Sicherheit

Enterprise SAML SSO einrichten – Schritt-für-Schritt-Anleitung

Detaillierte Anleitung zur Einrichtung von Enterprise SAML SSO mit bestehendem Identity Provider (Okta, Azure AD, Google Workspace).

4 Aufrufe0 fanden dies hilfreich

Voraussetzungen

Bevor SAML SSO eingerichtet werden kann, müssen folgende Bedingungen erfüllt sein:

  1. SSO-Freischaltung: Unser Team muss Enterprise SSO für die Organisation freischalten. Dafür kann das Anfrageformular unter Team-Einstellungen → Sicherheit genutzt werden.

  2. Identity Provider: Es wird ein Zugang zu einem SAML 2.0-kompatiblen Identity Provider (z.B. Okta, Azure AD, Google Workspace, PingIdentity, OneLogin) bestehen.

  3. Organisations-Owner-Rolle: Nur Organisations-Owner können SAML SSO konfigurieren.

Schritt 1: Calentix-Informationen für Ihren IdP

Die exakten URLs für die Organisation finden sich nach der Freischaltung in den Sicherheitseinstellungen oder werden von unserem Support-Team mitgeteilt.

Schritt 2: Metadata-URL aus dem IdP kopieren

Der Identity Provider stellt eine SAML Metadata URL bereit. Diese URL enthält alle Konfigurationsdaten (Zertifikate, Endpoints etc.) in einem XML-Dokument.

Wo die Metadata-URL zu finden ist:

  • Okta: App-Einstellungen → Sign On → Identity Provider metadata (Link kopieren)

  • Azure AD / Entra: Enterprise Applications → Appname → Single sign-on → Federation Metadata URL

  • Google Workspace: Admin Console → Apps → Web and mobile apps → Appname → Download metadata (als Datei, URL nicht verfügbar)

Schritt 3: SAML in Calentix konfigurieren

  1. Zu Team-Einstellungen → Sicherheit navigieren.

  2. Zum Bereich Enterprise SSO (SAML 2.0) scrollen.

  3. Die Metadata-URL des Identity Providers eingeben.

  4. Die E-Mail-Domain der Organisation ein (z.B. meinefirma.de) eingeben.

  5. Auf SSO einrichten klicken.

Schritt 4: Bestätigungsdialog

Vor der Aktivierung erscheint ein Hinweis mit wichtigen Informationen:

  • Abrechnung: Mitarbeiter, die sich über SSO anmelden, werden automatisch als Team-Mitglieder hinzugefügt und abgerechnet.

  • Bestehende Konten: Accounts, die bisher per E-Mail/Passwort oder OAuth registriert waren, werden nicht automatisch mit dem SSO-Konto verknüpft. Diese Mitarbeiter erhalten ein neues Konto. Wir empfehlen, bestehende Konten vorher zu entfernen.

  • Login-Einschränkung: Optional kann festlegt werden, dass nur noch SSO als Anmelde-Methode erlaubt ist (empfohlen).

Schritt 5: Testen

  1. Öffnen der Calentix-Login-Seite in einem Inkognito-Fenster.

  2. Auf SAML/OIDC klicken.

  3. Eine E-Mail-Adresse mit der konfigurierten Domain eingeben.

  4. Es erfolgt eine Weiterleitung zum eingerichteten Identity Provider.

  5. Nach erfolgreicher Authentifizierung erfolgt der Login ins Calentix-Dashboard.

SSO-Provider entfernen

Wenn SAML SSO deaktiviert werden soll, zu Team-Einstellungen → Sicherheit navigieren und klicken auf SSO-Provider entfernen klicken. Bitte beachten: bestehende SSO-Benutzer können sich danach nicht mehr anmelden und eine alternative Login-Methode wird benötigt.

Häufige Probleme

„Für diese Domain ist kein SSO-Provider konfiguriert"

Es muss sichergestellt werden, dass die eingegebene E-Mail-Domain exakt mit der konfigurierten SSO-Domain übereinstimmt.

„SAML assertion does not contain email address"

Der Identity Provider muss die E-Mail-Adresse im SAML-Assertion mitsenden. Es ist notwendig in dem IdP das Attribut-Mapping korrekt ist, sodass email oder mail als Attribut enthalten ist.

Mitarbeiter hat zwei Konten

SSO-Konten werden nicht automatisch mit bestehenden E-Mail/Passwort-Konten verknüpft. Es muss das alte Konto des Mitarbeiters aus dem Team entfernt werden, damit nur das SSO-Konto aktiv ist.

War dieser Artikel hilfreich?