der nicht in den Zuordnungsbedingungen des Benutzertyps beschrieben ist, wird er automatisch dem Organisationsbenutzertyp Selbstregistrierungs-Benutzertyp (Standard) (EN) zugewiesen, der von einem Administrator der Organisation konfiguriert wurde.

Tipp: Wenn Sie verhindern wollen, dass Benutzer sich bei Qualtrics anmelden können, sofern diese keinen Wert übergeben, der in den Zuordnungsbedingungen des Benutzertyps beschrieben ist, kann Qualtrics dies über Benutzertyp validieren (EN) tun.

Wenn Benutzer einen Wert übergeben, der nicht in den Zuordnungsbedingungen Abteilung oder Gruppe beschrieben ist, werden sie keiner Abteilung oder Gruppe zugewiesen. Ein Administrator (EN) kann Benutzer zu einer Abteilung (EN) oder einer Gruppe hinzufügen.

Tipp: Administratoren können allen Benutzern in der Organisation oder in einer bestimmten Abteilung eine Gruppe zur Verfügung stellen, wenn sie eine neue Gruppe erstellen (EN) oder aktualisieren.

CX-DASHBOARDS AUTOMATISCHE ROLLENREGISTRIERUNG

Wenn sich ein Benutzer über SSO bei Qualtrics anmeldet, kann er aus Ihrem System zusätzliche Informationen über sein Benutzerkonto versenden. Qualtrics hat die Möglichkeit, diese Informationen zu verwenden, um die CX-Dashboard-Rolle (EN) eines Benutzerkontos über automatische Rollenregistrierung (EN) zuzuweisen und zu aktualisieren.

Vorsicht: CAS 2.0 und Google OAuth 2.0 sind mit dieser Funktion nicht kompatibel, da sie keine zusätzlichen Attribute an das Qualtrics-System weitergeben können.

Benutzerinformationen als Benutzerattribute in CX-Dashboards speichern

Wenn sich ein Benutzer über SSO bei Qualtrics anmeldet, kann er aus Ihrem System zusätzliche Informationen über sein Benutzerkonto bei Qualtrics versenden. Qualtrics hat die Möglichkeit, diese Informationen in CX-Dashboards zu übergeben und zu aktualisieren und sie als Benutzerattribute (EN) zu speichern. Bitte stellen Sie sicher, dass Sie sich zwischen Ihrem IT-Team und dem Qualtrics SSO-Team absprechen, um die Attribute zu bestimmen, die Sie in Qualtrics übernehmen möchten.

Vorsicht: CAS 2.0 und Google OAuth 2.0 sind mit dieser Funktion nicht kompatibel, da sie keine zusätzlichen Attribute an das Qualtrics-System weitergeben können.
Tipp: Benutzerattribute (EN), die von SSO-Attributen abgeleitet werden, werden jedes Mal aktualisiert, wenn sich ein Benutzer über SSO bei der Plattform anmeldet, unabhängig davon, ob das Merkmal Benutzerattribute bei jeder Anmeldung aktualisieren aktiviert ist oder nicht.

Benutzerzugriff einschränken

GÜLTIGE E-MAIL-DOMÄNEN

Wenn Just-in-Time-Benutzerbereitstellung (EN) aktiviert ist oder Google OAuth 2.0 SSO verwendet wird, verweist Qualtrics bei der Authentifizierung von Benutzern auf gültige E-Mail-Domänen (EN), die für Ihre Qualtrics-Organisation aufgeführt sind. Nachdem sich Benutzer erfolgreich über SSO authentifiziert haben und Qualtrics ein neues Benutzerkonto erstellt hat, wird die E-Mail-Adresse des Benutzers überprüft, um zu sehen, ob die Domäne der E-Mail in der Liste der gültigen E-Mail-Domänen der Organisation berücksichtigt wird. Wenn die E-Mail des Benutzers eine gültige Domäne hat, erstellt das Qualtrics-System ein Konto für den Benutzer in Ihrer Organisation. Wenn die E-Mail des Benutzers keine gültige Domäne hat, verweigert das Qualtrics-System dem Benutzer den Zugriff auf die Plattform.

Wenn Sie den Qualtrics Support bitten, die Liste der gültigen E-Mail-Domänen Ihrer Organisation zu konfigurieren, können Sie einen Platzhalter (*) verwenden oder E-Mail-Domänen definieren. Der Platzhalter ermöglicht es jedem, der sich erfolgreich über Ihren SSO authentifiziert, ein Konto innerhalb Ihrer Qualtrics-Organisation zu erstellen, während es bei spezifischen E-Mail-Domänen eingeschränkt ist, wer ein Benutzerkonto in Ihrer Qualtrics-Organisation erstellt. Benutzer müssen sich sowohl erfolgreich über Ihre SSO authentifizieren als auch eine gültige E-Mail-Domäne übergeben, um ein Konto innerhalb Ihrer Qualtrics-Organisation zu erstellen.

Vorsicht: Selbst wenn der Platzhalter aktiviert ist, müssen Benutzer einen Wert im Format einer E-Mail-Adresse (z. B. value@domain) in ihrem SSO E-Mail-Attribut übergeben, um sich anzumelden. Wenn ein Wert übergeben wird, der dieses Format nicht aufweist, wird Benutzern der Zugriff verweigert.
Vorsicht: Wenn Sie bestimmte E-Mail-Domänen angeben, können Sie aus Sicherheitsgründen nur Domänen verwenden, die Ihrer Organisation gehören.
Tipp: Google OAuth 2.0-Konfigurationen müssen bestimmte E-Mail-Domänen enthalten, da dieser SSO-Typ keine Platzhalter unterstützt. Die E-Mail-Adressen der Benutzer werden bei jedem Anmeldeversuch anhand der bereitgestellten E-Mail-Domänen authentifiziert.

Wenn eine Handvoll Benutzer mit einer bestimmten E-Mail-Domäne Zugriff auf Qualtrics haben soll, Sie aber nicht möchten, dass alle Benutzer mit dieser Domäne sich selbst registrieren können, kann ein Administrator stattdessen die Benutzerkonten manuell erstellen (EN).

Die Validierung anhand der Liste der gültigen E-Mail-Domänen Ihrer Organisation erfolgt nur bei der Erstellung des Benutzerkontos, nicht bei jeder Anmeldung.

BENUTZERTYP VALIDIEREN

Qualtrics hat die Möglichkeit, Werte zu validieren, die für das Attribut Benutzertypzuordnung (EN) übergeben wurden. Dies bedeutet, dass jedes Mal, wenn ein Benutzer versucht, sich über SSO bei Qualtrics anzumelden, das System die Werte evaluiert, die für das Attribut übergeben wurden, um sicherzustellen, dass mindestens ein Wert in den Zuordnungsbedingungen des Benutzertyps berücksichtigt wird.

Beispiel: Stellen Sie sich vor, dass wir die folgenden Zuordnungsbedingungen des Benutzertyps eingerichtet haben:

  1. Wenn Abteilung Psychologie entspricht, dann ist Benutzertyp Psychologie.
  2. Wenn Abteilung Wirtschaft entspricht, dann ist Benutzertyp Wirtschaft.

Wenn ein Benutzer versucht, sich über SSO bei Qualtrics anzumelden, aber weder „Psychologie“ noch „Wirtschaft“ als Fachbereich angibt, verweigert Qualtrics den Benutzerzugriff.

Vorsicht: CAS 2.0 und Google OAuth 2.0 sind mit dieser Funktion nicht kompatibel, da sie keine zusätzlichen Attribute an das Qualtrics-System weitergeben können.