Authentifizieren von Studio-Benutzern mithilfe von Single Sign-On
Single Sign-On (SSO) ist ein Sitzungs- und Benutzerauthentifizierungsdienst, mit dem ein Benutzer einen Satz von Anmeldeinformationen (z. B. Benutzername und Kennwort) verwenden kann, um auf mehrere Anwendungen zuzugreifen. Der Dienst authentifiziert den Endbenutzer für alle Anwendungen, für die dem Benutzer Rechte erteilt wurden, und eliminiert weitere Eingabeaufforderungen, wenn der Benutzer während derselben Sitzung die Anwendung wechselt.
Für Video Cloud Studio ist SAML-basierte Single Sign-On-Unterstützung verfügbar, mit der Publisher über SSO über einen Identity Provider (IdP) Ihrer Wahl auf das Studio zugreifen können. Einige der Funktionen umfassen:
- Video Cloud Studio unterstützt das SAML 2.0 SSO-Protokoll
- Die Identitätszuordnung basiert auf dem Benutzernamen (vollständige E-Mail-Adresse) und nicht nur auf einer einzelnen E-Mail-Domain. Dies bietet Publishern, die möchten, dass einige Benutzer für SSO aktiviert werden und andere die reguläre Video Cloud Studio-Anmeldung durchlaufen, mehr Flexibilität.
- Sobald ein Konto und seine vorhandenen Benutzer für SSO konfiguriert sind, erben neue Benutzer, die dem Konto über die Benutzeroberfläche von Video Cloud Studio hinzugefügt werden, das SSO-Setup des Benutzers, der sie hinzufügt
- Video Cloud Studio unterstützt die vom Dienstanbieter initiierte Anmeldung für SSO. Wir unterstützen derzeit keinen direkten IdP, können jedoch eine URL bereitstellen, um den Anmeldebildschirm von Video Cloud Studio zu umgehen, auf den über Ihr Identity Provider-Portal verwiesen werden kann.
Weitere Informationen dazu, wie Sie Ihr Konto für SSO aktivieren können, erhalten Sie von Ihrem Customer Success Manager.
Leistungen
Einige der Vorteile des Hinzufügens von SSO für die Video Cloud Studio-Anmeldung sind:
- Einmaliges Login für alle Anwendungen - Das Speichern mehrerer Benutzernamen und Kennwörter wird schwierig und für IT-Teams (oder Kontoverwalter der Tools) schwierig zu handhaben. Durch Aktivieren von SSO und Hinzufügen eines Video Cloud Studio-Logins müssen sich Brightcove-Kontoadministratoren nicht mehr mit diesen Problemen befassen, und Benutzer des Tools müssen sich keinen separaten Benutzernamen / Kennwort für Video Cloud Studio merken.
- Sicherheits- und Passwortanforderungen - Unternehmen haben unterschiedliche Anforderungen an das Benutzerkennwort, dh Länge, Dauer und Komplexität. Durch die Verwendung von SSO kann Brightcove diese Anforderungen erfüllen, ohne das integrierte Sicherheitsmanagement von Video Cloud Studio ändern zu müssen, um den einzelnen Anforderungen gerecht zu werden.
- Deaktivieren Sie den Benutzerzugriff schnell und einfach - Mit Single Sign-On kann die IT-Abteilung Benutzer zentral verwalten und den Benutzerzugriff entfernen, sobald ein Mitarbeiter das Unternehmen verlässt. SSO verhindert, dass verärgerte Benutzer Brightcove-Medien, -Player, -Token usw. ändern oder löschen.
Einschränkungen
- Die Just-in-Time-Benutzerbereitstellung für SAML wird derzeit nicht unterstützt. Benutzer müssen weiterhin über Studio zu Konten hinzugefügt werden, und Berechtigungen / Modulzugriffskontrolle werden über die Benutzeroberfläche für die Studio-Benutzerverwaltung konfiguriert. Wenn neue Benutzer zu einem Konto hinzugefügt werden, erben sie das SSO-Setup des Benutzers, der sie hinzufügt.
- SSO kann für Testkonten nicht aktiviert werden.
FAQ
Ich weiß, dass SAML-basiertes SSO unterstützt wird, aber was ist mit Zwei-Faktor- (2FA) oder Multi-Faktor-Authentifizierung? Wird das unterstützt?
Nein, wir haben derzeit keine Pläne, 2FA bei regulären Studio-Anmeldungen zu unterstützen. Sie können die Anmeldung für SAML-basiertes SSO aktivieren und 2FA zu Ihrem IdP-Setup hinzufügen. Dies wird jedoch von Ihrem IT-Team auf Ihrem eigenen IdP konfiguriert.
Gibt es Pläne, andere SSO-Protokolle wie CAS oder Kerberos zu unterstützen?
Zur Zeit nicht.
Wir haben einige Benutzer in unserem Konto, die SSO nicht durchlaufen sollten, und andere, die SSO durchlaufen müssen. Wird das unterstützt?
Jawohl. SSO wird auf Benutzerbasis aktiviert, sodass einige Benutzer für die SSO-Anmeldung und andere für die reguläre Studio-Anmeldung aktiviert werden können. Beachten Sie, dass es in der Benutzeroberfläche der Studio-Benutzerverwaltung keine Möglichkeit gibt, den Authentifizierungspfad auszuwählen, den ein Benutzer durchlaufen soll, wenn ein neuer Benutzer zum Konto hinzugefügt wird. Derzeit erbt der Benutzer den Authentifizierungspfad, für den der Administrator, der sie hinzufügt, konfiguriert ist. Wir planen, eine Option für die Auswahl im Studio zu einem späteren Zeitpunkt verfügbar zu machen. Die Problemumgehung für gemischte Authentifizierungsabläufe besteht derzeit darin, einen Administrator für SSO und einen für die reguläre Studio-Anmeldung zu konfigurieren. Der Administrator sollte sich beim Hinzufügen neuer Benutzer bei dem entsprechenden Benutzerkonto anmelden, basierend auf der Authentifizierungsmethode, für die sie eingerichtet werden sollen.
Während wir die Flexibilität unterstützen, unterschiedliche Benutzer für unterschiedliche Identitätsanbieter zu konfigurieren, haben wir auch Kunden, die möchten, dass ein einzelner IdP und jeder Benutzer immer für diesen einzelnen IdP konfiguriert wird. Diese Konfiguration ist ebenfalls verfügbar.
Wird die Möglichkeit unterstützt, mehrere Identitätsanbieter für Benutzer in einem einzigen Konto einzurichten?
Jawohl. Wir können mehrere Identitätsanbieter für eine bestimmte Organisation (Kunden) einrichten und Benutzer jedem IdP zuweisen. Siehe die obige Frage zur Vererbung von Authentifizierungspfaden beim Hinzufügen eines neuen Benutzers zu einem Konto.
Ist die lokale Anmeldung (Benutzername / Kennwort für Studioauthentifizierung) direkt bei Brightcove zulässig, wenn SAML SSO für einen Benutzer aktiviert ist?
Nein. Sobald ein Benutzer für SSO aktiviert ist, kann er sich nur noch bei seinem Konto authentifizieren.
Unterstützt Brightcove SAML v2.0 mit SP-initiiertem SSO?
Ja
- Die SP-initiierte Anmeldung wird über eine spezielle direkte Domain-Anmelde-URL unterstützt, die folgendermaßen aussieht:
https://signin.brightcove.com/login/ext/saml?behavior=xxxxxxxxx
- Es ist auch möglich, dass Benutzer zum gehen
signin.brightcove.com
Seite. Wenn sie auf der Brightcove-Anmeldeseite Benutzername / Passwort eingeben, werden sie zur Anmeldung an Ihren IdP weitergeleitet (falls Sie noch nicht angemeldet sind). Beachten Sie, dass das Kennwortfeld auf der Brightcove-Anmeldeseite ignoriert wird. Wir überprüfen nur die E-Mail-Adresse, um festzustellen, ob der Benutzer für SSO aktiviert ist.
Unterstützt Brightcove die Verwendung des RelayState-Parameters in SAMLRequest / SAMLResponse für den direkten Zugriff auf Videos nach SSO?
Nein. Nach der Anmeldung über SSO werden Benutzer immer zum Studio Home-Dashboard weitergeleitet.
Unterstützt die SSO-Integration Single Sign-Out?
Nein.
Welche Identitätsanbieter werden unterstützt?
Während Brightcove nicht mit allen SSO-Identitätsanbietern getestet wurde, sind wir zuversichtlich, dass es keine Probleme geben sollte, solange Ihr IdP SAML 2.0 unterstützt. Einige der häufigsten, über die wir mit Kunden gesprochen haben, sind: Okta, Ping Federated, Ping Identity, Microsoft Active Directory, OneLogin und Auth0.