OIDC-basiertes Single Sign-On in memoQ TMS einrichten – Teil 2 – für einen memoQ-Administrator

Nachdem der Systemadministrator des Unternehmens den Authentication Manager in memoQ TMS eingerichtet hat (siehe Teil 1 dieses Dokuments), kann ein memoQ-Admin-Benutzer mit dem Erstellen oder Aktualisieren der Serverbenutzer beginnen.

SSO-Benutzer auf einem neuen memoQ TMS einrichten

In der Benutzerdatenbank eines neu installierten memoQ TMS gibt es zwei Benutzer: den integrierten admin-Benutzer und den deaktivierten guest-Benutzer. Dies sind lokale Benutzer auf dem Server, die sich mit ihrem memoQ-Benutzernamen und -Kennwort anmelden können. Das Admin-Kennwort wurde bei der Serveraktivierung festgelegt und kann jederzeit im memoQ TMS Deployment Tool geändert werden.

SSO ist nicht für alle Benutzer ein Muss: Nachdem Sie Single Sign-On eingerichtet haben, können Sie immer noch "traditionelle" Benutzer in memoQ TMS anlegen. Diese melden sich nicht mit ihren Unternehmensdaten an: Sie verwenden einen memoQ TMS-Benutzernamen und ein Kennwort.

So richten Sie SSO-Benutzer auf dem neuen Server ein:

  1. Melden Sie sich zuerst mit memoQweb oder der memoQ Desktop-App am memoQ TMS an.

    • Öffnen Sie in memoQweb einfach die Anmeldeseite.
    • Klicken Sie in der memoQ Desktop-App auf den Link Anmeldedaten löschen am Dashboard und klicken Sie dann auf das Häkchen icon_choose-server neben dem Servernamen. Wählen Sie dann im Fenster Am Server anmelden die Option Einen externen Identitätsprovider verwenden.
  2. Wenn es auf der Anmeldeseite zwei oder mehr ID-Anbietersysteme gibt, wählen Sie Ihr System aus der Liste aus.
  3. Die Anmeldeseite Ihres ID-Anbieters wird geöffnet. Melden Sie sich mit dem Benutzernamen und Passwort Ihres Unternehmens an (und führen Sie bei Bedarf eine Multi-Faktor-Authentifizierung durch).
  4. Wählen Sie die Option Nein, ich bin zum ersten Mal hier. und schließen Sie memoQ oder den Browser.
  5. Melden Sie sich jetzt in memoQweb als Admin-Benutzer mit den jeweiligen memoQ-Zugangsdaten an.
  6. Klicken Sie in der linken Seitenleiste auf das Symbol Administration Symbol Admin..
  7. Klicken Sie im Fenster Administration auf die Schaltfläche Benutzer. Der Bildschirm Benutzer wird geöffnet.
  8. Klicken Sie auf den neu erstellten Benutzer und setzen Sie unten auf der Seite dessen Kontostatus auf Aktiv.
  9. Klicken Sie auf die Schaltfläche Benutzer aktualisieren.
  10. Fügen Sie den Benutzer im Abschnitt Mitgliedschaft in der Gruppe zur Gruppe Administratoren hinzu.
  11. Melden Sie sich von memoQweb ab und melden Sie sich bei memoQ oder memoQweb mit dem Benutzernamen und dem Passwort Ihres Unternehmens an.

Von nun an können Sie sich mit den Anmeldedaten Ihres Unternehmens anmelden und haben die gleichen Rechte wie der ursprüngliche Administrator. Administratoren haben die volle Befugnis zum Erstellen, Ändern, Verwalten und Löschen von Serverbenutzern, Ressourcen und Projekten.

Wir empfehlen, den integrierten Admin-Benutzer nicht für Ihre tägliche Arbeit zu verwenden. (Ändern Sie einfach das Kennwort und bewahren Sie es an einem sicheren Ort auf.) Außerdem kann er nicht mit SSO verwendet werden. Dies ist eine Absicherung für Notfallsituationen, in denen memoQ TMS keine Verbindung zum Identitätsanbieter herstellen kann – Sie können dann immer noch mit dem integrierten Admin-Benutzer auf den Server zugreifen.

Benachrichtigen Sie die Benutzer, die sich mit SSO bei memoQ TMS anmelden müssen. Sie sollten:

  1. Melden Sie sich zuerst mit memoQweb oder der memoQ Desktop-App am memoQ TMS an.

    • Öffnen Sie in memoQweb einfach die Anmeldeseite.
    • Klicken Sie in der memoQ Desktop-App auf den Link Anmeldedaten löschen am Dashboard und klicken Sie dann auf das Häkchen icon_choose-server neben dem Servernamen. Wählen Sie dann im Fenster Am Server anmelden die Option Einen externen Identitätsprovider verwenden.
  2. Wenn es auf der Anmeldeseite zwei oder mehr ID-Anbietersysteme gibt, wählen Sie Ihr System aus der Liste aus.
  3. Die Anmeldeseite Ihres ID-Anbieters wird geöffnet. Melden Sie sich mit dem Benutzernamen und Passwort Ihres Unternehmens an (und führen Sie bei Bedarf eine Multi-Faktor-Authentifizierung durch).
  4. Wählen Sie die Option Nein, ich bin zum ersten Mal hier. und schließen Sie memoQ oder den Browser.
  5. Bitten Sie den memoQ-Administrator, Ihre Registrierung in memoQweb zu genehmigen.

Wenn sich ein Benutzer zum ersten Mal mit den Anmeldeinformationen seines Identitätsanbieters mit einem memoQ TMS verbindet, erstellt der Authentication Manager einen neuen, noch nicht registrierten Benutzer, der keiner Gruppe angehört. Bevor sie sich anmelden und etwas auf dem Server tun können, muss ein Administrator ihre Registrierung genehmigen und sie einer Benutzergruppe hinzufügen (oder – in besonderen Fällen – ihre Benutzerberechtigungen individuell einrichten).

Der Authentication Manager füllt die im System des Identitätsanbieters vorhandenen Benutzerdaten aus (z. B. den vollständigen Namen oder die E-Mail-Adresse). Das OIDC-Protokoll sendet jedoch keine Informationen über die Gruppenzugehörigkeit, sodass memoQ TMS neu erstellte Benutzer nicht zu den entsprechenden Gruppen hinzufügen kann. Aus diesem Grund muss ein Administrator Benutzer und Gruppen in memoQ TMS einrichten.

Melden Sie sich bei memoQweb als Administrator an, fügen Sie die Benutzer nach Bedarf zu Gruppen hinzu, richten Sie ihre Zugriffsrechte ein und ändern Sie ihren Kontostatus auf Aktiv.

Wenn Sie Benutzer haben, die nicht in Ihrem Firmen-Identitätsanbieter zugehören, können Sie – als memoQ-Administrator – memoQ-Benutzer für sie in der memoQ-Desktop-App oder in memoQweb erstellen.

Sagen Sie den neu angelegten Benutzern, dass sie sich bei memoQ TMS anmelden sollen. Senden Sie ihnen die Serveradresse, ihren Benutzernamen und ihr Kennwort.

Wenn Sie auf der Benutzerverwaltungsseite von memoQweb Benutzer hinzufügen, können Sie ein temporäres Kennwort festlegen, das der Benutzer bei der ersten Anmeldung ändern muss.

Zu SSO auf einem bereits verwendeten Server wechseln

Nach dem Upgrade von memoQ TMS auf 9.5 oder höher und der Konfiguration des Authentication Manager wie in Teil 1 dieser Anleitung beschrieben, können Benutzer ihren Anmeldemodus auf SSO ändern.

Benachrichtigen Sie die Benutzer, die sich mit den Anmeldedaten ihres Identitätsanbieters anmelden müssen – dies kann nur einige Benutzer (z. B. das interne Lokalisierungsteam) oder alle Serverbenutzer betreffen.

Bitten Sie die Benutzer, folgende Schritte durchzuführen:

  1. Melden Sie sich zuerst mit memoQweb oder der memoQ Desktop-App am memoQ TMS an.

    • Öffnen Sie in memoQweb einfach die Anmeldeseite.
    • Klicken Sie in der memoQ Desktop-App auf den Link Anmeldedaten löschen am Dashboard und klicken Sie dann auf das Häkchen icon_choose-server neben dem Servernamen. Wählen Sie dann im Fenster Am Server anmelden die Option Einen externen Identitätsprovider verwenden.
  2. Wenn es auf der Anmeldeseite zwei oder mehr ID-Anbietersysteme gibt, wählen Sie Ihr System aus der Liste aus.
  3. Die Anmeldeseite Ihres ID-Anbieters wird geöffnet. Melden Sie sich mit dem Benutzernamen und Passwort Ihres Unternehmens an (und führen Sie bei Bedarf eine Multi-Faktor-Authentifizierung durch).
  4. Wählen Sie die Option Nein, ich bin zum ersten Mal hier. und schließen Sie memoQ oder den Browser.
  5. Wählen Sie auf dem nächsten Bildschirm in memoQ oder memoQweb die Option Ich habe bereits auf diesem Server gearbeitet.

  6. Geben Sie Ihren memoQ-Benutzernamen und das Passwort ein, das Sie zuvor verwendet haben.

    Wenn Sie sich bisher mit Ihrem Windows-Benutzer in memoQ TMS angemeldet haben, geben Sie diesen Benutzernamen und das Passwort ein.

  7. memoQ wird Ihren Anmeldemodus auf Single Sign-On ändern. Von nun an können Sie sich nur noch mit dem Benutzernamen und Passwort Ihres Unternehmens auf dem memoQ TMS anmelden.

Schritt 5 bedeutet, dass die Benutzer ihre Konten von der Windows-basierten SSO zur OIDC-basierten migrieren können. Wenn Sie in Ihrem Unternehmen ein Windows-basiertes SSO eingerichtet haben, finden Sie hier weitere Informationen.

Die Mitgliedschaft in der Gruppe und die Berechtigungen der Benutzer werden nicht geändert. Die Liste im Fenster Benutzerverwaltung des Server-Administrators zeigt ein grünes Schildsymbol icon-oidc-sso bei der Herkunft des Kontos an. Die QuickInfo des Symbols zeigt den Identitätsanbieter und den Kontostatus an. In memoQweb zeigt die Benutzer-Liste SSO als Kontotyp an.

Wenn jemand aus Versehen "Ich bin zum ersten Mal hier" auswählt, sollte er einen memoQ-Administrator um Hilfe bitten, der den frisch erstellten Benutzer in memoQ TMS löschen kann.

Sie können den Wechsel zu SSO nicht erzwingen: Derzeit können Sie nicht verhindern, dass sich ein Benutzer mit seinem memoQ TMS-Benutzernamen und Kennwort anmeldet.

Versionskompatibilität

OpenID Connect-basiertes SSO funktioniert nur in den Versionen 9.5 und höher. Frühere Versionen von memoQ TMS können Benutzer mit OIDC-Herkunft nicht erkennen und verwalten. Frühere Versionen der memoQ-Desktop-App führten zu Problemen wie diesen:

  • Sie können sich nicht mit Ihren SSO-Benutzern anmelden – es gibt keine solche Option im Fenster Am Server anmelden.
  • Sie können SSO-Benutzer und -Gruppen nicht mit SSO-Benutzern verwalten.

Wenn Sie an Projekten auf einem Server arbeiten, der OIDC-basiertes SSO verwendet, müssen Sie eine Version 9.5 (oder höher) der memoQ-Desktop-App verwenden.

Benutzer, die nur eine Lizenz für frühere Versionen der memoQ-Desktop-App besitzen, benötigen Folgendes:

  • ein gültiges SMA, damit sie ihre Lizenzen auf die neueste Version aktualisieren können, oder

  • eine Lizenz von Ihrem Server, damit sie eine kompatible Version verwenden können, die sie in einem anderen Ordner auf ihren Computern installieren. Dann können sie die neue Version für die Verbindung mit Ihrem Server und die frühere Version mit ihrer eigenen Lizenz für andere Jobs verwenden.

    Benutzer, die mit einer CAL-Lizenz auf Ihrem Server arbeiten, müssen den Benutzernamen und ihr Passwort ihres Identitätsanbieters jedes Mal eingeben, wenn sie sich mit Ihrem Server verbinden. Die memoQ-Desktop-App speichert keine Anmeldedaten von Identitätsanbietern.