Info
Diese Funktion ist nur im Unlimited Plan verfügbar.
Wir erklären Ihnen hier, wie Sie die Anmeldung für LAWLIFT-Nutzer über SSO einstellen. Aus internen Gründen kann es erforderlich sein, dass sich Ihre Mitarbeiter ausschließlich per SSO in LAWLIFT anmelden.
Achtung
Bitte beachten Sie, dass die Menüpunkte DOKUMENTE und DATEIEN bzw. MANDANTEN und FALLGRUPPEN aus Gründen der Informationssicherheit bei einem solchen Login nicht angeboten werden können.
Schritt 1: SSO aktivieren
Info
Die Einstellungen können nur von der Rolle des Superadmins vorgenommen werden. Um SSO für Nutzer aktivieren zu können, ist es notwendig, dass Sie LAWLIFT auf einer Subdomain verwenden. Kontaktieren Sie hierzu bitte unseren Support unter support@lawlift.de.
Klicken Sie auf den Menüpunkt ADMIN und auf WEITERE AKTIONEN. Aktivieren Sie nun Single-Sign-On und klicken Sie auf den darunter befindlichen Button zur Konfiguration.
Schritt 2: SSO-Konfiguration hinzufügen
Klicken Sie in der Konfiguration auf die Schaltfläche Bearbeiten, fügen Sie die Discovery-URL hinzu und laden Sie die Einstellungen. Fügen Sie auch die Client-ID und das Client-Secret hinzu.
Schritt 3: Standardbenutzerrolle für die neuen SSO-Benutzer hinzufügen:
Diese Rolle wird allen Benutzern hinzugefügt, die sich zum ersten Mal mit SSO anmelden.
Info
Bei SSO für Publikationen müssen Sie diese Redirect URL in Microsoft Entra ID hinterlegen:
https://app.lawlift.de/auth/publications
Bei SSO für Nutzer dies:
Wenn Sie beides benötigen, müssen Sie auch beide Redirect URLs hinterlegen
Optionaler Schritt 4: Verhindern Sie einen Silent Login
Wenn der Benutzer bereits beim SSO-Provider angemeldet ist, verhindert diese Option die Anmeldung ohne Passwort (Silent Login). Der Benutzer muss das Passwort jedes Mal eingeben, wenn er einen neuen Tab öffnet.
Optionaler Schritt 5: Automatische Benutzererstellung verhindern:
Wenn sich ein Kunde zum ersten Mal bei seinem SSO-Anbieter anmeldet, wird standardmäßig automatisch ein LAWLIFT-Benutzerkonto erstellt. Mit dieser Einstellung kann dies verhindert werden und nur vorab erstellte Benutzer (mit der entsprechenden E-Mail-Adresse) können sich in der App anmelden.
Optionaler Schritt 6: Eingeschränkter Gruppenzugriff
Sie finden im Folgenden ein Beispiel, wie Sie den Zugriff auf die LAWLIFT App auf Mitglieder einer bestimmten Gruppe in Microsoft Entra beschränken können.
Wählen Sie die von Ihnen verwendete App im Bereich App-Registrierung von Microsoft Entra aus und gehen Sie wie folgt vor:
Wir haben zugewiesene Gruppen verwendet, durch einen Microsoft-Administrator kann eine andere Option gewählt werden.
In der LAWLIFT-App müssen Sie sodann den eingeschränkten Gruppenzugriff aktivieren:
Fügen im Folgenden im Group Scope "Groups" hinzu. In Azure sind es "Groups", dies kann innerhalb der verschiedenen Dienste variieren.
Erstellen Sie im LAWLIFT-Adminbereich eine Nutzergruppe und fügen Sie eine SSO Gruppenkennung hinzu.
Fügen Sie den Gruppennamen und die SSO-Gruppenkennung hinzu. Azure verwendet hier die groupId (objectId der Gruppe). Andere Dienste können unterschiedliche Kennungen verwenden.
Ab diesem Zeitpunkt können sich nur noch Benutzer anmelden, die der angegebenen Gruppe angehören. Die Anzahl der Gruppen, die Sie hinzufügen können, ist unbegrenzt.
Optionaler Schritt 7: SSO-Bereitstellung von Rollen
Wenn Sie verschiedene Rollen für Ihre Microsoft Entra Benutzer eingerichtet haben, können Sie diese ganz einfach Ihren benutzerdefinierten LAWLIFT-Rollen zuordnen. Dazu müssen Sie im Menü "Berechtigungen bearbeiten" auf die Option "SSO-Rolle zuordnen" klicken.
Als nächstes geben Sie den LAWLIFT-Rollennamen in den Rollendetails in Microsoft Entra ein. Wenn sich ein neuer Nutzer bei LAWLIFT anmeldet, wird er erstellt und mit der richtigen Rolle verknüpft, die auf seiner Rolle in Microsoft Entra basiert. Vergewissern Sie sich, dass Sie in den SSO-Einstellungen die Option "Automatische Benutzererstellung verhindern" nicht aktiviert haben. Wenn diese Option aktiviert ist, kann das System die Nutzer nicht automatisch erstellen.
