SAML SSO konfigurieren

  • Veröffentlicht am Mar 25, 2026
  • 8 Gelesene Minute(n)
Prev Next

Das SAML 2.0 (SSO) -Plugin ermöglicht es Nutzern, sich bei Totara mit einem Konto eines Identitätsanbieters (IdP) anzumelden. In diesem Fall ist Totara Ihr Dienstleister (SP).

Wenn Sie von einem SAML-Plugin eines Drittanbieters zum nativen Totara-Plugin wechseln, ist es möglicherweise nicht möglich, dieselbe Nutzerkennung für die Zuordnung zu verwenden. In dieser Dokumentation haben wir beschrieben, wie Sie SAML mit Okta, Microsoft Azure AD und Microsoft AD FS konfigurieren. Für andere Identitätsanbieter müssen Sie jedoch die Dokumentation dieses Anbieters überprüfen.

SAML SSO aktivieren

Sie können die SAML-Authentifizierungsmethode aktivieren, indem Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu Schnellzugriff > Plugins > Authentifizierung > Authentifizierung verwalten.
  2. Klicken Sie auf das Augensymbol (eye_close) neben dem SAML 2.0 (SSO)- Plugin, um es zu aktivieren (das Auge wird geöffnet, sobald die Authentifizierungsmethode aktiviert ist).

Identitätsanbieter (IdP) konfigurieren

Sobald Sie das SAML 2.0-Authentifizierungs-Plugin aktiviert haben, müssen Sie einen IdP konfigurieren, der als Anmeldeoption für Nutzer verfügbar ist. Im SAML-Protokoll erfolgt die Kommunikation zwischen einem IdP und einem SP über bestimmte Endpunkte. Der IdP bietet die folgenden Endpunkte für die Kommunikation:

  • SingleSignOnService
  • SingleLogoutService

Der SP stellt die folgenden Endpunkte für die Kommunikation zur Verfügung:

  • AssertionConsumerService
  • SingleLogoutService

Um einen IdP mit Totara zu konfigurieren, müssen Sie Totara über die IdP-Endpunkte informieren. Dies geschieht durch die Bereitstellung der Metadaten des IdP an Totara (eine XML-Datei, die alle erforderlichen Endpunkte und einen öffentlichen Schlüssel enthält). Sie können die Metadaten bereitstellen, indem Sie eine URL eingeben, um die Metadaten aus der XML-Datei abzurufen, oder indem Sie den Inhalt der XML-Datei direkt in Totara eingeben.

Configuring an identity provider.

Sie müssen auch den IdP über die Endpunkte von Totara informieren. Wie dies geschieht, variiert für einzelne IdPs. Wir haben dokumentiert, wie die folgenden IdPs mit Totara konfiguriert werden:

  • Okta
  • Microsoft Azure AD
  • Microsoft AD FS
Weitere IdPs finden Sie in der Dokumentation des Identitätsanbieters zur Konfiguration eines SP.

Sobald sowohl der IdP als auch der SP mit den Endpunkten des jeweils anderen bereitgestellt wurden, können sie korrekt kommunizieren. Für eine erfolgreiche Anmeldeanfrage stellt der IdP eine Liste von Attributen zur Verfügung, die zur Identifizierung des Nutzers verwendet werden sollen. Diese Attribute müssen den Totara-Benutzerfeldern zugeordnet werden, um den Nutzer in Ihrer Totara-Instanz zu authentifizieren.

IdP-Verbindung erstellen

Gehen Sie wie folgt vor, um eine IdP-Verbindung herzustellen:

  1. Gehen Sie zu Schnellzugriff > Plugins > Authentifizierung > SSO SAML > Einstellungen.
  2. Klicken Sie auf Identitätsanbieter hinzufügen.
  3. Geben Sie Ihrem IdP einen Namen. Dies ist der Name, der den Nutzern auf dem Anmeldebildschirm angezeigt wird.
  4. Geben Sie einen Link zu den Metadaten ein oder fügen Sie die Metadaten-XML des IdP in das Feld IdP-Metadaten ein.
  5. Geben Sie eine Benutzerkennung und das Totara-Feld an, dem Sie sie zuordnen möchten. Als Kennung können nur Felder für Nutzername, E-Mail-Adresse oder ID-Nummer verwendet werden.
  6. Um die zusätzlichen Einstellungen und Feldzuordnungen zu konfigurieren, klicken Sie auf Erweiterte Einstellungen anzeigen:
    • Ordnen Sie auf der Registerkarte Feldzuordnungen die vom IdP bereitgestellten Benutzerattribute Ihrem Totara-Instanzbenutzer zu. Beachten Sie, dass Nutzerattribute vollständige URLs sein können.
    • Die Registerkarte Erweiterte Einstellungen enthält die folgenden Optionen, um das Totara-spezifische Verhalten bei der Interaktion mit dem IdP zu ändern:
      • Neue Nutzer: Wählen Sie aus, wie neue Nutzer behandelt werden sollen.
      • Bestehende Nutzer: Wählen Sie aus, wie bestehende Nutzer behandelt werden sollen. 
      • NameID-Format: Wählen Sie das gewünschte Format aus.
      • Entitäts-ID: Die in den SP-Metadaten verwendete Entitäts-ID überschreiben.
      • Abmeldeverhalten: Erzwingen Sie die Abmeldung bei IdP, wenn sich der Nutzer von Totara abmeldet.
      • Nach Abmeldung umleiten: Geben Sie eine Weiterleitungs-URL nach der Abmeldung an.
      • Attribut-Trennzeichen: Attributtrennzeichen für IdP-Feldzuordnungen mit mehreren Werten.
      • Unterschriften: Diese Einstellungen sind für einen sicheren Betrieb nicht erforderlich, können aber in einigen Fällen nützlich sein. Wählen Sie eine der folgenden Optionen aus:
        • Metadaten signieren
        • Authentifizierungsanforderungen signieren
        • IdP wird benötigt, im individuelle Assertions zu signieren
      • Auf der Anmeldeseite ausblenden: Wenn diese Option aktiviert ist, wird der IdP nicht auf der Anmeldeseite angezeigt.
      • Debugging: Erfassen Sie Kommunikationen und den IdP für Debugging-Zwecke.
  7. Klicken Sie auf Speichern.
  8. Stellen Sie sicher, dass die  Statusumschaltung aktiviert ist, um sicherzustellen, dass der IdP auf dem Anmeldebildschirm sichtbar ist.
  9. Klicken Sie auf der Seite Identitätsanbieter verwalten auf das Symbol mit drei Punkten (three_dots(1)) neben dem IdP und wählen Sie Test, um Ihre neue IdP-Verbindung zu testen.
Wir haben spezifische Anweisungen für die Einrichtung von SAML mit Okta, Microsoft Entra ID und Microsoft AD FS bereitgestellt.

Nutzer zu SAML 2.0 (SSO) migrieren

Nutzer müssen ihre Authentifizierungsmethode auf SAML 2.0 (SSO) eingestellt haben, um sich über SAML anzumelden. Wenn Sie Nutzer über HR-Import importieren, können Sie die Option Auth auf 'ssosaml' setzen.

Alternativ können Sie die Einstellung Automatisch verknüpfen für einen IdP mit bestehenden Benutzern festlegen und optional die Option E-Mail-Verifizierung erforderlich aktivieren. Wenn diese Einstellungen aktiviert sind, können sich bestehende Nicht-SAML-Nutzer über SAML anmelden, wenn sie den Bedingungen entsprechen (und gleichzeitig ihre bestehenden Anmeldemethoden verwenden können).

SAML SSO mit Okta einrichten

So richten Sie SAML SSO mit Okta ein:

  1. Melden Sie sich mit Ihren Anmeldedaten bei Okta an.
  2. Klicken Sie auf Admin.
  3. Gehen Sie zu Anwendungen > Anwendungen.
  4. Klicken Sie auf App-Integration erstellen und wählen Sie dann SAML 2.0.
  5. Geben Sie einen Namen ein und klicken Sie auf Weiter.
  6. Gehen Sie in Totara zum Schnellzugriffsmenü > Plugins > Authentifizierung > SAML 2.0 (SSO) > Einstellungen.
  7. Erstellen Sie einen IdP.
  8. Kopieren Sie die folgenden Informationen und geben Sie sie in Okta ein:
    • ACS URL -> Single Sign-On URL
    • Entitäts-ID -> Zielgruppen-URI
  9. Erweitern Sie die erweiterten Einstellungen und laden Sie dann das Zertifikat von Totara hoch.
  10. Einmalige Abmeldung aktivieren.
  11. Kopieren Sie die Single Logout URL von Totara nach Okta.
  12. Kopieren Sie die Entitäts-ID von Totara in das Feld SP Issuer in Okta.
  13. Füllen Sie die folgenden Attributangaben aus:
    • first_name -> user.firstName
    • last_name -> user.lastName
    • E-Mail -> user.email
  14. Klicken Sie auf Weiter, wählen Sie eine der Optionen und klicken Sie dann auf Fertigstellen.
  15. Kopieren Sie die Metadaten-URL aus Okta und fügen Sie sie in Totara ein.
  16. Kehren Sie zu Okta zurück, gehen Sie zur Registerkarte Zuweisungen und wählen Sie die Gruppe Alle.
  17. Geben Sie in Totara unter Benutzerkennung „E-Mail“ als IdP-Feld ein und wählen Sie E-Mail-Adresse als Totara-Feld.
  18. Fügen Sie unter Feldzuordnungen die folgenden Zuordnungen hinzu:
    • Vorname -> Vorname, bei jeder Anmeldung
    • Nachname -> Nachname, bei jeder Anmeldung
  19. Klicken Sie auf Speichern.
  20. Klicken Sie auf das Symbol mit drei Punkten (three_dots(1)) und dann auf Test , um die Integration zu überprüfen.

SAML SSO mit Microsoft Entra ID einrichten

Um SAML mit Microsoft Entra ID (ehemals Microsoft Azure Active Directory) einzurichten, benötigen Sie ein Benutzerkonto mit Anwendungsadministratorrechten. Melden Sie sich bei Ihrem Azure-Portal an und folgen Sie diesen Schritten:

  1. Gehen Sie in Ihrer Totara-Instanz zum Schnellzugriffsmenü > Plugins > Authentifizierung > SAML 2.0 (SSO) > Einstellungen und erstellen Sie einen IdP.
  2. Suchen Sie in Azure nach und wählen Sie Microsoft Entra ID.
  3. Klicken Sie in der Seitenleiste auf Unternehmensanwendungen.
  4. Klicken Sie auf + Neue Anwendung.
  5. Klicken Sie auf + Eigene Anwendung erstellen.
  6. Geben Sie der Anwendung einen Namen.
  7. Wählen Sie Andere Anwendungen integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie).
  8. Klicken Sie auf Erstellen. Sie werden dann zur neu erstellten Unternehmensanwendung weitergeleitet.
  9. Klicken Sie in der neu erstellten Unternehmensanwendung auf Single Sign-on in der Seitenleistennavigation.
  10. Klicken Sie auf SAML.
  11. Klicken Sie auf der Basiskarte für die SAML-Konfiguration auf Bearbeiten und geben Sie Folgendes aus Ihrem neu erstellten Totara IdP ein:
    • Kennung (Entitäts-ID)
    • Antwort-URL (Assertion Consumer Service URL)
    • URL abmelden 
    • Alternativ können Sie Ihre Totara-Metadaten herunterladen und hochladen, indem Sie auf Metadatendatei hochladen klicken
  12. Klicken Sie auf Speichern.
  13. Klicken Sie auf der SAML Certificates-Karte auf den Download-Link neben Federation Metadata XML.
  14. Kopieren Sie den Inhalt der XML-Datei in das IdP-Metadatenfeld in Ihrem Totara IdP (stellen Sie sicher, dass XML ausgewählt ist).
  15. Klicken Sie in der Seitenleistennavigation auf Benutzer und Gruppen.
  16. Klicken Sie auf + Nutzer/Gruppe hinzufügen und weisen Sie einen Nutzer zu, auf den Sie Zugriff haben.
  17. Gehen Sie auf Ihrer Totara-Website zu Ihrer Totara-Instanz und testen Sie die Einstellungen.
  18. Ordnen Sie die vom IdP bereitgestellten Attribute nach Bedarf Ihrer Totara-Instanz zu. Weitere Informationen finden Sie unter Erstellen einer IdP-Verbindung. So zeigen Sie die zu verwendenden Feldnamen an:
    1. Navigieren Sie zur Liste der Identitätsanbieter.
    2. Klicken Sie auf das Symbol mit drei Punkten (three_dots(1)) auf dem IdP und wählen Sie dann Test.
    3. Wählen Sie Login (AuthnRequest) und klicken Sie auf Test.
    4. Melden Sie sich beim IdP an.
    5. In der Spalte Feldnamen auf der Seite Testeinstellungen sehen Sie, was der IdP bietet:
      The Test IdP page showing the field names and their associated values.
      Kopieren Sie die vollständige Zeichenfolge aus der Spalte 'Feldnamen' für das Feld, das Sie verwenden möchten, in das Feld IdP.
  19. Um die IdP-initiierte Anmeldung zu testen, gehen Sie zu https://myapplications.microsoft.com/.
  20. Suchen Sie nach dem Unternehmen, das Sie erstellt haben, und klicken Sie darauf, um sich anzumelden.

SAML SSO mit Microsoft AD FS einrichten

So richten Sie SAML SSO mit Microsoft AD FS ein:

  1. Installieren und konfigurieren Sie AD DS und AD FS auf einer Windows Server-Instanz.
  2. In Totara (stellen Sie sicher, dass Sie HTTPS verwenden und Ihren Cache gelöscht haben) gehen Sie zu Schnellzugriffsmenü > Plugins > Authentifizierung > SAML 2.0 (SSO) > Einstellungen und erstellen Sie einen IdP. Holen Sie sich die Metadaten-XML der Föderation von AD FS. 
  3. Fügen Sie die Metadaten in Totara als XML hinzu.
  4. Ordnen Sie 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' der  Benutzerkennung zu.
  5. Konfigurieren Sie die folgenden Zuordnungen:
    • E-Mail-Adresse → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Vorname → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • Nachname → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  6. Klicken Sie auf Speichern.
  7. Laden Sie die Metadaten von Totara herunter.
  8. Stellen Sie eine Verbindung zum AD FS-Server her.
  9. Öffnen Sie das AD FS Management Tool (Server Manager > Tools > AD FS).
  10. Wählen Sie Vertrauenswürdige Parteien in der linken Seitenleiste aus und wählen Sie Vertrauenswürdige Parteien hinzufügen.
  11. Wählen Sie Claims aware.
  12. Laden Sie die Metadaten von Totara hoch.
  13. Geben Sie ihm einen Namen, damit er leicht identifiziert werden kann.
  14. Wählen Sie Alle zulassen.
  15. Klicken Sie auf Fertigstellen.
  16. Es kann sein, dass die ACS/SLO-URLs nicht importiert werden. Klicken Sie also mit der rechten Maustaste auf den Eintrag, den Sie hinzugefügt haben, und gehen Sie dann zu Eigenschaften > Endpunkte. Wenn sie leer ist, gehen Sie wie folgt vor:
    1. Klicken Sie auf SAML hinzufügen und wählen Sie Assertion consumer.
    2. Kopieren Sie die ACS-URL von Totara in die vertrauenswürdige URL, legen Sie die Bindung für POST fest und markieren Sie Standard und klicken Sie dann auf Speichern.
    3. Machen Sie dasselbe für SLO.
    4. Eigenschaften schließen.
  17. Klicken Sie mit der rechten Maustaste auf den Eintrag und klicken Sie auf Richtlinie zur Anspruchserteilung bearbeiten.
  18. Fügen Sie eine Regel hinzu und wählen Sie LDAP-Attribute als Ansprüche senden.
  19. Geben Sie einen Namen ein.
  20. Wählen Sie Active Directory als Attributspeicher.
  21. Ordnen Sie die folgenden Felder zu (LDAP → Ausgehend):
    • User-Principal-Name → Name ID (dies ist wichtig, da AD FS keinen SessionIndex sendet, wenn die Name ID nicht zugeordnet ist)
    • E-Mail-Adresse → E-Mail-Adresse
    • Vorname → Vorname
    • Nachname → Nachname

Join the Totara Community for more resources to help you get the most out of Totara. 


© Copyright 2026 Totara Learning Solutions. All rights reserved.

Folgen Sie uns

Wenn Sie Fragen oder Feedback zur Totara-Dokumentation haben, wenden Sie sich bitte an documentation@totara.com.

Um ein Sicherheitsproblem des Kunden zu melden, kontaktieren Sie bitte unser Sicherheitsteam unter security@totara.com. Wenn Sie ein TotaraGov-Kunde mit einem Sicherheitsproblem sind, wenden Sie sich bitte an unser Sicherheitsteam des öffentlichen Sektors unter security@totaraclouddirect.com.

© Copyright 2026 Totara Learning Solutions. Alle Rechte vorbehalten. Einige Inhalte wurden ursprünglich über die GPLv3-Lizenz bezogen und sind weiterhin unter GPLv3 verfügbar. Alle anderen Inhalte sind das alleinige Urheberrecht von Totara Learning Solutions.

Totara verpflichtet sich, Ihre Privatsphäre zu respektieren und zu schützen. Weitere Informationen finden Sie in unserer Totara Datenschutzrichtlinie.