So richten Sie SAML Single Sign-On (SSO) in WordPress richtig ein

Bei WPBeginner haben wir stets darauf abgezielt, die Dinge für unser Team und unsere Benutzer einfacher zu machen. Als wir SAML Single Sign-On (SSO) in WordPress einrichteten, bewies es schnell seinen Wert für unser Team und verbesserte unsere Sicherheit.

Unser Team konnte mit nur einem Login auf alle ihre Tools zugreifen und wir hatten die Gewissheit, dass unsere Sicherheit stärker war.

SAML SSO ist eine solide Lösung für jedes Unternehmen, das auf Effizienz und Sicherheit Wert legt. Es ermöglicht Ihrem Team, sich einmal anzumelden, um auf alles zuzugreifen, während Sie die Kontrolle über Benutzerberechtigungen behalten. 

Viele Unternehmen stellen fest, dass SSO dazu beiträgt, passwortbezogene Supportanfragen zu reduzieren und die Produktivität zu steigern, indem es Benutzern den Zugriff auf die benötigten Tools erleichtert.

In diesem Leitfaden führen wir Sie durch die ordnungsgemäße Einrichtung von SAML Single Sign-On, damit Sie die Art und Weise, wie Ihre Website Anmeldungen verarbeitet, verändern können.

Was ist SAML Single Sign-On (SSO)?

SAML Single Sign-On (SSO) ermöglicht es Benutzern, sich mit Anmeldeinformationen von einem anderen vertrauenswürdigen Dienst wie Google Workspace, Okta oder Microsoft Entra ID bei WordPress anzumelden.

SAML steht für Security Assertion Markup Language. Es ist ein sicheres Protokoll, das es Ihrer WordPress-Website ermöglicht, mit einem Identitätsanbieter zu kommunizieren, um Benutzeranmeldungen zu überprüfen.

Mit aktiviertem SSO müssen sich Benutzer nur einmal anmelden, um auf mehrere Apps und Plattformen zuzugreifen, ohne jedes Mal separate Benutzernamen und Passwörter eingeben zu müssen.

Dies ist besonders nützlich für Unternehmen, Schulen, Mitgliederseiten und Remote-Teams, die mehrere Online-Tools verwalten. Bei WPBeginner hilft SSO beispielsweise Teammitgliedern, sicher auf die benötigten Tools mit einer einzigen Anmeldung zuzugreifen.

Warum SAML Single Sign-On in WordPress verwenden?

Die Einrichtung von SAML SSO in WordPress kann sowohl die Sicherheit als auch die Benutzererfahrung verbessern und gleichzeitig die Kontenverwaltung erheblich vereinfachen.

Hier sind einige der größten Vorteile:

• Website-Sicherheit verbessern: SSO reduziert passwortbezogene Risiken und ermöglicht die Verwendung stärkerer Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA).
• Anmeldeerlebnis vereinfachen: Benutzer benötigen nur eine Anmeldung, um auf mehrere Tools und Websites zuzugreifen.
• Benutzer einfacher verwalten: Administratoren können Benutzerzugriff und Berechtigungen von einem zentralen Identitätsanbieter aus steuern.
• Anmeldeprobleme und Supportanfragen reduzieren: Weniger vergessene Passwörter bedeuten weniger authentifizierungsbezogene Support-Tickets.
• Schnellere Onboarding- und Offboarding-Prozesse: Sie können Mitarbeitern, Studenten oder Teammitgliedern schnell den Zugriff gewähren oder entziehen.

Vor diesem Hintergrund wollen wir uns ansehen, wie Sie SAML Single Sign-On (SSO) in WordPress ordnungsgemäß einrichten. Sie können die unten stehenden Schnelllinks verwenden, um durch das Tutorial zu navigieren:

Schritt 1: miniOrange SAML Single Sign On installieren

Der einfachste Weg, SAML SSO auf Ihrer WordPress-Website zu aktivieren, ist mit dem miniOrange SAML Single Sign On Plugin.

Es ist kostenlos und ermöglicht Ihnen, Ihre Website mit Identitätsanbietern wie Google Apps zu verbinden. Das Plugin unterstützt in seinen kostenpflichtigen Versionen auch andere Identitätsanbieter wie Okta, OneLogin, Salesforce, Azure B2C, Keycloak, ADFS, Shibboleth 2, Auth0 und Sharepoint.

Darüber hinaus ermöglicht dieses Plugin Benutzern den Zugriff auf mehrere Websites und Anwendungen mit einer einzigen Anmeldung. Das heißt, Sie können die folgenden Schritte mit den restlichen Websites wiederholen, auf die Ihr Team zugreifen können soll.

Hinweis: Wenn Sie ein WordPress Multisite-Netzwerk betreiben, ist die Multisite-Unterstützung in den kostenpflichtigen Versionen des Plugins verfügbar.

Zuerst müssen Sie das Plugin installieren. Wenn Sie neu bei WordPress-Plugins sind, haben wir eine praktische Anleitung, die Sie Schritt für Schritt durch die Installation eines WordPress-Plugins führt.

Sobald das Plugin installiert ist, gehen Sie zu Ihrem WordPress-Dashboard und navigieren Sie zu miniOrange SAML 2.0 SSO » Plugin-Konfiguration.

Wechseln Sie dann zur Registerkarte „Service Provider-Metadaten“. Lassen Sie diese Seite geöffnet, da wir die Informationen hier im nächsten Schritt benötigen.

Schritt 2: Verbinden Sie Ihre Website mit einem Identitätsanbieter

Jetzt, da das Plugin in WordPress installiert ist, ist es an der Zeit, Ihre Website mit einem SAML-Identitätsanbieter (SAML IdP) zu verbinden.

Ein SAML IdP ist ein Dienst, der Benutzerkonten verwaltet und Benutzer authentifiziert. Stellen Sie es sich wie eine zentrale Anlaufstelle vor, bei der sich Benutzer einmal anmelden und diese Anmeldung ihnen Zugriff auf verschiedene Anwendungen gewährt, einschließlich Ihrer WordPress-Website.

Für dieses Beispiel verwenden wir Google Apps als unseren SAML IdP. Um Google Apps als SAML IdP zu verwenden, benötigen Sie jedoch ein Google Admin-Konto, das sich von Ihrem normalen Gmail-Konto unterscheidet.

Ein Google Admin-Konto verwaltet Benutzer und Einstellungen für die Google Workspace Ihres Unternehmens. Es endet normalerweise auch nicht mit der Endung @gmail.com.

1. Greifen Sie auf die Google Admin Console zu & Fügen Sie eine benutzerdefinierte SAML-App hinzu

Gehen Sie zuerst zur Seite der Google Admin Console.

Navigieren Sie im Seitenmenü zum Abschnitt „Apps“ und klicken Sie auf „Web- und mobile Apps“.

Öffnen Sie von hier aus das Dropdown-Menü 'App hinzufügen'.

Wählen Sie dann „Benutzerdefinierte SAML-App hinzufügen“ aus.

Geben Sie Ihrer benutzerdefinierten SAML-App nun einen Namen (etwas wie „miniOrange Custom SAML“) und eine kurze Beschreibung (wie „Eine SAML SSO-App für WordPress“).

Wenn Sie zufrieden sind, klicken Sie auf „Weiter“.

2. IdP-Metadaten herunterladen

Hier sehen Sie zwei Optionen zur Konfiguration von WordPress SSO.

Wir wählen die einfachere Option (Option 1), bei der die IdP-Metadaten heruntergeladen werden. Diese Methode ist viel schneller, da Sie Ihre IdP-Metadaten nicht manuell eingeben und Ihr x509-Zertifikat später kopieren und einfügen müssen.

Klicken Sie auf 'Metadaten herunterladen', um zu beginnen.

Scrollen Sie dann ganz nach unten.

Klicken Sie auf „Weiter“.

3. Details zum Dienstanbieter konfigurieren

Auf der nächsten Seite sehen Sie ein Formular für Ihre Dienstanbieterdetails.

In unserem Fall ist das unsere WordPress-Website mit Hilfe von miniOrange.

Wechseln Sie nun zurück zu Ihrem WordPress-Dashboard, wo Sie die miniOrange-Plugin-Seite auf dem Tab 'Service Provider Metadata' geöffnet gelassen haben.

Scrollen Sie nach unten, um Ihre Dienstanbieterinformationen (ACS-URL und Entitäts-ID) zu finden. Lassen Sie diese Seite geöffnet, da Sie zwischen dieser Seite und der Google Admin-Konsole hin und her wechseln müssen.

Gehen Sie nun zurück zur Google Admin Console und kopieren Sie Ihre ACS-URL in das Feld „ACS URL“ und Ihre Entitäts-ID in das Feld „Entitäts-ID“.

Stellen Sie sicher, dass Sie auch das Kontrollkästchen „Signed response“ (Signierte Antwort) aktivieren.

4. Namens-ID-Format festlegen

Scrollen Sie weiter nach unten auf der Seite, wählen Sie 'EMAIL' für das Name ID-Format und wählen Sie 'Basic Information > Primary email' für die Name ID.

Klicken Sie dann auf „Weiter“.

5. Benutzerattribute zuordnen

Der nächste Schritt besteht darin, Benutzerfelder hinzuzufügen und diese zwischen dem Google-Verzeichnis und Ihrer WordPress-Website (miniOrange-Plugin) zuzuordnen.

Dies ist im Wesentlichen so, als würden Sie auswählen, welche Informationen von Google-Konten auf Ihre WordPress-Site übertragen werden.

Klicken Sie auf „Zuordnung hinzufügen“, um zu beginnen. Fügen wir dann das Feld „Vorname“ von Google hinzu und ordnen es dem Attribut „firstname“ zu.

Sie können bei Bedarf weitere gängige Zuordnungen wie „Nachname“ zu „lastname“ und „E-Mail“ zu „email“ hinzufügen.

Sobald Sie die gewünschten Felder zugeordnet haben, scrollen Sie nach unten.

Klicken Sie dann auf „Fertig stellen“.

6. App für Benutzer aktivieren

Sie werden nun zur benutzerdefinierten SAML-App-Seite in Ihrer Google Admin Console weitergeleitet.

Der letzte Schritt ist die Aktivierung der App für Ihre Benutzer. Klicken Sie also auf „AUS für alle“.

Schalten Sie es jetzt einfach auf „EIN für alle“.

Schließlich klicken Sie auf „Speichern“, um die Konfiguration abzuschließen.

Schritt 3: WordPress SAML SSO-Einstellungen konfigurieren

Kehren wir zur miniOrange SSO-Plugin-Seite in Ihrem WordPress-Adminbereich zurück. Wir werden nun Ihre WordPress-SSO-Konfiguration einrichten.

Wechseln Sie nun zum Tab „Service Provider Setup“ und wählen Sie „Google Apps“ aus.

Scrollen Sie nach unten und navigieren Sie zum Tab „IDP-Metadaten hochladen“.

Hier müssen Sie den Namen des Identitätsanbieters eingeben (wahrscheinlich etwas wie „GoogleApps“) und die XML-Datei hochladen, die Sie zuvor aus der Google Admin-Konsole heruntergeladen haben.

Sobald alles ausgefüllt ist, klicken Sie auf „Hochladen“.

Herzlichen Glückwunsch! Sie haben Ihr WordPress-Blog erfolgreich mit Ihrem Google Apps SAML IdP verbunden. Konfigurieren wir nun einige zusätzliche Einstellungen.

Wechseln Sie zuerst zur Registerkarte 'Attribut-/Rollen-Zuordnung'.

Hier können Sie definieren, wie Benutzerinformationen von Google Apps mit Benutzerkonten in WordPress abgeglichen werden.

Scrollen Sie nach unten zum Abschnitt 'Rollenzuordnung' und wählen Sie die Standardbenutzerrolle aus, die Sie neuen Benutzern zuweisen möchten, die sich über SAML SSO anmelden.

In diesem Beispiel haben wir „Abonnent“ ausgewählt, eine Rolle mit geringen Rechten, die für viele Websites geeignet ist. Klicken Sie auf „Aktualisieren“, sobald Sie Ihre Wahl getroffen haben.

📍Wichtig: Wählen Sie die niedrigste Benutzerrolle, die zu Ihrem Anwendungsfall passt. Jeder Benutzer, der sich über SAML SSO anmeldet, kann diese Rolle automatisch erben. Die standardmäßige Zuweisung von Redakteur- oder Administratorberechtigungen könnte Benutzern mehr Zugriff gewähren, als beabsichtigt ist.

Wechseln Sie als Nächstes zur Registerkarte „Umleitungs- & SSO-Links“.

Hier können Sie Ihrer WordPress-Anmeldeseite einen praktischen Ein-Klick-Anmeldebutton für die Benutzerfreundlichkeit hinzufügen.

Stellen Sie einfach sicher, dass die Option mit der Bezeichnung „Eine Single Sign-On-Schaltfläche auf der WordPress-Anmeldeseite hinzufügen“ aktiviert ist.

Diese kleine Änderung fügt Ihrer WordPress-Anmeldeseite eine Schaltfläche „Mit [Identitätsanbietername] anmelden“ hinzu, wodurch es für Benutzer einfacher wird, sich mit ihren vorhandenen Google Apps-Anmeldeinformationen anzumelden.

So sieht unseres aus:

WordPress SAML Single Sign-On: Häufig gestellte Fragen

Wir haben die Schritte zur Konfiguration von WordPress SAML SSO behandelt, aber Sie haben möglicherweise noch einige Fragen. Werfen wir einen Blick auf einige häufig gestellte Fragen:

Sind SAML und SSO dasselbe?

Nein, SAML und SSO sind nicht dasselbe. SAML (Security Assertion Markup Language) ist ein spezifisches Protokoll, das zur Implementierung von SSO verwendet wird.

Es gibt neben SAML auch andere Möglichkeiten, SSO zu erreichen. SAML ist jedoch eine beliebte und sichere Option für die Implementierung von SSO in einer Vielzahl von Anwendungen, einschließlich WordPress.

Was ist der Unterschied zwischen SAML SSO und einem Ein-Klick-Login mit einem Plugin?

SAML SSO verwendet ein sicheres Authentifizierungsprotokoll und verbindet WordPress mit einem Identitätsanbieter wie Google Workspace oder Okta. Dies bietet stärkere Sicherheit und zentralisierte Benutzerverwaltung.

Ein-Klick-Login-Plugins sind in der Regel einfacher einzurichten und basieren oft auf OAuth, bieten aber möglicherweise nicht das gleiche Maß an Unternehmenssicherheit und Zugriffskontrolle wie SAML SSO.

Bietet WordPress Single Sign-On (SSO)?

WordPress enthält standardmäßig keine integrierte SSO-Unterstützung. Sie können jedoch problemlos SAML-SSO-Funktionalität mit WordPress-Plugins wie miniOrange SAML Single Sign On hinzufügen.

Sind SSO und Social Login dasselbe?

Nein, Social Login ist eine Art von SSO, aber sie sind nicht genau dasselbe. Social Login ermöglicht es Benutzern, sich mit Konten wie Google oder Facebook anzumelden, während SAML SSO eine breitere Palette von Unternehmensidentitätsanbietern unterstützt und erweiterte Sicherheitsfunktionen bietet.

Weitere Details finden Sie in unserem Leitfaden zur Anmeldung mit Social Media in WordPress.

WordPress-Sicherheitstipps, um die Anmeldung sicherer zu machen

Während der SAML SSO-Login ziemlich sicher ist, finden Sie hier einige zusätzliche Tipps, die Sie implementieren können, um Ihre WordPress-Sicherheit weiter zu verbessern:

• Erzwingen Sie starke Passwörter für Ihre WordPress-Benutzer.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für eine zusätzliche Sicherheitsebene.
• Beschränken Sie die Anzahl der Anmeldeversuche, um Brute-Force-Angriffe zu verhindern.
• Halten Sie Ausschau nach verdächtigen Anmeldeversuchen, indem Sie Ihre Anmeldeprotokolle überwachen.
• Beschränken Sie den Zugriff auf Ihren WordPress-Adminbereich nach IP-Adresse.
• Sichern Sie Ihre WordPress-Site regelmäßig im Falle von Sicherheitsverletzungen.
• Halten Sie Ihren WordPress-Core, Plugins und Themes auf dem neuesten Stand, um Sicherheitslücken zu schließen.
• Erzwingen Sie die Abmeldung aller Benutzer und lassen Sie diese von Zeit zu Zeit Passwörter in WordPress ändern.

Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie SAML SSO in WordPress einrichten. Möglicherweise möchten Sie auch unseren Leitfaden zum Erhalten eines kostenlosen SSL-Zertifikats für Ihre Website und unsere Expertenauswahl der unverzichtbaren WordPress-Plugins zum Wachstum Ihrer Website lesen.

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.