/
Single Sign On (SSO)

Single Sign On (SSO)

 

💡 Auf einen Blick

Mit der Einrichtung von Single Sign-On (SSO) wird die Anmeldung bei sproof sign über die in Ihrem Unternehmen genutzten Identitätsprovider (z. B. Microsoft Azure AD oder Shibboleth) abgewickelt. Damit wird der Zugang zentral gesteuert und die Nutzererfahrung optimiert. In diesem Beitrag erfahren Sie, welche technischen Voraussetzungen erfüllt sein müssen, welche Konfigurationsoptionen bestehen und worauf Sie bei der Verwaltung von Nutzer:innen achten sollten.

📑 Schritt-für-Schritt-Anleitung

1. Voraussetzungen zur Einrichtung von SSO

Zur Einrichtung von SSO benötigen wir folgende Informationen:

  • Ziel-Domain(s): z. B. @ihrefirma.com, @ihrefirma2.com

  • Auszunehmende E-Mail-Adressen: z. B. shared Accounts, die nicht über das SSO verwaltet werden

Hinweis: Wenn Microsoft Azure verwendet wird, ist der Login via Microsoft-Konto ohnehin möglich. Ein Login mit E-Mail und Passwort bleibt aber weiterhin standardmäßig aktiviert, sofern keine Einschränkung erfolgt.

2. Verhalten bei aktivierter SSO-Domain

  • Sobald SSO für eine Domain aktiviert ist, werden Nutzer:innen mit dieser Domain automatisch zum SSO weitergeleitet – unabhängig von der Login-Art.

  • Ein klassischer Login mit E-Mail und Passwort ist dann nicht mehr möglich.

  • Die Steuerung, ob neue Nutzer:innen direkt zum Plan hinzugefügt werden, erfolgt über verschiedene Optionen:

3. Optionen zur Nutzersteuerung in sproof

Option 1: Domain Wildcard (Standardsteuerung in sproof)

  • Aktivieren Sie im Admin-Dashboard die Option „Domain Wildcard“, wenn alle Mitarbeiter:innen mit dieser Domain automatisch Ihrem Plan hinzugefügt werden sollen.

  • Nutzer:innen mit der hinterlegten Domain werden beim ersten Login automatisch als aktive Planmitglieder angelegt.

  • Sind alle Userinstanzen bereits vergeben, werden automatisch neue Instanzen hinzugefügt und verrechnet.

  • Möchten Sie dies nicht, deaktivieren Sie das Häkchen bei „Domain Wildcard“ – Nutzer:innen bleiben dann außerhalb des Plans (siehe Option 2 und 3).

Option 2: Steuerung via sproof Account (manuelle Zuweisung)

  • Sie fügen Nutzer:innen manuell über den Bereich „Lizenz und Team“ hinzu.

  • Nutzer:innen, die sich zwar mit SSO anmelden, aber nicht aktiv hinzugefügt wurden

Option 3: Steuerung via Entra ID Gruppen (Microsoft)

  • Erstellen Sie definierte Benutzergruppen in Ihrer Entra ID (Azure AD).

  • Übermitteln Sie die Microsoft Group-ID und Microsoft Tenant ID an sproof.

  • Gewähren Sie sproof Lesezugriff auf diese Gruppe.

  • Nur Nutzer:innen in dieser Gruppe werden Ihrem Plan hinzugefügt.

  • Personen, die aus einer Entra ID-Gruppe entfernt werden, werden automatisch auch aus dem sproof Sign Plan entfernt.

4. Einschränkung von Anmeldungen über SSO

Wenn bestimmte Nutzer:innen trotz SSO nicht auf sproof zugreifen sollen (z. B. externe Signierende), beachten Sie bitte:

  • Eine vollständige Exklusion durch sproof ist nicht möglich – Ausnahme: shared Accounts.

  • Einschränkungen müssen im SSO-System selbst konfiguriert werden.

  • Bei abgelehnter Anmeldung erhalten betroffene Personen eine Fehlermeldung nach dem Redirect zum SSO.

5. Verhalten bei Änderungen im SSO

  • Wird ein:e Mitarbeiter:in aus dem SSO entfernt, kann sich diese Person nicht mehr einloggen.

  • Die zugehörige Userinstanz in Ihrem sproof-Plan bleibt bestehen und wird zu einem Free User umgewandelt.

  • Eine vollständige Löschung muss durch den Planadmin per Ticket an das sproof-Team beantragt werden.

Wenn Sie Unterstützung bei der SSO-Einrichtung benötigen oder Fragen zur optimalen Nutzerverwaltung haben, steht Ihnen unser Team gerne zur Verfügung.