Zum Inhalt springen

Single Sign-On (SSO)

Mit Single Sign-On meldet sich Ihr Team bei Resilic über Ihren eigenen Identitätsanbieter (IdP) an – Microsoft Entra ID, Okta, ADFS, PingFederate und andere – statt mit einem separaten Resilic-Passwort. Anmeldungen werden über Ihre E-Mail-Domain geleitet: Sobald SSO aktiv ist, wird jede Anmeldung mit einer Adresse auf Ihrer verifizierten Domain an Ihren IdP weitergeleitet.

Sie richten dies selbst unter Einstellungen → Single Sign-On ein. Nur eine Inhaberin/ein Inhaber oder eine Administratorin/ein Administrator sieht diesen Bereich.

  • Sie benötigen administrativen Zugang zu Ihrem Identitätsanbieter (um eine neue Anwendung / vertrauende Seite hinzuzufügen, deren Metadaten auszulesen und – bei OIDC – einen Client anzulegen und dessen Client-ID und Secret auszulesen).
  • Sie müssen einen DNS-TXT-Eintrag für Ihre Unternehmensdomain hinzufügen können (oder die Person darum bitten, die Ihr DNS verwaltet).
  • Entscheiden Sie, welche Ihrer IdP-Gruppen welche Resilic-Rolle erhalten soll (siehe Wer aus Ihrem Team Zugang erhält unten). Ihr IdP muss Gruppeninformationen im Anmelde-Token senden, damit die automatische Zugangsvergabe funktioniert.

Anmeldungen über die E-Mail-Domain zu leiten ist wirkungsvoll, daher lässt Resilic Sie zunächst nachweisen, dass Sie die Domain kontrollieren – sonst könnte jemand die Anmeldungen eines anderen Unternehmens umleiten. Geben Sie Ihre Unternehmensdomain ein, und Resilic gibt Ihnen einen zu veröffentlichenden DNS-TXT-Eintrag:

_resilic-sso.ihre-domain.example → <Verifizierungs-Token>

Fügen Sie ihn bei Ihrem DNS-Anbieter hinzu und klicken Sie dann auf Domain verifizieren. DNS-Änderungen können einige Minuten dauern; falls die Verifizierung nicht sofort gelingt, warten Sie kurz und versuchen Sie es erneut.

Sobald die Domain verifiziert ist, verbinden Sie Ihren IdP:

  1. Wählen Sie das Protokoll (SAML oder OIDC) und wie Sie die Metadaten bereitstellen – als Metadaten-URL oder eingefügtes XML.
  2. Bei OIDC geben Sie außerdem die Client-ID und das Secret ein, die Sie für Resilic bei Ihrem Identitätsanbieter registriert haben. (SAML benötigt keine – es vertraut über die ausgetauschten Metadaten und Zertifikate.)
  3. Speichern Sie. Resilic richtet die Verbindung ein und zeigt Ihnen die Service-Provider-Daten – die Entitäts-ID, die ACS- (Antwort-) URL und eine SP-Metadaten-URL.
  4. Tragen Sie diese Daten in Ihrem Identitätsanbieter ein, damit er Resilic vertraut, und stellen Sie sicher, dass er die Gruppenmitgliedschaften der Nutzer im Anmelde-Token sendet – das steuert die automatische Rollenzuweisung.

Resilic speichert niemals die Zertifikate oder Geheimnisse Ihres IdP – die Verbindung liegt in der zugrunde liegenden Identitätsebene, und Resilic behält nur die benötigten Referenzen.

  1. Führen Sie eine Testanmeldung über Ihren IdP durch, um zu bestätigen, dass die Verbindung durchgängig funktioniert.
  2. Sobald der Test bestanden ist, klicken Sie auf SSO aktivieren. Ab dann werden Anmeldungen auf Ihrer verifizierten Domain an Ihren Identitätsanbieter geleitet.

Sie können SSO jederzeit deaktivieren, um zur Passwort-Anmeldung zurückzukehren. Für eine spätere erneute Aktivierung ist zuerst ein frischer Test erforderlich, damit eine fehlerhafte IdP-Änderung Ihr Team nicht unbemerkt aussperrt.

Eine Anmeldung per SSO weist nach, wer jemand ist – sie gewährt allein noch keinen Zugang zu Ihrem Resilic-Arbeitsbereich. Der Zugang wird bei der ersten Anmeldung entschieden:

  • In einer zugeordneten Gruppe → automatisch hinzugefügt. Ist die Person in einer Identitätsanbieter-Gruppe, die Sie einer Resilic-Rolle zugeordnet haben, wird sie bei der ersten Anmeldung mit dieser Rolle zu Ihrem Arbeitsbereich hinzugefügt – ohne Freigabe. Sie legen fest, welche Gruppe auf welche Rolle (Inhaber, Administrator, Mitglied, …) und auf welche Produkte abgebildet wird; Ihre IdP-Administration steuert, wer in welcher Gruppe ist. Genau das ist der Sinn von SSO: Sie regeln den Zugang über Gruppenrichtlinien, nicht Person für Person.
  • Nicht in einer zugeordneten Gruppe → Zugang anfragen. Wer sich anmeldet, aber in keiner zugeordneten Gruppe ist, erhält noch keinen Zugang – die Person landet auf einem Bildschirm „Zugang anfragen“, und eine Inhaberin/ein Inhaber oder eine Administratorin/ein Administrator gibt sie unter Team & Rollen frei. Zugang wird niemals stillschweigend gewährt.

Wird jemand später bei Ihrem IdP aus allen zugeordneten Gruppen entfernt, wird der Resilic-Zugang bei der nächsten Anmeldung gesperrt – das Offboarding bei Ihrem IdP wirkt also automatisch durch.

Rollen und der produktbezogene Geltungsbereich werden stets unter Team & Rollen verwaltet; SSO entscheidet, wie sich Personen authentifizieren und mit welcher Rolle sie ankommen, nicht, was eine Rolle darf.

Die Gruppenzuordnung wird beim Onboarding mit uns eingerichtet. Da jeder Identitätsanbieter Gruppen anders benennt und sendet (Entra ID groups, SAML memberOf usw.), wird die Zuordnung Ihrer IdP-Gruppen zu Resilic-Rollen gemeinsam mit unserem Team eingerichtet, wenn Sie SSO aktivieren. Sagen Sie uns, welche Gruppen welche Rolle erhalten sollen.