Kürzliche Suchen

Keine aktuellen Suchvorgänge

    Beliebte Artikel

      Artikel
      Alle ansehen
        Themen
        Alle ansehen
          Tickets
          Alle ansehen
            keine Ergebnisse

            Leider nichts gefunden für

            Single Sign-On (SSO) Setup & Konfigurations-Leitfaden

            Geändert am Mi, 23 Apr um 9:57 VORMITTAGS


            Single Sign-On (SSO) ermöglicht es dir, dich bei Lemontaps mit deinen bestehenden Unternehmens-Zugangsdaten anzumelden, wodurch keine separaten Login-Daten verwaltet werden müssen. Beim Zugriff auf Lemontaps wirst du zur Authentifizierung an deinen Identity Provider weitergeleitet (z. B. Entra ID (früher Azure AD) oder Okta). Sobald deine Identität bestätigt ist, wirst du automatisch eingeloggt. 


            INHALTSVERZEICHNIS


            SSO-Einrichtungsübersicht

            Hier ist der vereinfachte Ablauf der Einrichtung. Detaillierte Anleitungen - inklusive dedizierter Guides für Entra ID und Okta - findest du in den folgenden Abschnitten.


            1. Relevante E-Mail-Domains verifizieren

            Jede SSO-Konfiguration in Lemontaps ist an eine Liste zugelassener E-Mail-Domains gebunden. Bevor du SSO einrichtest, musst du die relevanten Domains für deine Organisation verifizieren. Du kannst deine Domains hier verifizieren. Mehr zum Thema Domain-Verwaltung findest du hier.


            1. Konfiguriere deinen Identity Provider (IdP) für SSO

            Gehe zu Team-Einstellungen > Identity Provider. Eine detaillierte Anleitung findest du im Identity Provider Guide.


            1. Konfiguriere Lemontaps für SSO

            Wir haben einen allgemeinen Einrichtungsleitfaden mit Screenshots und hilfreichen Tipps erstellt. Für spezifische Plattformen findest du unten separate Guides für Okta und Microsoft Entra ID. Für alle anderen IdPs nutze den allgemeinen SSO-Setup-Guide.


            1. Teste SSO

            Eine detaillierte Erklärung findest du im Abschnitt „So testest du die Verbindung“. Dort findest du auch eine Checkliste nach der Einrichtung zur Überprüfung deiner Konfiguration.

            1. Aktiviere SSO


            Entra ID Setup-Anleitung

            Lemontaps unterstützt eine native SSO-Integration mit Entra ID (ehemals Azure AD) über OIDC-basierte Authentifizierung. OIDC basiert auf OAuth 2.0 und erfordert nur wenig Konfiguration.

            Wenn du aus Compliance-Gründen eine SAML-basierte Authentifizierung benötigst, wähle in Lemontaps „Andere“ als Identity Provider (siehe Schritt 2 oben), um SAML 2.0 zu konfigurieren. SAML erfordert mehr manuelle Einstellungen und ist dadurch fehleranfälliger.

            Schritte für SSO mit Entra ID:

            Okta Setup-Anleitung

            Für Okta bietet Lemontaps zwei Authentifizierungsstrategien: OIDC und SAML 2.0.

            • Nutze SAML 2.0, wenn du später User Provisioning via SCIM einrichten möchtest – Okta erlaubt das nur für SAML-Anwendungen.

            • Nutze OIDC, wenn du kein SCIM benötigst – es ist einfacher einzurichten und weniger fehleranfällig.

            Schritte für SSO mit Okta:


            So testest du die Verbindung

            Im Setup-Assistenten wirst du aufgefordert, die Verbindung zu testen. Dieser Test prüft die Verbindung zwischen deinem IdP und Lemontaps – allerdings nicht, ob die nötigen Claims korrekt gesetzt sind.

            Um das vollständig zu testen, findest du im SSO-Einstellungen-Kartenbereich in Lemontaps einen Button „Testen“. Folge den Anweisungen dort und führe den Test durch, bevor du dich ab- und wieder anmeldest.

            SSO-Verbindung testen →

            So verwaltest du E-Mail-Domains in einer bestehenden Konfiguration

            Willst du Domains nachträglich verwalten, findest du hier den passenden Leitfaden:
            Domain-Verwaltung →

            Checkliste nach der Einrichtung

            Nach der Konfiguration solltest du diese Punkte prüfen, bevor du dich ab- und wieder anmeldest:

            • Du hast alle Konfigurationsschritte in deinem IdP und in Lemontaps abgeschlossen.

            • Alle relevanten E-Mail-Domains sind der SSO-Konfiguration zugewiesen.

            • Du hast die Integration erfolgreich getestet: Testanleitung →

            • Die beiden Claims email und email_verified sind korrekt gesetzt.

              • Diese sind bei nativer OIDC-Integration (Entra ID, Okta) automatisch enthalten.

              • Bei SAML oder eigenen OIDC-Konfigurationen müssen sie manuell hinterlegt werden.

            • [Nur Entra ID] Entra ID-Checkliste abgeschlossen: Checkliste →

            • Ablaufdaten beachtet? Wenn du z. B. mit Entra ID ein Secret erstellt hast, stelle sicher, dass du rechtzeitig erinnert wirst, es zu erneuern.

            Falls etwas noch nicht vollständig eingerichtet ist: SSO vorerst deaktiviert lassen.

            Eine neue E-Mail-Domain hinzufügen

            Du kannst jederzeit weitere Domains hinzufügen:

            1. Neue E-Mail-Domain einrichten und verifizieren: Domain-Setup →

            2. Domain zur SSO-Konfiguration hinzufügen: Domain zu SSO →


            FAQ



            Warum muss ich E-Mail-Domains konfigurieren?

            Beim Login erkennt Lemontaps anhand der Domain deiner E-Mail-Adresse, zu welchem IdP weitergeleitet werden soll. Außerdem erhöht das die Sicherheit, da nur bestimmte Domains Zugriff bekommen. So entfällt auch die manuelle E-Mail-Verifizierung.



            Welche Domains muss ich verifizieren?

            Alle Domains, mit denen sich deine Nutzer bei Lemontaps anmelden sollen – z. B. firma.de und sub.firma.de, wenn beide Gruppen Zugang benötigen.



            Wie deaktiviere ich SSO?
            Guide – SSO deaktivieren →



            Wie aktiviere ich SSO?

            Im Bereich SSO-Einstellungen in Lemontaps gibt es einen Button „SSO aktivieren und erzwingen“. Danach wird SSO für alle Nutzer mit passenden Domains aktiviert. Test vorher durchführen!



            Was passiert, wenn mein Secret abgelaufen ist?

            Einige OIDC-Integrationen benötigen ein Secret, das abläuft (z. B. Entra ID max. 2 Jahre). Du musst es rechtzeitig erneuern, sonst können sich deine Nutzer nicht mehr einloggen.



            Unser Secret ist abgelaufen und wir haben keinen Zugang mehr – was nun?
            Guide – SSO-Wiederherstellung →



            Kann ich SSO testen, ohne es zu aktivieren?

            Ja. Wenn du den Setup-Assistenten nicht abschließt, sondern einfach schließt, wird SSO nicht aktiviert. Du kannst die Verbindung jederzeit im Lemontaps-SSO-Kartenbereich testen.

            Solange sich kein Nutzer via SSO angemeldet hat, kannst du SSO auch nachträglich wieder deaktivieren.



            Können Nutzer außerhalb meines Teams Domains nutzen, die ich für SSO konfiguriert habe?

            Nein. Sobald eine Domain SSO-gebunden ist, müssen alle Nutzer bei Lemontaps sich per SSO authentifizieren. Externe Nutzer ohne Teamzugehörigkeit können sich nicht mehr anmelden. Du solltest diese Nutzer in dein Team importieren und die automatische Kontozuweisung aktivieren.



            Kann ich meiner IT-Abteilung einen Self-Service-Link schicken, um Konfigurationen wie das Secret zu aktualisieren?

            Ja! Klicke auf das Drei-Punkte-Menü in den SSO-Einstellungen und wähle „Self-Service Ticket-URL generieren“.








            War dieser Artikel hilfreich?

            Das ist großartig!

            Vielen Dank für das Feedback

            Leider konnten wir nicht helfen

            Vielen Dank für das Feedback

            Wie können wir diesen Artikel verbessern?

            Wählen Sie wenigstens einen der Gründe aus
            CAPTCHA-Verifikation ist erforderlich.

            Feedback gesendet

            Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren

            Vorschau
            0 von 0