Dieser Artikel ist auch verfügbar in:

enterprise-sso - Einrichtung

🔐 enterprise-sso – Vollständige Konfigurationsanleitung


Enterprise Single Sign-On (SSO) ermöglicht es Ihrer Organisation, Benutzer über Ihren bestehenden Identity Provider (IdP) zu authentifizieren. Benutzer mit Ihrer Unternehmensdomain können sicher einloggen, ohne separate Passwörter zu erstellen, und werden automatisch dem richtigen Arbeitsbereich zugewiesen.


Diese Anleitung beinhaltet:


  • Verfügbare SSO-Protokolle
  • OAuth 2.0-Konfiguration
  • SAML 2.0-Konfiguration
  • Standardmäßige Arbeitsbereich-Zuweisung
  • Domain-Verifizierung (DNS)
  • Funktionsweise des Logins


🚀 Verfügbare SSO-Protokolle


Sie können enterprise-sso mit einem der folgenden Protokolle konfigurieren:


1️⃣ OAuth 2.0 (OpenID Connect)


Empfohlen für moderne Identity Provider. Genutzt von:


  • Google
  • Microsoft Entra ID
  • Okta
  • Angepasste OIDC-Anbieter


OAuth 2.0 stützt sich auf Autorisierungsabläufe und Benutzerinfo-Endpunkte, um die Benutzeridentität sicher abzurufen.


2️⃣ SAML 2.0


Weit verbreitet in Unternehmensumgebungen. SAML verwendet XML-basierte Authentifizierungsbehauptungen, die zwischen Ihrem Identity Provider und Drimify ausgetauscht werden. Wählen Sie das Protokoll, das von Ihrem Identity Provider unterstützt wird.


⚙️ Erstellung einer neuen sso-konfiguration


Gehen Sie zu:


Admin → enterprise-sso → Neue Konfiguration

Sie müssen definieren:


  • Konfigurationsname
  • E-Mail-Domain
  • sso-protokoll (OAuth 2.0 oder SAML 2.0)


Sobald gespeichert, wird eine Domain-Verifizierung erforderlich, bevor SSO aktiviert wird.


🌐 E-Mail-Domain


Geben Sie die Domain ein, die mit Ihrer Organisation verbunden ist. Beispiel:


company.com


Benutzer, die sich mit @company.com einloggen, werden automatisch zu Ihrem SSO-Provider weitergeleitet. Pro Domain kann nur eine SSO-Konfiguration aktiv sein.


🟣 OAuth 2.0 Konfiguration


Wählen Sie OAuth 2.0 als sso-protokoll. Sie müssen zuerst eine OAuth / OpenID Connect-Anwendung in Ihrem Identity Provider erstellen.


🔁 Weiterleitungs-URI (Erforderlich in Ihrem IdP)


Wenn Sie die OAuth-Anwendung erstellen, konfigurieren Sie diese Weiterleitungs-URI:


https://my.drimify.com/de/sso/callback/oauth


Diese muss genau übereinstimmen.


🔑 Client-Anmeldeinformationen


Client-ID


Öffentlicher Bezeichner, der von Ihrem Identity Provider bereitgestellt wird.

Client-Geheimnis


Privater Schlüssel, der mit Ihrer OAuth-Anwendung verbunden ist. Bewahren Sie ihn sicher auf.


🌍 OAuth-Endpunkte


Autorisierungs-URL


Beispiel:


https://example.com/oauth/connect


Wo Benutzer zur Anmeldung weitergeleitet werden.

Zugriffstoken-URL


Beispiel:


https://example.com/oauth/token


Wird verwendet, um den Autorisierungscode gegen ein Zugriffstoken einzutauschen.

URL des Ressourceninhabers (User Info Endpoint)


Beispiel:


https://example.com/oauth/userinfo


Gibt Benutzerdaten nach der Authentifizierung zurück.


🎯 Scopes


Geben Sie Scopes als kommagetrennte Liste ein. Für standardmäßiges OpenID Connect:


openid, profil, e-mail-adresse


Diese gewähren Zugriff auf:


  • Eindeutige Benutzer-ID
  • E-Mail-Adresse
  • Vorname
  • Nachname


👤 Attributzuordnung


Ihr Identity Provider gibt Benutzerdaten im JSON-Format zurück. Sie müssen definieren, welche Felder den erforderlichen Werten entsprechen.


ID-Feld


Beispiel:


sub


E-Mail-Feld


Beispiel:


e-mail-adresse


Vorname-Feld


Beispiel:


given_name


Nachname-Feld


Beispiel:


family_name


Diese Feldnamen müssen genau den Rückgaben Ihres Identity Providers entsprechen.


🔵 SAML 2.0 Konfiguration


Wählen Sie SAML 2.0 als Protokoll. Sie benötigen die folgenden Werte von Ihrem Identity Provider:


Identity Provider Entity ID (Issuer URL)


Eindeutige Kennung Ihres Identity Providers.


Single Sign-On Service URL


Der Endpunkt, an den Authentifizierungsanfragen gesendet werden.


Einzelne Logout-Dienst-URL (Optional)


Endpunkt für die Funktionalität des Einzeln-Abmeldens.


X509-Zertifikat


Öffentliches Zertifikat, das von Ihrem Identity Provider bereitgestellt wird. Wird verwendet, um SAML-Beschlüsse zu validieren.


Verschlüsselungs-X509-Zertifikat (Optional)


Verwendet, wenn Ihr Provider verschlüsselte Behauptungen erfordert.


Angeforderter Authentifizierungskontext (Optional)


Definiert die erforderliche Authentifizierungsstärke (z.B. MFA). Deaktiviert lassen, sofern nicht vom Provider gefordert.# 🏢 Informationen zum Service Provider


Nach dem Speichern Ihrer SAML-Konfiguration generiert Drimify erforderliche Werte für Ihren Identity Provider:


  • Anbieter-Entitäts-ID (Metadata URL)
  • Assertion Consumer Service (ACS URL)
  • Single Logout Service (SLS URL)


Diese müssen in Ihre Identity Provider-Konfiguration eingefügt werden.


🏢 Standard-Workspace-Einstellungen


Enterprise-SSO ermöglicht die automatische Zuweisung von Arbeitsbereichen.

Sie müssen Folgendes definieren:

Arbeitsbereich


Alle Benutzer, die sich über dieses SSO authentifizieren, werden automatisch diesem Arbeitsbereich zugeordnet.

Standardabteilung


Benutzer werden dieser Abteilung zugewiesen.

Vordefinierte Rolle


Definiert die Standardberechtigungen, die neuen Benutzern über dieses SSO zugeteilt werden.

Dies stellt sicher, dass von Anfang an eine ordnungsgemäße Zugriffskontrolle erfolgt.


🌍 Domain-Verifizierung (DNS erforderlich)


Nach dem Speichern Ihrer SSO-Konfiguration ist eine Domain-Verifizierung obligatorisch.

Um die Eigentümerschaft zu bestätigen:


  1. Ein DNS TXT-Eintrag wird generiert.
  2. Fügen Sie den TXT-Eintrag zu den DNS-Einstellungen Ihrer Domain hinzu.
  3. Klicken Sie auf „Domain verifizieren“ in der Plattform.


Beispiel für einen Eintrag:


  • Typ: TXT
  • Host: company.com
  • Wert: drimify-domain-verification=xxxxxxxxxxxxxxxx


⚠ Die DNS-Ausbreitung kann bis zu 48 Stunden dauern.

SSO kann erst aktiviert werden, wenn die Verifizierung erfolgreich ist.


🔁 Funktionsweise des Logins


  1. Benutzer gibt seine E-Mail-Adresse ein.
  2. Wenn die Domain einem konfigurierten SSO entspricht:
    • Wird der Benutzer automatisch zu Ihrem Identity Provider weitergeleitet.
  1. Nach erfolgreicher Authentifizierung:
    • Wird der Benutzer zurück zu Drimify umgeleitet.
    • Falls neu, wird das Konto automatisch erstellt.
    • Der Benutzer wird dem konfigurierten Arbeitsbereich und der Rolle zugewiesen.


🧪 Testen Ihres SSO


Bevor es für alle Benutzer aktiviert wird:


  • Testen Sie mit einem Benutzer Ihrer Domain
  • Bestätigen Sie, dass das E-Mail-Adressen-Mapping korrekt funktioniert
  • Überprüfen Sie, ob Vorname und Nachname korrekt ausgefüllt werden
  • Testen Sie das Abmeldeverhalten
  • Stellen Sie sicher, dass die Weiterleitungs-URI genau übereinstimmt


❗ Häufige Probleme


SSO-Antwort enthielt keine E-Mail-Adresse


→ Stellen Sie sicher, dass der email-Scope enthalten ist (OAuth) oder das E-Mail-Attribut zugeordnet ist (SAML).


Ungültige Weiterleitungs-URI


→ Bestätigen Sie, dass sie exakt übereinstimmt:


https://my.drimify.com/de/sso/callback/oauth


Domain nicht verifiziert


→ Stellen Sie sicher, dass der DNS TXT-Eintrag korrekt hinzugefügt und verbreitet wurde.


🔐 Sicherheitsempfehlungen


  • Geben Sie niemals Ihr Client Secret preis.
  • Verwenden Sie ausschließlich HTTPS-Endpunkte.
  • Beschränken Sie Ihre IdP-Anwendung auf Ihre Organisation.
  • Rotieren Sie regelmäßig Anmeldeinformationen, wo möglich.


Ihr Enterprise-SSO ist voll funktionsfähig, sobald:


  • Die Konfiguration gespeichert ist
  • Die Domain verifiziert ist
  • SSO aktiviert ist

Aktualisiert am: 03/03/2026

War dieser Beitrag hilfreich?

Teilen Sie Ihr Feedback mit

Stornieren

Danke!