Leitfaden zu SAML SSO
Wer kann diese Funktion verwenden?
Verfügbar für Organization- und Enterprise-Abos
Nur Unternehmensadmins
Single-Sign-On (SSO) ermöglicht es Benutzer*innen, sich bei vielen Anwendungen oder Websites über einen Identitätsanbieter anzumelden. Security Assertion Markup Language (SAML) ist ein Sicherheitsstandard zur Verwaltung von Authentifizierung und Zugriff.
Bei einer SAML-SSO-Einrichtung verwaltet der Identitätsanbieter die Benutzerkonten und Anmeldeinformationen der Organisation. Der Dienstanbieter (Figma) ist die Anwendung oder Website, die Benutzer*innen oder der Organisation Dienste zur Verfügung stellt.
Bei Verwendung von SAML SSO melden sich Mitglieder mit dem Identitätsanbieter der Organisation bei ihrer Figma Organization an.
So funktioniert SAML SSO:
- Mitglied versucht, sich mit SAML SSO bei Figma anzumelden
- Figma sendet eine SAML-Anfrage an den Identitätsanbieter
- Der Identitätsanbieter prüft die Berechtigungsnachweise dieses Mitglieds
- Der Identitätsanbieter sendet eine Antwort an Figma, um die Identität des Mitglieds zu überprüfen
- Figma akzeptiert die Antwort und meldet das Mitglied bei seinem Figma-Konto an.
Hinweis: Figma verwendet SAML 2.0 für alle SAML-SSO-Konfigurationen. Dies umfasst Konfigurationen mit unterstützten Identitätsanbietern und alle benutzerdefinierten Konfigurationen.
SAML SSO einrichten
Der Vorgang zum Konfigurieren von SAML hängt von deinem jeweiligen Identitätsanbieter ab. Nachfolgend haben wir den allgemeinen Prozess zur Implementierung von SAML SSO beschrieben.
SAML SSO gilt nur für Mitglieder einer Figma Organization. Gäste können sich über Google SSO oder ihre E-Mail-Adresse und ihr individuelles Passwort anmelden, unabhängig von den SAML-SSO-Einstellungen einer Organisation.
Für Benutzer*innen von Figma for Government: Alle Benutzer*innen, die die Figma for Government-Lösung verwenden, müssen SAML SSO verwenden. Identitätsanbieteranwendungen des Figma-Marktplatzes, wie beispielsweise Microsoft oder Okta, sind nicht mit Figma for Government kompatibel. Bitte verwende den SAML SSO-Einrichtungsablauf für deinen Identitätsanbieter, wie unten beschrieben.
1. Domänen bestätigen
Durch das Hinzufügen und Überprüfen von Domänen über die Domänenerfassung wissen wir, wen wir als Mitglied und wen wir als Gast behandeln sollen.
Beispiel: ACME Corp hat drei Domänen für seine Organisation registriert: acme.org
, acmecorp.org
, und dev.acme.org
.
Jeder Person mit einer acme.org
, acmecorp.org
, oder dev.acme.org
E-Mail-Adresse ist ein Mitglied. Mitglieder können sich über SAML SSO anmelden.
Jede Person mit einer E-Mail-Adresse, die nicht mit diesen Domänen übereinstimmt, ist ein Gast und kann sich nicht über SAML anmelden. Beispiel: name@gmail.com
oder name@notyourdomain.com
Hinweis: Wenn du SAML SSO verwenden möchtest, musst du jede Domain, die du in Figma verwenden möchtest, bei deinem Identitätsanbieter registrieren. E-Mail-Aliase funktionieren nicht mit SAML-SSO.
Achtung! Um den Zugang zu bestehenden Dateien und Projekten zu behalten, müssen die Mitglieder ein Konto haben, das auf ihre Unternehmens-E-Mail registriert ist. Wir empfehlen, sicherzustellen, dass jeder in Figma die richtigen E-Mails verwendet, bevor Sie SAML SSO einrichten.
2. Figma zu deinem Identitätsanbieter hinzufügen
Wenn du Figma zu deinem Identitätsanbieter hinzufügst, erhältst du eine Metadaten-URL. Dies ist ein XML-Link, den Figma verwendet, um eine Verbindung zu deinem Identitätsanbieter herzustellen und Benutzer*innen zu authentifizieren, wenn sie sich anmelden.
Figma unterstützt dedizierte Integrationen mit den folgenden Identitätsanbietern:
Hinweis: Du kannst auch eine benutzerdefinierte SAML-Konfiguration mit einem Anbieter einrichten, der nicht in dieser Liste steht. Dazu musst du eine benutzerdefinierte Anwendung bei deinem Identitätsanbieter einrichten. Richte eine benutzerdefinierte SAML-Konfiguration ein →
*Wenn du Google SAML SSO verwenden möchtest, musst du eine benutzerdefinierte SAML-Konfiguration einrichten. Erfahre mehr über Google SAML SSO →
3. SAML SSO in Figma einschalten
Als Nächstes musst du SAML SSO in Figma einrichten. So wird:
- SAML SSO für deine Organisation aktiviert
- Dein Identitätsanbieter mit deinem Figma-Konto verbunden
- Du kannst wählen, welche Methoden die Mitglieder zur Anmeldung verwenden können
Du musst entscheiden, ob die Anmeldung über SAML-SSO obligatorisch ist oder ob sich Benutzer*innen weiterhin über E-Mail-Adresse und Passwort anmelden können. Wir empfehlen dir, die Anmeldung über eine beliebige Methode während des Einrichtungsprozesses zuzulassen.
Wenn du Google SSO einrichten möchtest, müssen sich alle Benutzer*innen über Google SSO anmelden. Es gibt keine Möglichkeit, dies optional oder nur für bestimmte Benutzer*innen zu aktivieren. Anmelde- oder Authentifizierungsmethode festlegen →
4. SAML SSO bei deinem Identitätsanbieter einrichten
Schließe den Rest des Einrichtungsvorgangs mit deinem Identitätsanbieter ab.
- SAML SSO mit Okta
- SAML SSO mit Microsoft Entra ID
- SAML SSO mit OneLogin
- SAML SSO für ADFS
- Benutzerdefinierte SAML-Konfiguration einrichten
Hinweis: Neben username oder Name-ID unterstützt Figma vier Attribute in einer SAML-Assertion: givenName, familyName, displayName und title. Figma ignoriert alle zusätzlichen Attribute.
5. SCIM-Bereitstellung einrichten (optional)
Alle SAML SSO-Konfigurationen unterstützen „Just In Time“ (JIT) oder manuelle Bereitstellung. Durch JIT-Bereitstellung kann Figma Benutzer*innen in Figma erstellen und aktualisieren.
- Beim Erstellen von Benutzer*innen verwendet Figma Informationen aus den vier unterstützten Attributen in der SAML-Antwort des Identitätsanbieters.
- Wenn du Benutzer*innen im Identitätsanbieter aktualisierst, werden die Änderungen bei der nächsten Anmeldung der Benutzer*innen wirksam.
Du kannst die automatische Bereitstellung über SCIM aktivieren. SCIM überträgt Änderungen sofort und ermöglicht dir, Benutzer*innen zu importieren und zu deaktivieren.
- Unterstützte Identitätsanbieter: Du kannst die Bereitstellung über SCIM aktivieren. Eine Anleitung zur Einrichtung der automatischen Bereitstellung über SCIM findest du in den Artikeln der einzelnen Anbieter.
- Benutzerdefinierte SAML-Konfiguration: Du kannst SCIM mit deinem gewählten Identitätsanbieter einrichten. Erfahre mehr über das Einrichten einer benutzerdefinierten SCIM-Konfiguration →
Mit dem Organization-Abo ist es nicht möglich, einer Person einen Lizenztyp außerhalb von Figma zuzuweisen. Figma gibt jeder Person, die der Organisation beitritt, die einführende Lizenz „Betrachter*in“ Mehr über kostenlose und bezahlte Lizenzen in Figma erfahren →
Beim Enterprise-Abo kannst du die Lizenzen der Mitglieder über SCIM festlegen. Auf diese Weise kannst du die Figma Design- und FigJam-Lizenzen einer Person festlegen, bevor diese der Organisation beitritt. Wenn du den Lizenztyp eines Mitglieds über SCIM festlegst, ignoriert Figma die Standardeinstellungen des Lizenztyps der Organisation.
Musst du Änderungen an deinen SAML-SSO-Einstellungen vornehmen? Du kannst deine Einstellungen jederzeit bearbeiten.
6. Deine Benutzer*innen über die Änderung informieren
Wenn sich Benutzer*innen zum ersten Mal mit SSO bei Figma anmelden oder nachdem sie über SCIM bereitgestellt wurden, erhalten sie eine Bestätigungs-E-Mail von SendGrid. Diese E-Mail enthält eine einmalige 6-stellige PIN, die sie nur einmal als zusätzliche Sicherheitsmaßnahme bei der Erstanmeldung verwenden werden.
Um sicherzustellen, dass Benutzer*innen die E-Mail nicht mit Spam oder einem Phishing-Versuch verwechseln, solltest du sie im Voraus über diesen zusätzlichen Schritt informieren.