Sicherheit

Enterprise SAML SSO einrichten – Schritt-für-Schritt-Anleitung

Detaillierte Anleitung zur Einrichtung von Enterprise SAML SSO mit bestehendem Identity Provider (Okta, Azure AD, Google Workspace).

30 Aufrufe0 fanden dies hilfreich

Voraussetzungen

Bevor SAML SSO eingerichtet werden kann, müssen folgende Bedingungen erfüllt sein:

  1. SSO-Freischaltung: Unser Team muss Enterprise SSO für die Organisation freischalten. Dafür kann das Anfrageformular unter Team-Einstellungen → Sicherheit genutzt werden.

  2. Identity Provider: Es wird ein Zugang zu einem SAML 2.0-kompatiblen Identity Provider (z.B. Okta, Azure AD, Google Workspace, PingIdentity, OneLogin) bestehen.

  3. Organisations-Owner-Rolle: Nur Organisations-Owner können SAML SSO konfigurieren.

Schritt 1: Calentix-Informationen für Ihren IdP

Die exakten URLs für die Organisation finden sich nach der Freischaltung in den Sicherheitseinstellungen oder werden von unserem Support-Team mitgeteilt.

Schritt 2: Metadata-URL aus dem IdP kopieren

Der Identity Provider stellt eine SAML Metadata URL bereit. Diese URL enthält alle Konfigurationsdaten (Zertifikate, Endpoints etc.) in einem XML-Dokument.

Wo die Metadata-URL zu finden ist:

  • Okta: App-Einstellungen → Sign On → Identity Provider metadata (Link kopieren)

  • Azure AD / Entra: Enterprise Applications → Appname → Single sign-on → Federation Metadata URL

  • Google Workspace: Admin Console → Apps → Web and mobile apps → Appname → Download metadata (als Datei, URL nicht verfügbar)

Schritt 3: SAML in Calentix konfigurieren

  1. Zu Team-Einstellungen → Sicherheit navigieren.

  2. Zum Bereich Enterprise SSO (SAML 2.0) scrollen.

  3. Die Metadata-URL des Identity Providers eingeben.

  4. Die E-Mail-Domain der Organisation ein (z.B. meinefirma.de) eingeben.

  5. Auf SSO einrichten klicken.

Schritt 4: Bestätigungsdialog

Vor der Aktivierung erscheint ein Hinweis mit wichtigen Informationen:

  • Abrechnung: Mitarbeiter, die sich über SSO anmelden, werden automatisch als Team-Mitglieder hinzugefügt und abgerechnet.

  • Bestehende Konten: Accounts, die bisher per E-Mail/Passwort oder OAuth registriert waren, werden nicht automatisch mit dem SSO-Konto verknüpft. Diese Mitarbeiter erhalten ein neues Konto. Wir empfehlen, bestehende Konten vorher zu entfernen.

  • Login-Einschränkung: Optional kann festlegt werden, dass nur noch SSO als Anmelde-Methode erlaubt ist (empfohlen).

Schritt 5: Testen

  1. Öffnen der Calentix-Login-Seite in einem Inkognito-Fenster.

  2. Auf SAML/OIDC klicken.

  3. Eine E-Mail-Adresse mit der konfigurierten Domain eingeben.

  4. Es erfolgt eine Weiterleitung zum eingerichteten Identity Provider.

  5. Nach erfolgreicher Authentifizierung erfolgt der Login ins Calentix-Dashboard.

SSO-Provider entfernen

Wenn SAML SSO deaktiviert werden soll, zu Team-Einstellungen → Sicherheit navigieren und klicken auf SSO-Provider entfernen klicken. Bitte beachten: bestehende SSO-Benutzer können sich danach nicht mehr anmelden und eine alternative Login-Methode wird benötigt.

Häufige Probleme

„Für diese Domain ist kein SSO-Provider konfiguriert"

Es muss sichergestellt werden, dass die eingegebene E-Mail-Domain exakt mit der konfigurierten SSO-Domain übereinstimmt.

„SAML assertion does not contain email address"

Der Identity Provider muss die E-Mail-Adresse im SAML-Assertion mitsenden. Es ist notwendig in dem IdP das Attribut-Mapping korrekt ist, sodass email oder mail als Attribut enthalten ist.

Mitarbeiter hat zwei Konten

SSO-Konten werden nicht automatisch mit bestehenden E-Mail/Passwort-Konten verknüpft. Es muss das alte Konto des Mitarbeiters aus dem Team entfernt werden, damit nur das SSO-Konto aktiv ist.

War dieser Artikel hilfreich?