Single Sign-On (SSO) ermöglicht es Ihren Teammitgliedern und Lesern, sich mit Zugangsdaten Ihres bestehenden Identitätsanbieters (IdP) wie Okta, Microsoft Entra oder Google Workspace bei Document360 anzumelden. Anstatt separate Passwörter für Document360 zu verwalten, authentifizieren sich Nutzer einmal über Ihr IDP und erhalten automatisch Zugriff. Document360 unterstützt SAML, OpenID Connect und JWT als SSO-Methoden sowie SCIM für die automatisierte Benutzerbereitstellung.
Was ist SSO?
Single Sign-On (SSO) ist eine Authentifizierungsmethode, die es einem Benutzer ermöglicht, sich einmal anzumelden und auf mehrere Anwendungen zuzugreifen, ohne für jede einzelne erneut Zugangsdaten einzugeben.
In Document360 arbeitet SSO zwischen zwei Parteien:
- Identitätsanbieter (IdP): Der Dienst, der die Zugangsdaten Ihrer Nutzer speichert und überprüft. Beispiele sind Okta, Microsoft Entra ID, Google Workspace, ADFS und OneLogin.
- Dienstanbieter (SP): Document360, das darauf angewiesen ist, dass das IdP die Identität eines Benutzers bestätigt, bevor der Zugriff gewährt wird.
Wenn sich ein Nutzer anmeldet, authentifiziert sich der IdP und sendet ein verifiziertes Token an Document360. Document360 vertraut diesem Token und gewährt Zugriff, ohne ein separates Passwort zu benötigen.
Document360 unterstützt mehrere gleichzeitige SSO-Konfigurationen. Sie können einen IdP für Ihr internes Team und einen anderen für externe Leser verwenden, sodass jede Zielgruppe eine Login-Erfahrung bekommt, die zu Ihrer Einrichtung passt.
Warum SSO in Document360 verwenden?
| Nutzen | Was es in der Praxis bedeutet |
|---|---|
| Verbesserte Sicherheit | Die Zugangsdaten werden zentral in Ihrem IdP verwaltet, was das Risiko schwacher oder wiederverwendeter Passwörter in Document360 verringert |
| Vereinfachter Zugang | Nutzer melden sich einmal an und greifen ohne separaten Login auf Document360 auf |
| Einfachere Benutzerverwaltung | Füge oder entferne Zugriff von deinem IdP und er wird automatisch in Document360 angezeigt (mit SCIM). |
| Compliance-Unterstützung | Zentralisierte Authentifizierung hilft, regulatorische Anforderungen für Zugriffskontrolle zu erfüllen |
| Reduzierter IT-Overhead | Weniger Passwort-Zurücksetzungen und keine separate Zugangsdatenbank zu verwalten |
Unterstützte SSO-Methoden
Document360 unterstützt drei SSO-Methods. Jede funktioniert anders und passt zu unterschiedlichen Anwendungsfällen.
SAML 2.0
Ein XML-basierter Standard, der von den meisten Unternehmensidentitätsanbietern verwendet wird. Am besten für Organisationen, die bereits Okta, Microsoft Entra, Google Workspace, ADFS oder OneLogin nutzen. Unterstützt sowohl Team- als auch Leseauthentifizierung.
Geh zu SAML →OpenID Connect (OIDC)
Ein modernes Authentifizierungsprotokoll, das auf OAuth 2.0 basiert. Geeignet für Organisationen, die Okta, Auth0 oder ADFS mit OpenID-Unterstützung verwenden. Unterstützt sowohl Team- als auch Leseauthentifizierung.
Geh zu OpenID Connect →JWT (JSON Web Token)
Eine vom Entwickler implementierte Methode zur Authentifizierung von Lesern aus Ihrer eigenen Anwendung. Kein externer IdP erforderlich. Am besten, wenn du die Authentifizierung in deinem eigenen System verwalten und verifizierte Token an Document360 weitergeben möchtest.
Geh zu JWT →Wahl der richtigen SSO-Methode
| SAML | OpenID Connect | JWT | |
|---|---|---|---|
| Am besten für | Unternehmen mit bestehendem IdP | Organisationen, die OAuth 2.0-basierte Anbieter nutzen | Entwickler, die die Authentifizierung in ihrer eigenen Anwendung verwalten |
| Authentifiziert | Nutzer und Leser | Nutzer und Leser | Nur Leser |
| Erfordert ein IdP | Ja | Ja | Nein |
| Aufbaukomplexität | Medium | Medium | Höher (erfordert benutzerdefinierte Entwicklung) |
| SCIM-Bereitstellung | Unterstützt (Okta, Entra, OneLogin, ADFS, andere) | Unterstützt (Okta, ADFS, andere) | Nicht anwendbar |
| Kann mit anderen Methoden koexistieren | Ja, SAML und JWT können zusammen aktiv sein | Ja, OIDC und JWT können zusammen aktiv sein | Ja |
SAML und OpenID Connect schließen sich gegenseitig aus. Man kann nicht beide gleichzeitig im selben Projekt aktiv haben. Allerdings können sowohl SAML als auch OpenID Connect im selben Projekt mit JWT koexistieren.
SCIM-Bereitstellung
SCIM (System for Cross-domain Identity Management) ist eine Bereitstellungsschicht, die auf Ihrer SSO-Konfiguration aufbaut, um das Nutzerlebenszyklusmanagement zu automatisieren.
Mit aktiviertem SCIM wird jede Änderung, die du in deinem IdP vornimmst (Hinzufügen eines Benutzers, Rollen aktualisieren, jemanden deaktivieren), automatisch in Document360 angezeigt. Sie müssen Benutzerkonten in Document360 nicht manuell verwalten.
SCIM muss nach Abschluss deiner SSO-Einrichtung konfiguriert werden. Es ist für SAML- und OpenID Connect-Konfigurationen mit unterstützten Anbietern verfügbar.
Erfahren Sie mehr über SCIM-Provisioning →
Wie SSO funktioniert
Wenn sich ein Benutzer mit SSO bei Document360 anmeldet, geschieht Folgendes:
- Der Nutzer öffnet das Document360-Portal oder die Wissensdatenbank und gibt seine E-Mail-Adresse oder Domain ein.
- Document360 identifiziert die SSO-Konfiguration für diese Domain und leitet den Benutzer zur IdP-Login-Seite weiter.
- Der Benutzer gibt seine Zugangsdaten im IdP ein (nicht in Document360).
- Der IdP überprüft die Zugangsdaten und sendet ein signiertes Token zurück an Document360.
- Document360 validiert das Token und gewährt dem Benutzer Zugriff basierend auf seiner zugewiesenen Rolle und Berechtigungen.
Der Nutzer ist jetzt eingeloggt. Wenn sie auf andere Anwendungen zugreifen, die von derselben SSO-Sitzung abgedeckt sind, müssen sie sich nicht erneut anmelden.
Fang mit SSO an
OpenID Connect konfigurieren
Richte das SSO mit OpenID Connect mit deinem Identitätsanbieter ein.
OpenID Connect Überblick →JWT konfigurieren
Implementiere die JWT-Authentifizierung für den Lesezugriff aus deiner Anwendung.
JWT-Überblick →Einrichtung der SCIM-Bereitstellung
Automatisiere die Bereitstellung von Nutzern und Lesern aus deinem IdP.
SCIM-Überblick →SSO-Zugriff verwalten
Benutzer hinzufügen, Leser verwalten, Projekte kartieren und die Login-Einstellungen nach der Konfiguration von SSO steuern.
Zugriff mit SSO verwalten →
Kann ich SAML und OpenID Connect gleichzeitig verwenden?
Nein. SAML und OpenID Connect sind in Document360 gegenseitig exklusiv. Du kannst pro Projekt immer nur einen aktiv haben. Beide können jedoch mit einer JWT-Konfiguration im selben Projekt koexistieren.
Kann ich SSO sowohl für mein Team als auch für meine Leser konfigurieren?
Ja. SAML und OpenID Connect unterstützen die Authentifizierung sowohl für Teammitglieder (die auf das Knowledge Base-Portal zugreifen) als auch für Leser (die auf die Knowledge Base-Seite zugreifen). JWT dient ausschließlich der Leser-Authentifizierung und kann nicht zum Einloggen im Portal verwendet werden.
Kann ich mehrere SSO-Konfigurationen im selben Projekt einrichten?
Ja. Document360 unterstützt mehrere gleichzeitige SSO-Konfigurationen. Zum Beispiel kann man einen IdP für interne Mitarbeiter und einen separaten für externe Reader verwenden. Sie können außerdem bis zu 5 JWT-Konfigurationen im selben Projekt aktiv haben, zusammen mit einer SAML- oder OpenID Connect-Konfiguration.