Zum Hauptinhalt springen

Single Sign-On (SSO) einrichten

Um das Einloggen in awork noch einfacher und sicherer zu gestalten, unterstützt awork den OpenID-Connect Standard vieler Anbieter.

Verfasst von Tobias Hagenau
Vor über 3 Wochen aktualisiert

Single Sign-On (SSO) ermöglicht es deinem Team, sich mit einem bestehenden Account bei einem Identity Provider anzumelden – ohne ein Passwort in awork zu setzen.

SSO ist nur im awork Enterprise-Plan verfügbar.

Wichtig: awork unterstützt kein SAML 2.0. Stattdessen nutzt awork den OpenID-Connect Standard auf Basis von OAuth 2.0.

Hauptvorteile und Anwendungsfälle

SSO macht Anmeldungen einfach und konsistent:

  • Ermögliche Teammitgliedern, ihre bestehenden Identity-Provider-Konten zu verwenden, anstatt ein neues awork-Passwort zu erstellen

  • Nutze einen modernen OpenID-Connect-Login basierend auf OAuth 2.0

  • Deaktiviere optional andere Anmeldemethoden, sobald SSO eingerichtet ist

So richtest du Single Sign-On (SSO) ein

Wähle einen unterstützten Identity Provider

Unterstützte Identity Provider sind:

Falls dein Identity Provider nicht dabei ist, kontaktiere uns über den Support und wir prüfen eine mögliche Anbindung.

SSO in awork einrichten

  1. Navigiere zu Einstellungen > Integrationen

  2. Öffne die Integrations-Bibliothek und wähle den gewünschten Provider aus

  3. Fülle die angezeigten Felder aus und schließe die Einrichtung ab

Hinweis: Mit Subdomain ist nicht deine awork-Workspace-URL gemeint, sondern die Subdomain des Providers.

Benötigte Redirect-URLs freischalten

Folgende Redirect-URLs müssen freigeschaltet werden:

https://app.awork.com/enterprise-login
https://app.awork.com/api/v1/accounts/authorize-slack
https://app.awork.com/api/v1/accounts/external/{Name des Login Providers}
https://app.awork.com/api/v1/accounts/msteams/authorize
https://app.awork.com/api/v1/accounts/authorize

Dienstspezifische Redirect-URLs:

SSO via Okta konfigurieren

  1. Öffne die Okta-Konfiguration unter YOUR-SUBDOMAIN.okta.com/admin

  2. Gehe im Menü in den Bereich Applications

  3. Füge eine neue Application hinzu und nenne sie z.B. awork

  4. Übernimm Client-ID, Client-Secret und Subdomain in die awork-Konfiguration und speichere über Speichern

Wichtig: Die Login Redirect-URLs müssen korrekt eingerichtet sein, da Okta Nutzer sonst nicht richtig weiterleiten kann. Der Implicit (Hybrid) Flow (einschließlich des ID Token grant type) muss aktiviert sein. User consent ist nicht erforderlich, da awork beim Login nur auf den Namen und die E-Mail-Adresse des Nutzers zugreift.

Setze in Okta im Bereich Login noch zusätzlich:

  1. Initiate login URI:

    AWORK_SUBDOMAIN.awork.com/login

  2. Login redirect URIs:

    https://app.awork.com/enterprise-login
https://app.awork.com/api/v1/accounts/authorize-slack
https://app.awork.com/api/v1/accounts/external/okta
https://app.awork.com/api/v1/accounts/msteams/authorize
https://app.awork.com/api/v1/accounts/authorize

SSO mit Auth0 konfigurieren

  1. Öffne die Auth0-Konfiguration

  2. Gehe im Menü in den Bereich Applications

  3. Füge eine neue Application vom Typ Regular Web Applications hinzu und nenne sie z.B. awork

  4. Übernimm Client-ID, Client-Secret und Subdomain in die awork-Konfiguration und speichere

  5. Setze folgende URLs im Abschnitt Application URls:

    1. Application login URl:

      AWORK_SUBDOMAIN.awork.com/login

    2. Allowed callback URLs:

      https://app.awork.com/enterprise-login,
https://app.awork.com/api/v1/accounts/authorize-slack,
https://app.awork.com/api/v1/accounts/external/auth0,
https://app.awork.com/api/v1/accounts/msteams/authorize,
https://app.awork.com/api/v1/accounts/authorize

    3. Allowed web origins:

      AWORK_SUBDOMAIN.awork.com
app.awork.com

Hinweis: Alle anderen Einstellungen sind standardmäßig schon richtig eingestellt.

SSO mit OneLogin konfigurieren

  1. Öffne die OneLogin-Konfiguration unter SUBDOMAIN.onelogin.com

  2. Gehe im Menü in den Bereich Applications

  3. Füge eine neue Anwendung hinzu, indem du oben rechts auf Add App klickst, und nenne sie z.B. awork

  4. Wähle OpenID Connect (OIDC) als Typ, setze den Namen z.B. auf awork und speichere

  5. Im Bereich SSO erhältst du Client-ID und Client-Secret. Die Subdomain findest du in der URL deines OneLogin Accounts ({Subdomain}.onelogin.com). Trage die Werte in awork ein und speichere

  6. Setze im Bereich Configuration diese URLs:

    1. Login url:

      AWORK_SUBDOMAIN.awork.com/login

    2. Redirect URIs:

      https://app.awork.com/enterprise-login
https://app.awork.com/api/v1/accounts/authorize-slack
https://app.awork.com/api/v1/accounts/external/onelogin
https://app.awork.com/api/v1/accounts/msteams/authorize
https://app.awork.com/api/v1/accounts/authorize

SSO mit Microsoft Entra ID (ehemals Azure AD) konfigurieren

  1. Öffne die Entra ID-Konfiguration im Azure Portal

  2. Klicke im Menü im Bereich Verwalten auf App-Registrierungen

  3. Füge eine neue Registrierung hinzu und nenne sie z.B. awork SSO

  4. Stelle Unterstützte Kontotypen auf Nur Konten in diesem Organisationsverzeichnis (nur "deine Domain" – einzelner Mandant) ein und trage bei Umleitungs-URI für die Web-Platform https://app.awork.com/enterprise-login ein. Danach auf Registrieren klicken

  5. In der Übersicht findest du die Anwendungs-ID (Client) (= Client Id in awork) und die Verzeichnis-ID (Mandant) (= Subdomain in awork)

  6. Unter Zertifikate und Geheimnisse kannst du einen neuen Geheimen Clientschlüssel erstellen und den Wert in awork als Client Secret eintragen.

Wichtig: Kopiere den Wert, nicht die Secret ID

Um Geheime Clientschlüssel zu rotieren musst du die SSO Integration in awork löschen und mit dem neuen Geheimnis neu hinzufügen.

7. Trage unter Authentifizierung folgende Umleitungs-URLs für eine Web-Platform ein: 

https://app.awork.com/enterprise-login
https://app.awork.com/api/v1/accounts/authorize-slack
https://app.awork.com/api/v1/accounts/external/azure
https://app.awork.com/api/v1/accounts/msteams/authorize
https://app.awork.com/api/v1/accounts/authorize

Unter Implizite Genehmigung und Hybridflows muss ein Haken bei ID-Token gesetzt werden. Bei Unterstützte Kontotypen muss Nur Konten in diesem Organisationsverzeichnis (nur "deine Domain" – einzelner Mandant) ausgewählt sein

Der Login Flow nutzt standardmäßig den preferred_username Claim des Entra Users. Wenn du stattdessen den UPN nutzen möchtest, kannst du den UPN als optionalen Anspruch konfigurieren in der Tokenkonfiguration:

  • Token type: ID

  • Claim: upn

Dann klicke Hinzufügen.

Wichtig: UPN als optionaler Anspruch wird nur für App-Registrierungen für Mandanten unterstützt und nicht für persönliche Microsoft Accounts. Stelle sicher, dass dies im Bereich Authentifizierung korrekt hinterlegt ist.

SSO mit GSuite (Google IAM) konfigurieren

  1. Gehe zu https://console.cloud.google.com/apis/credentials und wähle dein Projekt aus

  2. Klicke auf Anmeldedaten erstellen und wähle OAuth-Client-ID

  3. Wähle als Typ Webanwendung

  4. Vergib einen Namen, z.B. awork

  5. Füge bei den URIs folgende Umleitungs-URLs hinzu: 

    https://app.awork.com/enterprise-login
https://app.awork.com/api/v1/accounts/authorize-slack
https://app.awork.com/api/v1/accounts/external/gsuite
https://app.awork.com/api/v1/accounts/msteams/authorize
https://app.awork.com/api/v1/accounts/authorize

  6. Speichere über Erstellen

  7. Rechts findest du die Client-ID und den Clients Schlüssel (Client-Secret), die du in awork eintragen musst

Mehr Infos zu SSO mit GSuite findest du hier.

SSO mit Keycloak konfigurieren

Wichtig: Bitte kontaktiere unseren Support, wenn du SSO via Keycloak einrichten möchtest, da diese Option aktuell noch nicht in der Web-Anwendung verfügbar ist.

Um Keycloak SSO via OpenID Connect einzurichten:

  1. Logge dich in deiner Keycloak Admin Konsole ein

  2. Navigiere zu den Clients

    1. Lade die Client-Konfigurations-Datei herunter: Keycloak awork Client Konfiguration

    2. Ziehe die Datei in das Ressourcen Feld, um die benötigten Einstellungen zu importieren

    3. Speichere den neuen Client

  3. In den Client Details, gehe zum Register Passwörter und kopiere das Client secret

  4. In den Realm-Einstellungen befindet sich der .well-known/openid-configuration Link am Ende der General Einstellungen (OpenID Endpoint Configuration)

    Die URL sieht normalerweise so aus: https://{deine-keycloak-url}/realms/master/.well-known/openid-configuration

  5. Kontaktiere den Support mit Client ID, Client Secret und der .well-known/openid-configuration-URL, damit wir die Integration für dich einrichten können

Wichtig: Die .well-known/openid-configuration-URL muss dauerhaft verfügbar sein, um Fehler beim Einloggen mit SSO zu verhindern.

Eigene SSO Provider konfigurieren (OpenID Connect)

awork unterstützt auch weitere beliebige SSO Provider, die OpenID Connect unterstützen.

Dazu wird die vollständige OpenID-Configuration-URL (z. B. https://custom-domain.com/.well-known/openid-configuration), Client-ID und Client-Secret benötigt.

Anmelden via SSO über app.awork.com

  1. Gehe zu app.awork.com

  2. Wähle Einloggen mit SSO

  3. Gib deine Workspace-Subdomain ein

Du wirst zur SSO Login-Maske weitergeleitet oder – wenn du bereits eingeloggt bist – direkt zu deinem awork Dashboard.

Tipps und Hinweise

Nach der Einrichtung

War die Konfiguration erfolgreich, ist SSO-Sign-in im Login-Bereich verfügbar.

Hinweis: Rechte, Nutzer oder Gruppen werden aktuell nicht über den Identity Provider gesteuert. SSO ermöglicht nur den Login für bestehende awork-Accounts. Ein User muss daher bereits in awork vorhanden sein. Das User-Matching erfolgt über die E-Mail-Adresse.

Andere Login-Möglichkeiten deaktivieren

Wenn SSO konfiguriert ist, kannst du andere Login-Methoden deaktivieren und ausblenden (E-Mail & Passwort sowie Social-Login via Google & Apple).

  1. Navigiere zu den Einstellungen > Allgemein.

  2. Deaktiviere andere Login Optionen

Das ist nur dann ratsam, wenn keine externen User im Workspace arbeiten, die nicht über das Identity-Management verwaltet werden.

Hinweis: Wenn du die SSO-Einstellungen in awork entfernst, wird Login mit E-Mail und Passwort automatisch wieder aktiviert, damit du dich immer mit deinem Admin-Konto einloggen kannst.

Globaler vs. Workspace-Login

Wenn du E-Mail/Passwort und/oder Social Login deaktiviert hast, werden diese Optionen auf der globalen Seite app.awork.com weiterhin angezeigt. Sie werden nur auf der Workspace-Seite DEINE-WORKSPACE-SUBDOMAIN.awork.com ausgeblendet.

Ein Login ist über die globale Seite dann trotzdem nicht möglich. Nutze DEINE-WORKSPACE-SUBDOMAIN.awork.com, um dich über SSO einzuloggen.

Ist SSO konfiguriert, erscheint auf DEINE-WORKSPACE-SUBDOMAIN.awork.com zusätzlich Einloggen mit SSO. Du wirst zur SSO Login-Maske oder direkt ins Dashboard weitergeleitet.

Häufige Fragen (FAQs)

Ist SSO in jedem Plan verfügbar?

Nein, SSO ist nur im awork Enterprise-Plan verfügbar.

Unterstützt awork SAML 2.0?

Nein. awork unterstützt kein SAML 2.0 und nutzt stattdessen OpenID Connect auf Basis von OAuth 2.0.

Kann mein Identity Provider Rechte, Nutzer oder Gruppen in awork verwalten?

Nein. Rechte, Nutzer und Gruppen werden derzeit nicht über den Identity Provider gesteuert. SSO ermöglicht lediglich die Anmeldung für bestehende awork User Account, die über die E-Mail-Adresse zugeordnet werden.

Was passiert, wenn ich die SSO-Einstellungen entferne, nachdem ich andere Login-Optionen deaktiviert habe?

Die Anmeldung per E-Mail und Passwort wird automatisch wieder aktiviert, sodass du dich jederzeit mit deinem Admin-Konto anmelden kannst.

Kann ich SSO mit Keycloak in der awork Weboberfläche einrichten?

Noch nicht. Bitte kontaktiere den Support, um Keycloak-SSO einzurichten, da dies derzeit noch nicht über die Weboberfläche möglich ist (kommt bald).

Verwandte Artikel
SCIM einrichten
Make Integration
awork wechselt zu .com
Hat dies deine Frage beantwortet?