/
Single Sign On (SSO)

Single Sign On (SSO)

 

💡 Auf einen Blick

Die Einrichtung von Single Sign On (SSO) übernimmt die Anmeldung bei sproof Sign über die in Ihrem Unternehmen verwendeten Identitätsanbieter (z. B. Microsoft Entra ID oder Shibboleth). Dadurch kann der Zugriff zentral gesteuert und die Benutzererfahrung optimiert werden. Da die Authentifizierung vollständig über Ihren Anbieter läuft, können Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung (2FA) ebenfalls direkt darüber gesteuert werden. In diesem Artikel erfahren Sie, welche technischen Voraussetzungen erfüllt sein müssen und wie Sie die Sicherheitseinstellungen konfigurieren.

📑 Schritt-für-Schritt-Anleitung

Voraussetzungen für die Einrichtung von SSO

Um SSO für Ihre Organisation zu aktivieren, müssen grundlegende Konfigurationen vorgenommen werden. Bitte stellen Sie sicher, dass Sie die folgenden Informationen bereithalten oder an Ihren Customer Success Manager weiterleiten:

  • Ziel-Domain(s): Geben Sie alle Domains ein, die über SSO verwaltet werden sollen (z. B. @yourcompany.com, @yourcompany2.com).

  • Identitätsanbieter: Welches System verwenden Sie (z. B. Microsoft Entra ID)?

  • Ausgeschlossene E-Mail-Adressen: Definieren Sie E-Mail-Adressen, die vom SSO ausgeschlossen werden sollen, wie z. B. Shared Accounts (z. B. accounting@yourcompany.com), die keinen eigenen SSO-Zugang besitzen.

Hinweis: Wenn Microsoft Entra ID verwendet wird, ist die Anmeldung über ein Microsoft-Konto oft bereits standardmäßig möglich. Die hier beschriebene SSO-Einrichtung erzwingt jedoch diesen Weg und verhindert die Anmeldung über E-Mail und Passwort für die definierte Domain.

Einrichtung der Zwei-Faktor-Authentifizierung (2FA)

Die Einrichtung der Zwei-Faktor-Authentifizierung für die Anmeldung bei sproof Sign ist eine Einstellung, die direkt in Ihrem Identitätsanbieter (z. B. Microsoft Entra ID) vorgenommen werden muss. Da sproof Sign die Authentifizierung bei aktivem SSO an Ihren Anbieter delegiert, gelten automatisch alle dort hinterlegten Sicherheitsrichtlinien.

Gehen Sie für die Einrichtung wie folgt vor:

  1. SSO in sproof Sign einrichten: Stellen Sie sicher, dass die grundlegende SSO-Konfiguration (Domain, Anbieter, ausgeschlossene E-Mails) wie unter Punkt 1 beschrieben abgeschlossen und aktiv ist.

  2. 2FA über Entra ID einstellen: Ihr Entra-Administrator muss nun in den Conditional Access Policies festlegen, dass für die sproof Sign-Anwendung oder die entsprechende Benutzergruppe eine Multi-Faktor-Authentifizierung erforderlich ist.

Sobald diese Richtlinie in Entra ID aktiv ist, werden Benutzer beim Versuch, sich über sproof Sign anzumelden, von Microsoft aufgefordert, den zweiten Faktor zu bestätigen.

Optionen zur Benutzersteuerung in sproof Sign

Sie haben verschiedene Möglichkeiten, zu steuern, wie neue Plan-Mitglieder, die sich über SSO anmelden, behandelt werden:

  • Option 1: Domain-Wildcard (Standard): Aktivieren Sie die Option "Domain-Verwaltung" im Admin-Dashboard. Alle Personen mit der gespeicherten Domain werden beim ersten Login automatisch Ihrem Plan hinzugefügt. Wenn das Kontingent erschöpft ist, werden neue Lizenzen automatisch gebucht.

  • Option 2: Manuelle Zuweisung: Deaktivieren Sie die Wildcard-Funktion. Sie müssen Benutzer manuell im Dashboard unter "Lizenz & Team" einladen. Personen, die sich über SSO anmelden, aber nicht eingeladen wurden, landen nicht in Ihrem Plan.

  • Option 3: Steuerung über Entra ID-Gruppen: Erstellen Sie eine Benutzergruppe in Entra ID und übermitteln Sie die Gruppen-ID und Tenant-ID an sproof Sign. Nur Mitglieder dieser Gruppe erhalten Zugriff auf den Plan.

Verwaltung und Einschränkungen

Sobald SSO aktiviert ist, werden Benutzer der Domain beim Login automatisch an den Identitätsanbieter weitergeleitet. Eine Anmeldung mit einem sproof Sign-Passwort ist nicht mehr möglich. Wenn Sie den Zugriff für bestimmte Personen sperren möchten, muss dies primär im SSO-System erfolgen.

Wenn ein Plan-Mitglied aus Ihrem SSO (z. B. Active Directory) entfernt wird, kann diese Person sich nicht mehr bei sproof Sign anmelden. Die Benutzerlizenz im sproof Sign-Plan bleibt jedoch vorerst belegt. Um die Lizenz freizugeben und den Benutzer vollständig zu löschen oder auf einen Free User herunterzustufen, entfernen Sie den Benutzer bitte manuell aus der Liste unter "Lizenz & Team" oder kontaktieren Sie den Support bei komplexen Szenarien.