Benutzerverzeichnis und Single Sign-On
Jeder Dienst, den Ihr Unternehmen nutzt, hat seine eigene Benutzerdatenbank. GitHub hat Benutzer. Slack hat Benutzer. AWS hat IAM-Benutzer. Ihr CRM, Ihr Analytics-Tool, Ihr Projektmanagement – jedes pflegt eine separate Liste, wer sich einloggen darf.
Das wird schnell zum Problem. Wenn jemand neu ins Unternehmen kommt, erstellen Sie Accounts überall. Wenn jemand geht, müssen Sie an jeden Dienst denken, auf den er Zugriff hatte. Wenn das Passwort einer Person kompromittiert wird, gibt es keinen zentralen Ort, um sie auszusperren.
Ein Benutzerverzeichnis löst das, indem es zur einzigen Quelle der Wahrheit für Identitäten wird. Alle Benutzer existieren an einem Ort. Dienste authentifizieren sich gegen dieses Verzeichnis, anstatt eigene Benutzerdatenbanken zu pflegen. Wenn jemand das Unternehmen verlässt, deaktivieren Sie einen Account, und die Person verliert überall den Zugriff.
Was ist ein Benutzerverzeichnis?
Ein Benutzerverzeichnis (auch Identitätsanbieter oder IdP genannt) ist eine zentrale Datenbank von Benutzerkonten. Es speichert:
- Wer Ihre Benutzer sind (Namen, E-Mail-Adressen)
- Authentifizierungsdaten (Passwörter, MFA-Einstellungen)
- Gruppenmitgliedschaften (Engineering, Marketing, Admins)
- Auf welche Anwendungen jeder Benutzer Zugriff hat
Wenn ein Benutzer versucht, sich bei einer verbundenen Anwendung anzumelden, fragt die Anwendung das Verzeichnis: „Ist diese Person berechtigt?" Das Verzeichnis übernimmt die Authentifizierung und gibt eine Ja/Nein-Antwort plus relevante Benutzerinformationen zurück.
Das ist die Grundlage von Single Sign-On (SSO). Benutzer authentifizieren sich einmal beim Verzeichnis und greifen dann auf mehrere Anwendungen zu, ohne erneut Zugangsdaten einzugeben.
Der eigentliche Vorteil: Kontrolle über Unternehmensdaten
Ein Benutzerverzeichnis ist nicht nur eine Frage der Bequemlichkeit. Es geht darum sicherzustellen, dass Ihr Unternehmen den Zugriff auf seine eigenen Daten tatsächlich besitzt und kontrolliert.
Arbeits-Accounts vs. private Accounts
Ohne Verzeichnis melden sich Mitarbeiter oft mit privaten E-Mail-Adressen für Arbeitstools an. Die Designerin nutzt ihre private Gmail-Adresse für einen Figma-Account. Ein Entwickler registriert sich bei GitHub mit seiner privaten E-Mail. Das Marketing erstellt Social-Media-Accounts, die an die private Telefonnummer von jemandem gebunden sind.
Das schafft ernsthafte Probleme:
Das Unternehmen besitzt die Accounts nicht. Dieser Figma-Account mit all Ihren Design-Assets? Er gehört zur privaten E-Mail des Mitarbeiters. Wenn er geht, müssen Sie höflich um Zugriff bitten. Wenn er nicht kooperiert, verlieren Sie möglicherweise alles.
Keine Übersicht darüber, was existiert. Sie können nicht abfragen: „Welche Accounts hat diese Person?" weil es keine zentrale Aufzeichnung gibt. Jeder Account existiert isoliert.
Passwort-Resets gehen an private E-Mails. Wenn jemand ein Passwort vergisst, geht der Reset-Link in seinen privaten Posteingang. Nachdem er gegangen ist, können Sie den Account nicht wiederherstellen.
Private Accounts werden kompromittiert. Menschen verwenden Passwörter mehrfach. Ihre private E-Mail wird gephisht. Jetzt haben Angreifer Zugriff auf Ihre Unternehmensdaten über einen privaten Account, den Sie nicht kontrollieren.
Was ein Verzeichnis Ihnen gibt
Wenn alle Mitarbeiter Arbeits-Accounts aus Ihrem Verzeichnis nutzen:
Sie besitzen jeden Account. [email protected] ist Ihre Domain. Sie kontrollieren DNS, E-Mail-Routing und Passwort-Resets. Der Mitarbeiter nutzt den Account; das Unternehmen besitzt ihn.
Vollständige Übersicht. Fragen Sie das Verzeichnis ab: „Zeige alle aktiven Benutzer." Prüfen Sie SSO-Logs: „Was hat diese Person aufgerufen?" Sie haben ein vollständiges Bild, wer existiert und worauf er zugreifen kann.
Sofortige Sperrungsmöglichkeit. Deaktivieren Sie den Verzeichnis-Account, und jeder verbundene Dienst wird unzugänglich. Kein mühsames Nachverfolgen einzelner Accounts.
Konsistente Sicherheitsrichtlinien. Passwortanforderungen, MFA-Durchsetzung, Session-Timeouts – einmal festlegen, überall anwenden. Keine Accounts mit schwachen Passwörtern, nur weil „dieser Dienst es nicht erzwingt".
Audit-Trail. Wer hat sich wann von wo eingeloggt. Für Compliance erforderlich. Ohne zentralisierte Identität unmöglich.
Was es kostet, das falsch zu machen
Reale Szenarien, die ohne ordentliche Verzeichniskontrolle passieren:
Szenario 1: Der ausgeschiedene Designer Der Designer verlässt das Unternehmen. Niemand bemerkt, dass der Figma-Account mit seiner privaten E-Mail erstellt wurde. Drei Monate später muss das Unternehmen das Design-System aktualisieren. Der Account steckt hinter der privaten E-Mail des ehemaligen Mitarbeiters, die er nicht mehr prüft. Alle Design-Assets sind unzugänglich.
Szenario 2: Die kompromittierte private Gmail Der Entwickler nutzt private Gmail für GitHub. Seine Gmail wird gephisht (unabhängig von der Arbeit). Der Angreifer findet GitHub-Zugangsdaten in gespeicherten Passwörtern. Jetzt hat er Zugriff auf Ihre privaten Repositories, einschließlich Secrets, die jemand versehentlich eingecheckt hat.
Szenario 3: Die Social-Media-Übernahme Die Handynummer der Marketing-Managerin ist für die 2FA des Unternehmens-Instagram-Accounts hinterlegt. Sie verlässt das Unternehmen im Streit. Sie kontrolliert weiterhin die 2FA. Die Wiederherstellung des Accounts erfordert Instagrams langsames Unternehmensverifizierungsverfahren.
Die Regel
Jedes Arbeitstool muss mit einem Arbeits-Account aus Ihrem Verzeichnis aufgerufen werden.
Keine Ausnahmen. Wenn jemand sagt: „Ich nutze einfach meine private E-Mail, das ist einfacher", lautet die Antwort: Nein. Erstellen Sie ihm einen Verzeichnis-Account. Wenn der Dienst kein SSO unterstützt, erstellen Sie den Account mit der Arbeits-E-Mail-Adresse und verwalten Sie die Zugangsdaten in Passwork.
Das gilt für:
- Alle SaaS-Anwendungen
- Social-Media-Accounts (erstellen Sie rollenbasierte E-Mails wie [email protected])
- Entwickler-Tools und Plattformen
- Anbieter-Portale und Partner-Accounts
- Domain-Registratoren und DNS-Provider
- Alles
Der kurzfristige Komfort, jemandem die Nutzung eines privaten Accounts zu erlauben, rechtfertigt nicht den Kontrollverlust über Unternehmensdaten, wenn er geht.
Typen von Benutzerverzeichnissen
Google Workspace
Wenn Sie Google Workspace bereits für E-Mail nutzen, haben Sie ein Benutzerverzeichnis. Jeder Google-Workspace-Benutzer ist im Verzeichnisdienst von Google.
Vorteile:
- Sie zahlen wahrscheinlich bereits dafür
- Integration mit den meisten SaaS-Anwendungen
- Unterstützt SAML und OIDC für SSO
- Gute Admin-Konsole zur Benutzerverwaltung
Nachteile:
- SSO (über Google-Apps hinaus) erfordert Business Starter oder höher
- SAML-Apps erfordern Business Plus oder Enterprise ($18+/Benutzer/Monat)
- Begrenzte erweiterte Identitätsfunktionen
Geeignet für: Unternehmen, die bereits Google Workspace nutzen und kein weiteres Tool hinzufügen möchten.
Microsoft 365 / Entra ID (Azure AD)
Der Verzeichnisdienst von Microsoft, im Lieferumfang von Microsoft-365-Business-Plänen enthalten.
Vorteile:
- Enthalten, wenn Sie Microsoft 365 nutzen
- Tiefe Integration mit Windows, Office und Azure
- Ausgereifte Enterprise-Funktionen
- Richtlinien für bedingten Zugriff
Nachteile:
- Komplexer zu administrieren als Google
- Erweiterte Funktionen erfordern Premium-Lizenzen
- Weniger intuitiv in Nicht-Microsoft-Umgebungen
Geeignet für: Unternehmen, die Microsoft 365 oder Azure Cloud nutzen.
Okta
Dedizierte Identitätsmanagement-Plattform – das ist alles, was sie tun.
Vorteile:
- Branchenführende SSO- und Identitätsfunktionen
- Umfangreicher App-Integrationskatalog
- Erweiterte Sicherheit (adaptives MFA, Gerätevertrauen)
- Universal Directory funktioniert anbieterübergreifend
Nachteile:
- Teuer ($2–15/Benutzer/Monat je nach Funktionen)
- Überdimensioniert für kleine Teams
- Ein weiterer Anbieter zu verwalten
Geeignet für: Unternehmen mit komplexen Identitätsanforderungen oder schnellen Wachstumsplänen.
JumpCloud
Cloud-Verzeichnis für kleinere Unternehmen und verteilte Teams.
Vorteile:
- Kostenlos für bis zu 10 Benutzer
- Verwaltet Geräte (Mac, Windows, Linux) und Cloud-Apps
- LDAP- und RADIUS-Unterstützung
- Angemessene Preise ($7–15/Benutzer/Monat)
Nachteile:
- Kleinerer App-Katalog als Okta
- Weniger ausgereift als Google/Microsoft
- Geräteverwaltung kann komplex sein
Geeignet für: Kleine Teams, die Geräteverwaltung mit Identitätsverwaltung kombinieren möchten.
Vollständige Liste der Verzeichnisdienste
Von einfach bis komplex – hier ist, was auf dem Markt verfügbar ist.
Stufe 1: Haben Sie wahrscheinlich bereits
Diese sind in Diensten enthalten, die Sie vermutlich schon nutzen. Keine Zusatzkosten, minimale Einrichtung.
| Dienst | Was Sie erhalten | SSO-Unterstützung | Preis | Geeignet für |
|---|---|---|---|---|
| Google Workspace | Verzeichnis + E-Mail + Docs | SAML (Business Plus+), OIDC | $6–18/Benutzer/Mo | Gmail-basierte Unternehmen |
| Microsoft 365 | Entra ID + Office | SAML, OIDC | $6–22/Benutzer/Mo | Outlook/Windows-Shops |
| Zoho One | Verzeichnis + 40+ Apps | SAML, OIDC | $37/Benutzer/Mo | Zoho-Ökosystem-Nutzer |
Stufe 2: Kostenlos oder sehr günstig
Gut für Startups und kleine Teams mit knappem Budget.
| Dienst | Was Sie erhalten | Kostenloser Tarif | Bezahlter Preis | Geeignet für |
|---|---|---|---|---|
| JumpCloud | Cloud-Verzeichnis + MDM | 10 Benutzer kostenlos | $7–15/Benutzer/Mo | Kleine Teams, Remote-first |
| Authentik | Open-Source-IdP | Self-hosted kostenlos | Enterprise-Support kostenpflichtig | Tech-affine Teams |
| Keycloak | Open-Source-IdP | Kostenlos (self-host) | — | Entwickler, On-Premise |
| Authelia | Open-Source-SSO | Kostenlos (self-host) | — | Heimlabor, kleine Infrastruktur |
| Kanidm | Moderner Open-Source-IdP | Kostenlos (self-host) | — | Sicherheitsorientierte Teams |
| FusionAuth | Entwickler-Identität | Kostenlose Community | $125+/Mo | Individuelle Apps |
| Zitadel | Cloud-natives IAM | Kostenloser Tarif | $100+/Mo | Cloud-native Startups |
Stufe 3: Mid-Market-Identitätsanbieter
Dedizierte Identitätsplattformen. Mehr Funktionen als gebündelte Optionen, weniger komplex als Enterprise.
| Dienst | Hauptfunktionen | Preis | Geeignet für |
|---|---|---|---|
| OneLogin | SSO, MFA, Verzeichnis | $4–8/Benutzer/Mo | Wachsende Unternehmen |
| Duo Security (Cisco) | MFA-first, SSO | $3–9/Benutzer/Mo | MFA-fokussierte Organisationen |
| Passwork | Passwort- & Secrets-Manager mit AD/LDAP, SAML-SSO, Passkey-Unterstützung | ab €3/Benutzer/Mo | Teams, die Passwork als Passwortmanager nutzen |
| Rippling | HR + IT + Identität | $8+/Benutzer/Mo | HR-gesteuerte Unternehmen |
| WorkOS | SSO für B2B-SaaS | Pro Verbindung | SaaS-Builder |
| Clerk | Entwickler-Auth | Kostenloser Tarif + $0.02/MAU | Entwicklerorientiert |
| Stytch | Passwortlose Auth | Kostenloser Tarif + kostenpflichtig | Moderne Apps |
| Descope | No-Code-Auth-Flows | Kostenloser Tarif | Schnelle Entwicklung |
Stufe 4: Enterprise-Identitätsplattformen
Vollwertige Plattformen für komplexe Anforderungen. Teuer, aber leistungsstark.
| Dienst | Hauptfunktionen | Preis | Geeignet für |
|---|---|---|---|
| Okta | Branchenführer, 7000+ Integrationen | $2–15/Benutzer/Mo | Enterprise-SSO |
| Okta Customer Identity | B2C-Identität | Nutzungsbasiert | Kundenorientierte Apps |
| Microsoft Entra ID P1/P2 | Bedingter Zugriff, PIM | $6–9/Benutzer/Mo | Azure-Enterprises |
| Ping Identity | Enterprise-SSO, Federation | Individuell | Große Unternehmen |
| ForgeRock | Identitätsplattform | Individuell | Banking, Gesundheitswesen |
| IBM Security Verify | Enterprise-IAM | Individuell | IBM-Umgebungen |
| CyberArk Identity | Privilegierte + Belegschaftsidentität | Individuell | Sicherheitsorientierte Organisationen |
| SailPoint | Identity Governance | Individuell | Compliance-intensive Unternehmen |
| Saviynt | Identity Cloud | Individuell | Enterprise-GRC |
Stufe 5: Spezialisierte und regionale Optionen
Nischenlösungen für spezifische Anwendungsfälle oder Regionen.
| Dienst | Schwerpunkt | Geeignet für |
|---|---|---|
| Frontegg | B2B-SaaS-Benutzerverwaltung | SaaS-Produkte |
| PropelAuth | B2B-Auth + Organisationen | Multi-Tenant-SaaS |
| Kinde | Moderne Auth | Startups, KMU |
| SuperTokens | Open-Source-Auth | Self-hosted-Präferenz |
| Hanko | Passkey-first | Passwortlose Einführung |
| Ory | Open-Source-Identität | Cloud-native Teams |
| Auth.js (NextAuth) | JavaScript-Auth | Next.js/Node-Apps |
| Logto | Open-Source-CIAM | Kundenidentität |
| BoxyHQ | Enterprise-SSO-SAML | B2B-SaaS |
Wie Sie wählen
Nutzen Sie bereits Google oder Microsoft für E-Mail? → Beginnen Sie mit dem integrierten Verzeichnis. Upgraden Sie den Plan, wenn Sie SAML-SSO benötigen.
Budget unter $5/Benutzer/Monat? → JumpCloud (10 Benutzer kostenlos) oder self-hosted Authentik/Keycloak, wenn Sie die nötigen Kenntnisse haben.
Benötigen Sie auch Geräteverwaltung? → JumpCloud, Rippling oder Microsoft Intune.
Bauen Sie ein SaaS-Produkt? → WorkOS, Clerk oder Auth0 für kundenorientierte Auth.
Enterprise mit komplexer Compliance? → Okta, Ping Identity oder Microsoft Entra ID P2.
Open Source gewünscht? → Keycloak (ausgereift), Authentik (moderne Oberfläche) oder Ory (cloud-nativ).
Was die meisten kleinen Unternehmen tun sollten
- Wenn Sie Google Workspace nutzen: Beginnen Sie dort. Upgraden Sie zu Business Plus, wenn Sie SAML für mehr Apps benötigen.
- Wenn Sie Microsoft 365 nutzen: Entra ID ist bereits enthalten. Nutzen Sie es.
- Wenn Sie beides nicht nutzen: JumpCloud bietet das beste Preis-Leistungs-Verhältnis für kleine Teams.
- Wenn das Budget null ist: Keycloak oder Authentik self-hosted, aber rechnen Sie mit Zeitaufwand für die Wartung.
Übertreiben Sie es nicht. Ein funktionierendes Verzeichnis mit 80 % Ihrer Apps verbunden ist besser als ein perfektes Verzeichnis, das nie in Betrieb geht.
Warum alle Benutzer im Verzeichnis zentralisieren
Die Versuchung besteht darin, Verzeichnis-SSO für manche Anwendungen zu nutzen und für andere lokale Accounts zu erstellen. Tun Sie das nicht.
Erstellen Sie jeden Benutzer im Verzeichnis, auch wenn:
- Er nur Zugriff auf eine einzige Anwendung benötigt
- Die Anwendung kein SSO unterstützt
- Es schneller erscheint, einfach einen lokalen Account zu erstellen
Der Grund:
Offboarding funktioniert: Wenn jemand geht, deaktivieren Sie seinen Verzeichnis-Account. Er verliert den Zugriff auf alles Verbundene. Keine vergessenen Accounts.
Onboarding ist konsistent: Neue Mitarbeiter? Einen Account erstellen, Gruppen zuweisen, Zugriff auf alles, was ihre Rolle erfordert.
Audit-Trail existiert: Wer hat Zugriff auf was? Prüfen Sie das Verzeichnis. Kein Auditing von 50 separaten Anwendungen nötig.
Passwortrichtlinien gelten: Passwortanforderungen, MFA-Durchsetzung – einmal im Verzeichnis festlegen, gilt überall.
Für Anwendungen ohne SSO-Unterstützung: Erstellen Sie den Benutzer trotzdem im Verzeichnis zur Nachverfolgung. Nutzen Sie den Passwortmanager (Passwork), um die lokalen Account-Zugangsdaten zu verwalten. Zumindest haben Sie eine zentrale Aufzeichnung.
Eine dedizierte Domain für Identitäten einrichten
Sie können Ihre Identität über Ihre Hauptdomain (company.com) verwalten, aber viele Organisationen nutzen eine dedizierte Subdomain oder separate Domain für Identitätszwecke.
Optionen:
| Ansatz | Beispiel | Vorteile | Nachteile |
|---|---|---|---|
| Hauptdomain | [email protected] | Einfach, eine Domain | Alles verknüpft |
| Subdomain | [email protected] | Trennung, trotzdem gebrandmarkt | Manche Apps handhaben das schlecht |
| Separate Domain | [email protected] | Vollständige Isolation | Verwirrend für Benutzer |
Wann eine separate Identitätsdomain sinnvoll ist:
- Sie möchten Mitarbeiteridentität von kundenorientierter E-Mail trennen
- Sie nutzen mehrere Identitätsanbieter
- Compliance erfordert Trennung der Identitätsinfrastruktur
- Sie planen, primäre Domains zu wechseln, aber die Identität stabil zu halten
Praktische Empfehlung: Für die meisten kleinen Unternehmen gilt: Nutzen Sie Ihre primäre Domain. Die Komplexität einer separaten Domain lohnt sich nicht, solange keine spezifischen Anforderungen vorliegen.
Wie SSO funktioniert (vereinfacht)
Wenn ein Benutzer versucht, auf eine SSO-verbundene Anwendung zuzugreifen:
1. Benutzer ruft app.example.com auf
↓
2. App leitet zum Identitätsanbieter um: „Wer ist das?"
↓
3. Benutzer authentifiziert sich beim IdP (Passwort + MFA)
↓
4. IdP sendet signierte Bestätigung zurück an App: „Das ist [email protected],
Mitglied der Engineering-Gruppe"
↓
5. App gewährt Zugriff basierend auf der Bestätigung
Zwei Hauptprotokolle übernehmen das:
SAML 2.0 – Älter, XML-basiert, von Enterprise-Apps weit unterstützt. Die Konfiguration erfordert den Austausch von Zertifikaten und Metadaten-XML-Dateien.
OIDC (OpenID Connect) – Neuer, JSON-basiert, einfacher zu implementieren. Aufgebaut auf OAuth 2.0. Bevorzugt für moderne Anwendungen.
Die meisten Anwendungen unterstützen beides. Wenn Sie die Wahl haben, ist OIDC in der Regel einfacher zu konfigurieren.
Anwendungen mit Ihrem Verzeichnis verbinden
Schritt 1: Prüfen Sie, was Ihr Verzeichnis unterstützt
Google Workspace:
- Einstellungen → Apps → Web- und mobile Apps → App hinzufügen → Nach SAML-Apps suchen
Microsoft Entra ID:
- Azure Portal → Entra ID → Enterprise-Anwendungen → Neue Anwendung
Schritt 2: SSO-Unterstützung der Anwendung prüfen
Bevor Sie eine Anwendung verbinden können, überprüfen Sie:
- Unterstützt sie SAML oder OIDC?
- Welcher Plan ist erforderlich? (Viele Apps erfordern kostenpflichtige Tarife für SSO)
- Welche Informationen müssen ausgetauscht werden?
Häufige Muster:
| Anwendung | SSO-Protokoll | Erforderlicher Plan |
|---|---|---|
| Slack | SAML | Business+ |
| GitHub | SAML | Enterprise |
| AWS | SAML | Kostenlos (IAM Identity Center) |
| Notion | SAML | Business |
| Figma | SAML | Organization |
| Atlassian (Jira/Confluence) | SAML | Premium |
| Salesforce | SAML | Enthalten |
| Zoom | SAML | Business+ |
| Passwork | SAML | Advanced |
Wenn Sie Passwork als Passwortmanager nutzen, können Sie es über SAML-SSO mit Ihrem Identitätsanbieter verbinden – Mitarbeiter melden sich bei Passwork über dieselbe zentralisierte Anmeldung wie alles andere an. Das ist im Advanced-Plan verfügbar.
Die SSO-Steuer: Viele SaaS-Anbieter verlangen für SSO-Unterstützung mehr. Das ist frustrierend, aber Realität. Kalkulieren Sie das ein, wenn SSO für Sie wichtig ist.
Schritt 3: Die Verbindung konfigurieren
Allgemeiner Prozess (variiert je nach App):
Auf der Anwendungsseite:
- SSO-Einstellungen finden (normalerweise Einstellungen → Sicherheit oder Admin → Authentifizierung)
- SAML oder OIDC wählen
- Die Callback-/ACS-URL und Entity-ID abrufen
Auf der Verzeichnisseite:
- Neue Anwendung hinzufügen (SAML oder OIDC)
- Callback-URL und Entity-ID aus der App eingeben
- Metadaten herunterladen oder IdP-Werte abrufen (Entity-ID, SSO-URL, Zertifikat)
Zurück auf der Anwendungsseite:
- IdP-Metadaten oder Werte eingeben
- Attributzuordnung konfigurieren (E-Mail, Name, Gruppen)
- Mit einem einzelnen Benutzer testen, bevor die Durchsetzung aktiviert wird
Schritt 4: Testen und durchsetzen
- SSO-Login mit einem Account testen
- Überprüfen, dass Benutzerattribute korrekt übergeben werden
- Prüfen, dass Gruppenmitgliedschaften funktionieren (wenn gruppenbasierter Zugriff genutzt wird)
- SSO für alle Benutzer aktivieren
- Lokale Authentifizierung deaktivieren (optional, aber aus Sicherheitsgründen empfohlen)
Automatische Benutzerbereitstellung einrichten (SCIM)
SSO übernimmt die Authentifizierung – aber was ist mit der automatischen Erstellung und Entfernung von Benutzern?
SCIM (System for Cross-domain Identity Management) übernimmt die Bereitstellung:
- Neuer Benutzer im Verzeichnis hinzugefügt → automatisch in verbundenen Apps erstellt
- Benutzer aus Verzeichnis entfernt → automatisch in Apps deaktiviert
- Benutzer wechselt Gruppen → App-Berechtigungen werden automatisch aktualisiert
Welche Apps SCIM unterstützen:
| Anwendung | SCIM-Unterstützung |
|---|---|
| Slack | Nur Enterprise Grid |
| GitHub | Enterprise Cloud |
| Salesforce | Ja |
| Okta-verbundene Apps | Die meisten |
| Google-Workspace-Apps | Nativ |
SCIM erfordert mehr Einrichtungsaufwand als SSO, verbessert aber die Automatisierung von Onboarding und Offboarding erheblich.
Verzeichnisstruktur: Gruppen und Rollen
Organisieren Sie Benutzer in Gruppen, die Zugriffsebenen entsprechen:
company.com
├── all-employees
├── engineering
│ ├── eng-backend
│ ├── eng-frontend
│ └── eng-devops
├── product
├── marketing
├── finance
└── admins
├── it-admins
└── security-admins
Gruppen auf Anwendungszugriff abbilden:
| Gruppe | Slack | GitHub | AWS | Jira |
|---|---|---|---|---|
| engineering | ✓ | ✓ (write) | ✓ (dev) | ✓ |
| marketing | ✓ | ✓ (read) | — | ✓ (view) |
| finance | ✓ | — | ✓ (billing) | — |
| admins | ✓ | ✓ (admin) | ✓ (admin) | ✓ (admin) |
Wenn ein neuer Ingenieur anfängt:
- Benutzer im Verzeichnis erstellen
- Zu
all-employees- undengineering-Gruppen hinzufügen - SSO gewährt automatisch Zugriff auf Slack, GitHub, AWS, Jira
Wenn er geht:
- Verzeichnis-Account deaktivieren
- Aller Zugriff sofort widerrufen
MFA-Durchsetzung über das Verzeichnis
Konfigurieren Sie MFA-Anforderungen im Verzeichnis, nicht in jeder einzelnen Anwendung.
Google Workspace: Admin-Konsole → Sicherheit → 2-Schritt-Verifizierung → Durchsetzung
Microsoft Entra ID: Sicherheit → MFA → Zusätzliche Cloud-basierte MFA-Einstellungen
Best Practice:
- MFA für alle Benutzer vorschreiben
- Mehrere Methoden zulassen (Authenticator-App, Hardware-Schlüssel)
- Wiederherstellungsoptionen bereitstellen (Backup-Codes, Admin-Reset)
Wenn MFA auf Verzeichnisebene erzwungen wird, führen Benutzer die MFA einmal während der SSO-Authentifizierung durch und greifen dann auf alle verbundenen Anwendungen zu, ohne sich für jede einzelne erneut zu authentifizieren.
Anwendungen ohne SSO-Unterstützung handhaben
Nicht jede Anwendung unterstützt SSO. Für diese gilt:
- Benutzer trotzdem im Verzeichnis erstellen zur Nachverfolgung
- Passwortmanager (Passwork) zur Verwaltung der Zugangsdaten verwenden
- Anwendung in der SaaS-Inventarliste dokumentieren
- In der Offboarding-Checkliste erfassen für manuelle Deaktivierung
Speichern Sie die Zugangsdaten in Passwork mit klarer Benennung:
[AppName] - Admin account[AppName] - [email protected]
Wenn jemand geht, umfasst der Offboarding-Prozess:
- Verzeichnis-Account deaktivieren (übernimmt SSO-Apps)
- Passwork auf lokale Accounts prüfen (übernimmt Nicht-SSO-Apps)
- Diese manuell deaktivieren
Praktische Einrichtung: Google Workspace als Ihr Verzeichnis
Hier ist eine Schritt-für-Schritt-Anleitung für kleine Unternehmen, die mit Google Workspace beginnen:
Voraussetzungen:
- Google Workspace Business Starter oder höher
- Admin-Zugriff auf die Google Admin-Konsole
- Liste der zu verbindenden Anwendungen
Schritt 1: Domain und Benutzer verifizieren
Admin-Konsole → Benutzer
- Alle Mitarbeiter sollten Google-Workspace-Accounts haben
- E-Mail-Adressen auf erwartetes Format überprüfen
Schritt 2: Organisationseinheiten und Gruppen erstellen
Admin-Konsole → Verzeichnis → Organisationseinheiten
- Struktur erstellen: Engineering, Marketing, usw.
Admin-Konsole → Verzeichnis → Gruppen
- Gruppen gemäß Ihren Zugriffsanforderungen erstellen
- Benutzer den entsprechenden Gruppen hinzufügen
Schritt 3: SSO für erste Anwendung aktivieren (Beispiel: Slack)
Auf Slack-Seite:
- Workspace-Einstellungen → Authentifizierung → SSO konfigurieren
- Slack-ACS-URL kopieren und Workspace-URL notieren
Auf Google-Seite:
- Admin-Konsole → Apps → Web- und mobile Apps → App hinzufügen
- Nach Slack suchen oder benutzerdefinierte SAML-App hinzufügen
- Slacks ACS-URL eingeben
- Google-IdP-Metadaten herunterladen
Zurück in Slack:
- Google-Metadaten hochladen oder Werte manuell eingeben
- Attributzuordnung konfigurieren (E-Mail)
- Mit einem Benutzer testen
- Für gesamten Workspace aktivieren
Schritt 4: Für weitere Anwendungen wiederholen
Arbeiten Sie Ihre Prioritätenliste durch:
- AWS (IAM Identity Center)
- GitHub (wenn Enterprise)
- Andere kritische Anwendungen
Schritt 5: Dokumentieren und kommunizieren
- SaaS-Inventar mit SSO-Status aktualisieren
- Benutzer über SSO-Login-Änderungen informieren
- Onboarding-/Offboarding-Verfahren aktualisieren
Häufige Fehler
Fehler 1: Schatten-Accounts
Benutzer erstellen lokale Accounts in Anwendungen, anstatt SSO zu nutzen. Sie umgehen das Verzeichnis, und Sie verlieren die Kontrolle.
Lösung: Nach der Aktivierung von SSO die lokale Authentifizierung deaktivieren, wo möglich. SSO als einzigen Weg hinein machen.
Fehler 2: Unvollständige Gruppenzuordnung
Gruppen existieren im Verzeichnis, sind aber nicht auf Anwendungsberechtigungen gemappt. Benutzer erhalten SSO-Zugriff, aber mit falschen Berechtigungsstufen.
Lösung: Gruppen-Berechtigungs-Zuordnung für jede Anwendung dokumentieren. Mit Benutzern aus jeder Gruppe testen.
Fehler 3: Keine Notfall-Accounts
Alle nutzen SSO. Das Verzeichnis hat einen Ausfall. Niemand kann auf irgendetwas zugreifen, einschließlich der Verzeichnis-Admin-Konsole.
Lösung: Ein oder zwei lokale Admin-Accounts für den Notfallzugriff aufbewahren. Zugangsdaten in Passwork speichern und vierteljährlich testen.
Fehler 4: Nicht-SSO-Apps ignorieren
Der Fokus liegt auf SSO-Apps. Nicht-SSO-Anwendungen werden vergessen, mit veralteten Accounts, die nach dem Offboarding verbleiben.
Lösung: Nicht-SSO-Apps in Ihre SaaS-Inventarliste und Offboarding-Checkliste aufnehmen.
Workshop: Ihr Benutzerverzeichnis einrichten
Planen Sie 3–4 Stunden für die anfängliche Einrichtung. Das ist grundlegende Arbeit, die Ihnen unzählige Stunden bei Onboarding und Offboarding einspart.
Teil 1: Verzeichnis auswählen und konfigurieren (45 Minuten)
Wenn Sie bereits Google Workspace oder Microsoft 365 haben:
- Admin-Konsole einloggen
- Überprüfen, dass alle aktuellen Mitarbeiter Accounts haben
- Prüfen, dass keine ehemaligen Mitarbeiter noch aktive Accounts haben
- Aktuelle Passwort- und MFA-Richtlinien überprüfen
Wenn Sie neu anfangen:
- Optionen aus der obigen Verzeichnisliste vergleichen
- Für gewählten Dienst anmelden (JumpCloud-Kostenlostarif eignet sich gut zum Testen)
- Grundeinstellungen konfigurieren (Domain, Passwortrichtlinie)
- Admin-Account mit aktivierter MFA erstellen
Ergebnis: Verzeichnisdienst gewählt und Admin-Zugriff bestätigt
Teil 2: Organisationsstruktur erstellen (30 Minuten)
-
Organisationseinheiten oder Gruppen erstellen:
├── all-employees
├── engineering
├── product
├── marketing
├── finance
└── admins -
Dokumentieren, worauf jede Gruppe Zugriff haben sollte:
Gruppe Slack GitHub AWS Jira CRM engineering ✓ ✓ (write) ✓ (dev) ✓ — product ✓ ✓ (read) — ✓ ✓ marketing ✓ — — ✓ (view) ✓ -
Sich selbst für Testzwecke den entsprechenden Gruppen hinzufügen
Ergebnis: Gruppenstruktur erstellt und dokumentiert
Teil 3: Erste SSO-Anwendung verbinden (45 Minuten)
Wählen Sie eine Anwendung, die SSO unterstützt und geschäftskritisch ist. Gute erste Wahl:
- Passwork (Advanced-Plan) – Ihr Passwortmanager ist der zentrale Zugriffspunkt für alle Zugangsdaten; ihn mit SSO zu verbinden bedeutet, dass Mitarbeiter für alles eine zentralisierte Anmeldung nutzen, und das Offboarding widerruft den Passwork-Zugriff zusammen mit allem anderen
- AWS (IAM Identity Center) – kritische Infrastruktur
- Slack (Business+ erforderlich) – alle nutzen es
- GitHub (Enterprise erforderlich) – wichtig für Entwickler
Schritte:
- SSO-Dokumentation der Anwendung prüfen
- Im Verzeichnis eine neue SAML- oder OIDC-Anwendung hinzufügen
- Metadaten/Konfiguration zwischen Verzeichnis und App austauschen
- SSO-Login mit Ihrem Account testen
- Konfiguration dokumentieren
Ergebnis: Eine Anwendung über SSO verbunden, getestet und funktionsfähig
Teil 4: Bestehende Benutzer migrieren (30 Minuten)
- Benutzerliste aus der verbundenen Anwendung exportieren
- Überprüfen, dass jeder Benutzer im Verzeichnis existiert
- Fehlende Verzeichnis-Accounts erstellen
- SSO-Zugriff für einen oder zwei Benutzer testen
- Kommunikationsplan für die Team-Einführung erstellen
Ergebnis: Benutzerzuordnung dokumentiert, Migrationsplan erstellt
Teil 5: Notfallzugriff einrichten (15 Minuten)
- Einen lokalen Admin-Notfall-Account in kritischen Anwendungen erstellen
- Starkes Passwort generieren, in Passwork speichern
- Dokumentieren, welche Anwendungen Notfall-Accounts haben
- Testen, dass der Notfallzugriff funktioniert
Ergebnis: Notfallzugriff konfiguriert und getestet
Teil 6: Onboarding/Offboarding dokumentieren (30 Minuten)
Verfahren erstellen oder aktualisieren:
Onboarding-Checkliste:
☐ Account in [Verzeichnisname] erstellen
☐ Den entsprechenden Gruppen hinzufügen: ___________
☐ SSO-Zugriff auf kritische Apps überprüfen
☐ Lokale Accounts für Nicht-SSO-Apps erstellen (in Passwork speichern)
☐ Willkommens-E-Mail mit Login-Anweisungen senden
Offboarding-Checkliste:
☐ Account in [Verzeichnisname] deaktivieren (übernimmt alle SSO-Apps)
☐ Passwork auf Nicht-SSO-App-Zugangsdaten prüfen
☐ Nicht-SSO-Accounts manuell deaktivieren:
☐ [App 1]
☐ [App 2]
☐ Eigentümerschaft geteilter Ressourcen übertragen
☐ Bestätigen, dass kein Zugriff mehr besteht
Ergebnis: Onboarding- und Offboarding-Checklisten einsatzbereit
Teil 7: Zwei weitere Anwendungen verbinden (60 Minuten)
Teil 3 für zwei weitere kritische Anwendungen wiederholen. Am Ende sollten mindestens drei Apps SSO nutzen.
Prioritätsreihenfolge:
- E-Mail/Produktivität (bereits abgedeckt, wenn Google/Microsoft als Verzeichnis genutzt wird)
- Cloud-Infrastruktur (AWS, GCP, Azure)
- Code-Repository (GitHub, GitLab)
- Kommunikation (Slack, Teams)
- Projektmanagement (Jira, Asana, Linear)
Ergebnis: Drei Anwendungen über SSO verbunden
Workshop-Zusammenfassung
Nach diesem Workshop sollten Sie haben:
- Verzeichnisdienst mit Ihrer Domain konfiguriert
- Gruppenstruktur passend zu Ihrer Organisation
- Mindestens 3 Anwendungen über SSO verbunden
- Notfall-Access-Accounts dokumentiert
- Onboarding-/Offboarding-Checklisten erstellt
- Migrationsplan für verbleibende Benutzer
Zeitinvestition: ~4 Stunden jetzt, spart 30+ Minuten pro Einstellung/Ausscheiden für immer.
Selbstkontrolle: Ist Ihr Verzeichnis bereit?
Grundlagen
- Primäres Verzeichnis gewählt (Google Workspace, Microsoft 365 usw.)
- Alle Mitarbeiter haben Accounts im Verzeichnis
- Gruppenstruktur erstellt (Abteilungen, Rollen)
- MFA für alle Benutzer erzwungen
SSO-Verbindungen
- Identifiziert, welche Anwendungen SSO unterstützen
- Mindestens 3 kritische Anwendungen über SSO verbunden
- SSO-Login korrekt getestet
- Lokale Authentifizierung wo möglich deaktiviert
Bereitstellung und Zugriff
- Onboarding erstellt zuerst einen Verzeichnis-Account
- Gruppenmitgliedschaft bestimmt den Anwendungszugriff
- Offboarding deaktiviert den Verzeichnis-Account sofort
- Nicht-SSO-Anwendungen separat verfolgt
Notfallzugriff
- Lokale Admin-Notfall-Accounts existieren
- Notfall-Zugangsdaten in Passwork gespeichert
- Notfallzugriff im letzten Quartal getestet
Wenn Sie mindestens 10 dieser 14 Punkte abhaken können, ist Ihr Verzeichnis-Fundament solide.
So erklären Sie es der Führungsebene
Wenn jemand fragt, warum Sie Zeit dafür aufgewendet haben:
„Wir haben die Benutzerverwaltung in einem zentralen Verzeichnis mit SSO konsolidiert. Wenn jetzt jemand neu anfängt, erhält er über einen einzigen Account Zugriff auf alles, was er braucht. Wenn jemand geht, deaktivieren wir diesen Account, und er verliert sofort überall den Zugriff. Keine vergessenen Accounts mehr in irgendwelchen Anwendungen, kein verwaister Zugriff mehr. Das bedeutet auch stärkere Sicherheit – wir können MFA und Passwortrichtlinien an einem einzigen Ort durchsetzen."
Kurze Version: „Ein Account pro Person, ein Ort zur Zugangsverwaltung. Wenn jemand geht, betätigen wir einen Schalter, und er ist überall ausgesperrt."
Wie es weitergeht
Sie haben jetzt:
- Passwortmanager und MFA (vorheriges Kapitel)
- Zentralisiertes Benutzerverzeichnis mit SSO
Nächstes Kapitel: SaaS-Inventar und Zugangsverwaltung – alle Anwendungen, die Ihr Unternehmen nutzt, entdecken und abbilden, wer worauf Zugriff hat.