SSO Einführung
Single Sign-On (SSO) ermöglicht es Ihnen, einen Dienst eines Drittanbieters zu verwenden, um die Authentifizierung für das Verwaltungsportal der Sign In App zu verwalten. Einige der gängigen Plattformen, die zur Verwaltung von SSO verwendet werden, sind Google, Azure und Okta. Sign In App SSO verwendet das Open ID connect (OIDC) Protokoll, SAML wird nicht unterstützt.
Wichtig:
SSO ist eine exklusive Funktion des Sign In App Pro-Plans und kann nur von Kunden mit diesem Plan eingerichtet werden.
Wenn Sie ein Upgrade auf das Pro-Abo wünschen, senden Sie bitte eine E-Mail an [email protected]
Sign In App SSO ist nur für die Verwaltung von Portaladministratoren vorgesehen. Sie können die Benutzer der Companion-App nicht mit SSO verwalten - Sie können mehr über andere Möglichkeiten der Verwaltung von Benutzern der Companion-App hier lesen.
Bitte beachten Sie: Wenn Sie ein Bestandskunde sind, dessen Tarif SSO beinhaltet, können Sie diese Funktion weiterhin nutzen, allerdings steht Ihnen der Self-Service in Ihrem Tarif nicht zur Verfügung. Bitte senden Sie eine E-Mail an [email protected], um Ihr Konto zu aktualisieren, oder an [email protected], um weitere Informationen zur Einrichtung von SSO in Ihrem Konto zu erhalten.
Konfiguration im Self-Service
Unsere Self-Service-Funktion ermöglicht es Kunden der Pro-Stufe, Single Sign-On (SSO) in ihrem Konto zu verwalten. Um den Self-Service für SSO zu aktivieren, müssen wir diese Funktion in Ihrem Konto freischalten. Bitte senden Sie eine E-Mail mit dieser Anfrage an [email protected].
Sobald dies erledigt ist, kann der Hauptbenutzer die folgenden Konfigurationsschritte im Admin-Portal durchführen.
Teil 1: Konfigurieren Sie Ihren Identitätsanbieter
Schritt 1: Auf die SSO-Konfiguration zugreifen
Ein Hauptbenutzer muss sich bei seinem Sign In App-Konto anmelden.
Navigieren Sie zu Verwalten > Portalbenutzer.
Suchen Sie die Option zum Erstellen einer neuen SSO-Konfiguration.
Schritt 2: Wählen Sie Ihren Identitätsanbieter aus
Wählen Sie einen der drei unterstützten Anbieter aus. Die erforderlichen Felder unterscheiden sich bei jedem Anbieter geringfügig:
Identitätsanbieter | Pflichtfelder |
Entra ID (ehemals Azure) | Client ID, Client Secret, Tenant ID |
Client ID, Client Secret, Domain | |
Okta | Client ID, Client Secret, Anbieter Domain |
Schritt 3: Konfigurationsfelder ausfüllen
Geben Sie den Domainnamen ein (den Teil der E-Mail-Adresse nach dem @).
Klicken Sie auf den gewünschten Identitätsanbieter.
Füllen Sie alle Pflichtfelder für den ausgewählten Anbieter aus.
Klicken Sie auf Speichern, um die Konfiguration des Identitätsanbieters zu erstellen.
Hinweis:
- Pro SSO-Konfiguration wird nur eine Domain unterstützt. Es ist jedoch möglich, mehrere „Domain-Aliase“ zu verwenden, sofern diese alle vom selben Identitätsanbieter verwaltet werden. In diesem Fall teilen Sie uns bitte die zusätzlichen Domainnamen unter [email protected] mit.
- Wir unterstützen nicht die gleichzeitige Nutzung mehrerer Identitätsanbieter; es kann nur ein einziger Anbieter für mehrere Domainnamen zuständig sein.
Wichtige Hinweise zur Konfiguration:
Es ist nicht möglich, die Konfiguration teilweise zu speichern – alle Angaben müssen vollständig gemacht werden.
Nach dem Speichern ist die Konfiguration schreibgeschützt.
Die Konfigurationsdetails können nach dem Speichern nicht mehr eingesehen werden.
Sie können die Anmeldedaten neu konfigurieren bzw. aktualisieren, falls sich diese ändern oder das Client-Secret abläuft.
Ihr SSO wird zunächst als „unvollständige Konfiguration“ angezeigt, bis die Domain-Überprüfung abgeschlossen ist.
Teil 2: Domain-Überprüfung
Schritt 4: Domain-Inhaberschaft überprüfen
Kehren Sie zu Verwalten > Portalbenutzer zurück.
Die Verbindung zu Ihrem Identitätsanbieter wird als unvollständig gekennzeichnet.
Klicken Sie auf die Konfiguration, um den Status der Domain-Überprüfung anzuzeigen.
Schritt 5: DNS-Eintrag hinzufügen
Beachten Sie, dass die angegebene Domain (z. B. yourcompany.com) als „nicht verifiziert“ angezeigt wird.
Kopieren Sie den in der Anleitung angegebenen TXT-Eintrag.
Fügen Sie diesen TXT-Eintrag zu den DNS-Einstellungen Ihrer Domain hinzu.
Warten Sie, bis die DNS-Änderungen übernommen wurden (in der Regel 5–15 Minuten).
Schritt 6: Überprüfung abschließen
Kehren Sie zur SSO-Konfigurationsseite zurück.
Klicken Sie auf die Schaltfläche Überprüfen.
Bei erfolgreichem Abschluss wird Ihre Domain als verifiziert angezeigt, und Ihre SSO-Konfiguration wird aktiviert.
Anmeldung nach der Konfiguration
Sobald die Konfiguration abgeschlossen ist, melden Sie sich von Ihrem Konto ab und melden Sie sich über den Link https://my.signinapp.com/ erneut an. Das System erkennt die Domain anhand Ihrer E-Mail-Adresse und bietet Ihnen die Möglichkeit, Ihre SSO-Anmeldung auszuwählen.
Sobald Sie als SSO-Administrator eingerichtet wurden, können Sie SSO über das Sign In App-Portal verwalten. Gehen Sie dazu auf Verwalten, scrollen Sie nach unten und klicken Sie auf Portalbenutzer. Klicken Sie dort auf die Schaltfläche unter dem Abschnitt Single Sign-On-Benutzer (dort befindet sich ein Logo für die von Ihnen verwendete SSO-Plattform, z. B. Google, Azure oder Okta).
SSO-Benutzer
In diesem Bereich können Sie die SSO-Benutzer Ihres Kontos sehen. Sie können auf den Benutzer klicken, um seine individuellen Berechtigungen zu verwalten. Lesen Sie hier mehr über die Verwaltung von Benutzern.
Ausstehende Genehmigung
Wenn ein Benutzer den Zugriff auf Ihr Sign In App-Konto über SSO beantragt, erscheint er in dieser Liste, so dass Sie alle neuen Benutzer von einer Stelle aus verwalten können.
Einstellungen
Sie können die Standardberechtigungen verwalten, die ein SSO-Portalbenutzer erhält, wenn er zugelassen wurde.
Verwaltung bestehender Benutzer und Zugriffsrechte
Umstellung bestehender Portalbenutzer auf SSO
Damit ein bestehender Portalbenutzer zur SSO-Anmeldung weitergeleitet wird, muss ein Administrator zunächst dessen bestehendes Portalbenutzerkonto löschen.
Wichtig: Bevor Sie das bestehende Portalbenutzerkonto löschen, stellen Sie bitte sicher, dass noch ein „Hauptbenutzer“ aktiv ist, damit Sie weiterhin über lokalen Authentifizierungszugang verfügen, falls das SSO ausfällt oder abläuft.
Wenn Sie möchten, dass Ihr Hauptbenutzer über SSO zugreift, sollte eine alternative E-Mail-Adresse mit einer anderen Domain hinzugefügt und zum Hauptbenutzer ernannt werden.
Um einen Benutzer zu löschen, gehen Sie zu Verwalten > Konto verwalten > Portalbenutzer, wählen Sie den zu löschenden Benutzer aus, klicken Sie im Popup-Fenster auf Löschen und bestätigen Sie den Vorgang durch Speichern. Sobald das Konto gelöscht ist, kann sich der Benutzer über SSO anmelden und Zugriff anfordern, den ein Administrator dann zuweisen kann.
Wir empfehlen außerdem, den SSO-Administrator als Abrechnungsbenutzer festzulegen, damit er auf die Abonnementdetails innerhalb des Kontos zugreifen kann. Gehen Sie dazu zu Verwalten > Konto verwalten > Portalbenutzer, wählen Sie die Registerkarte SSO > wählen Sie Benutzer > wählen Sie einen Namen zum Bearbeiten aus > aktivieren Sie im Popup-Fenster das Kontrollkästchen neben Abrechnungsbenutzer und speichern Sie.
Zugriffsanfragen von Benutzern
Wenn Sie Zugriffsberechtigungen innerhalb Ihrer SSO-Plattform konfiguriert haben, wird Benutzern ohne Zugriff der Zugriff verweigert. Wenn keine Standardberechtigungen eingerichtet sind, muss der Benutzer die Konten auswählen, auf die er zugreifen möchte, indem er auf Zugriff anfordern klickt.
So funktioniert die SSO-Anmeldung
Der Benutzer gibt auf der Anmeldeseite seine E-Mail-Adresse ein.
Wenn er über ein lokales Konto verfügt, wird er zur Eingabe seines Passworts aufgefordert.
Der Benutzer kann wählen, ob er seine lokalen Anmeldedaten oder SSO verwenden möchte.
Bestehende SSO-Konfigurationen leiten weiterhin wie bisher zum SSO weiter.
Wichtig: Das Single Sign-On der Sign In App wird über die E-Mail-Domäne ausgelöst. Das bedeutet: Wenn Ihre Organisation über mehrere Sign In App Konten verfügt, muss das SSO für alle Konten verwendet werden, und die SSO-Administratoren müssen über uneingeschränkten Zugriff auf alle Konten verfügen. SSO-Benutzer können auf einzelne Sign In App-Konten beschränkt werden.
Das bedeutet auch: Wenn Sie Portalbenutzer haben, deren E-Mail-Domänen sich von derjenigen unterscheiden, für die SSO eingerichtet wurde, müssen diese weiterhin E-Mail-Adresse und Passwort verwenden, um sich anzumelden.
SSO für einen Benutzer einrichten
Wenn ein Benutzer über SSO Zugang zu Ihrem Sign In App-Konto benötigt, kann er my.signinapp.com besuchen und seine E-Mail-Adresse eingeben. Das System erkennt die Domain (den Teil nach dem @) und bietet ihm die Möglichkeit, seine SSO-Anmeldung auszuwählen. Wenn er sich zum ersten Mal über SSO anmeldet, wird er aufgefordert, die E-Mail-Adresse auszuwählen, mit der er sich anmelden möchte.
Wenn Sie in Ihrer SSO-Plattform konfiguriert haben, welche Benutzer Zugriff auf die Sign In App haben sollen, dann werden Benutzer ohne Zugriff bei der Auswahl ihres Benutzers abgelehnt. Wenn Sie keine Standardberechtigungen eingerichtet haben, muss der Benutzer auswählen, auf welche(s) Konto(e) er Zugriff erhalten möchte, indem er auf Zugriff anfordern klickt.
Anschließend werden sie zur Liste Ausstehende Genehmigung im SSO-Administrationsbereich des Sign In App Portals hinzugefügt. SSO-Administratoren können dann ihre Berechtigungen konfigurieren und die Anfrage genehmigen oder ablehnen.
Wenn die Standardberechtigungen aktiviert sind, wird dieser Schritt übersprungen und der Benutzer erhält automatisch Zugang. SSO-Administratoren erhalten außerdem eine E-Mail-Benachrichtigung, um sie darüber zu informieren, dass ein Benutzer Zugang beantragt hat.
SSO-Benutzer verwalten
Die Verwaltung von Standardberechtigungen ermöglicht es Ihnen, die Basisberechtigungen festzulegen, die alle Benutzer innerhalb Ihrer Organisation haben sollten. Sie können auch einzelne Benutzer verwalten und so genau steuern, welche Benutzer Zugriff auf die einzelnen Bereiche des Sign In App-Portals haben.
Standardberechtigungen
Standardberechtigungen bedeuten, dass jeder Benutzer in Ihrer Organisation, der versucht, mit einer gültigen E-Mail-Adresse (einer in Ihrer Domäne) auf Ihr Sign In App-Konto zuzugreifen, automatisch Zugriff auf das Konto/die Konten mit den aktivierten Standardberechtigungen erhält.
Je nach SSO-Anbieter sollten Sie festlegen können, welche Benutzer Zugriff auf Sign In App haben - so können Sie den Zugriff auf Sign In App innerhalb Ihrer Organisation kontrollieren. Wenn sich diese Benutzer anmelden, werden sie mit der Standardberechtigungsstufe konfiguriert.
Wichtig:
Bei einigen SSO-Anbietern können Sie möglicherweise nicht verwalten, welche Benutzer Zugriff auf Sign In App haben. Wenn dies der Fall ist, können Sie die Standardberechtigungen deaktivieren, damit alle Benutzer mit der Domäne Ihrer Organisation keinen Zugriff auf das Sign In App-Portal haben.
Individuelle Berechtigungen
Einige Benutzer benötigen möglicherweise höhere oder niedrigere Berechtigungsstufen als die Standardberechtigungen; in diesem Fall können Sie jeden Benutzer einzeln bearbeiten. Klicken Sie im SSO-Administrationsbereich des Portals auf SSO-Benutzer, um eine Liste aller für Ihr Konto konfigurierten SSO-Benutzer anzuzeigen. Wenn Sie auf einen Benutzer klicken, werden dessen Berechtigungen angezeigt. Wenn Sie die Standardberechtigungen aktiviert haben, wird dies hier umgeschaltet. Um die Berechtigungen des Benutzers zu bearbeiten, müssen Sie die Option Standardberechtigungen verwenden deaktivieren. Sobald Sie dies getan haben, können Sie den Konto- und Site-Zugang sowie die Berechtigungsstufe des Benutzers bearbeiten.
SSO-Administratoren
Als SSO-Administrator sind Sie in der Lage, Benutzerrechte zu verwalten und neue Benutzer zu genehmigen. Wenn Sie einen anderen SSO-Benutzer zum SSO-Administrator ernennen möchten, bearbeiten Sie den Benutzer und schalten Sie Erlauben Sie diesem Benutzer, SSO-Benutzer zu verwalten auf EIN.
Brauchen Sie Hilfe?
Sollten Sie Konfigurationsdaten für nicht aufgeführte Identitätsanbieter benötigen oder Probleme bei der Einrichtung haben, wenden Sie sich bitte an unser Support-Team unter [email protected] oder [email protected]