Single Sign-On (SSO) einrichten

Um das Einloggen in awork noch einfacher und sicherer zu gestalten, unterstützt awork nun den OpenID-Connect Standard vieler Anbieter.

Jonas Stock avatar
Verfasst von Jonas Stock
Vor über einer Woche aktualisiert

SSO erlaubt es deinem Team sich mit einem bestehenden Account von einem Identity Provider einzuloggen, ohne ein neues Passwort in awork festlegen zu müssen. Klicke einfach auf deinen Identity Provider in der folgenden Liste um zum Setup Guide zu gelangen.

Die Liste der unterstützten Identity Provider umfasst:

Falls du deinen Identity Provider in dieser Liste nicht gefunden hast, kontaktiere uns gerne direkt über unseren Support und wir prüfen, ob wir eine Anbindung bereitstellen können.

☝️Hinweis: SSO ist nur im awork Enterprise-Plan verfügbar

SAML 2.0 wird von awork nicht unterstützt, da wir uns für den moderneren OpenID-Connect Standard auf Basis von OAuth 2.0 entschieden haben.

Unterstützte Identity-Provider

Einrichtung

  1. Navigiere zu Einstellung > Integrationen

  2. Öffne die Integrations-Bibliothek und wähle den gewünschten Provider aus

  3. Es müssen nun Subdomain, Client-ID und Client-Secret des Providers in dem Fenster eingetragen werden. Eine Anleitung, wie du awork als SSO-Anwendung bei deinem jeweiligen Anbieter registrierst, findest du unterhalb.

Wichtige Hinweise zur Einrichtung

Folgende Redirect URLs müssen freigeschaltet werden:

https://app.awork.com/enterprise-login
https://app.awork.com/api/v1/accounts/authorize-slack
https://app.awork.com/api/v1/accounts/external/{Name des Login Providers}
https://app.awork.com/api/v1/accounts/msteams/authorize
https://app.awork.com/api/v1/accounts/authorize

Für das Login via Web Interface, z.B über https://app.awork.com, benötigt du:

https://app.awork.com/enterprise-login

Für die Autorisierung von Slack benötigst du:

https://app.awork.com/api/v1/accounts/authorize-slack

Für die Autorisierung von Microsoft Teams benötigst du:

https://app.awork.com/api/v1/accounts/msteams/authorize

Für Zapier Integrationen wird folgende Redirect Url benötigt:

https://app.awork.com/api/v1/accounts/authorize

Im Folgenden findest du eine Übersicht über spezifische Konfigurationen je Identity Provider.

Okta

  1. Öffne die Okta-Konfiguration unter YOUR-SUBDOMAIN.okta.com/admin

  2. Gehe ins Menu in den Bereich Applications.

  3. Füge eine neue Application hinzu und nenne sie z.B. awork.

  4. In den Details der Application erhältst du Client-ID, Client-Secret, Subdomain. Trage diese in dem awork Konfigurationsfenster ein und schließe die Konfiguration über den Speichern Button ab.

☝️Hinweis:

Wichtig ist hierbei, dass die Login redirect URIs richtig gesetzt werden, da sonst Okta deine Nutzer nicht richtig weiterleiten kann. Zudem muss der Implicit(Hybrid) Flow inklusive ID Token grant type freigeschaltet werden. Der User consent wird nicht benötigt, da awork nur auf den Namen und die E-Mail des Nutzers beim Login zugreift.

Setze in dem Bereich Login in der Okta Application noch folgende URIs

  1. Initiate login URI:

    AWORK_SUBDOMAIN.awork.com/login
  2. Login redirect URIs

    https://app.awork.com/enterprise-login
    https://app.awork.com/api/v1/accounts/authorize-slack
    https://app.awork.com/api/v1/accounts/external/okta
    https://app.awork.com/api/v1/accounts/msteams/authorize
    https://app.awork.com/api/v1/accounts/authorize

Auth0

  1. Gehe ins Menu in den Bereich Applications.

  2. Füge eine neue Application mit dem Typ Regular Web Applications hinzu und nenne sie z.B. awork.

  3. In den Details der Application erhältst du Client-ID, Client-Secret, Subdomain. Trage diese in dem awork Konfigurationsfenster ein und speichere.

  4. Setze folgende URIs in dem Abschnitt Application URIs der Auth0 Konfiguration

    1. Application login url:

      AWORK_SUBDOMAIN.awork.com/login
    2. Allowed callback URIs

      https://app.awork.com/enterprise-login,
      https://app.awork.com/api/v1/accounts/authorize-slack,
      https://app.awork.com/api/v1/accounts/external/auth0,
      https://app.awork.com/api/v1/accounts/msteams/authorize,
      https://app.awork.com/api/v1/accounts/authorize
    3. Allowed web origins:

      AWORK_SUBDOMAIN.awork.com
      app.awork.com

☝️Hinweis: Alle anderen Einstellungen sind standardmäßig schon richtig eingestellt.

OneLogin

  1. Gehe ins Menu in den Bereich Applications.

  2. Füge eine neue Anwendung hinzu, indem du auf den Button Add App oben rechts klickst, und nenne sie z.B. awork.

  3. Wähle OpenID Connect (OIDC) als Typ und setzte den Namen z.B. auf awork und speichere.

  4. Im Bereich SSO der App erhältst du Client-ID und Client-Secret. Die Subdomain findest du in der URL deines OneLogin Accounts: {Subdomain}.onelogin.com. Trage diese Infos in dem awork Konfigurationsfenster ein und speichere.

  5. Folgende URIs müssen im Bereich Configuration freigeschaltet werden, damit die Weiterleitung deiner Mitarbeiter problemlos funktioniert:

    1. Login url:

      AWORK_SUBDOMAIN.awork.com/login
    2. Redirect URIs

      https://app.awork.com/enterprise-login
      https://app.awork.com/api/v1/accounts/authorize-slack
      https://app.awork.com/api/v1/accounts/external/onelogin
      https://app.awork.com/api/v1/accounts/msteams/authorize
      https://app.awork.com/api/v1/accounts/authorize

Microsoft Entra ID (ehemals Azure AD)

  1. Öffne die Entra ID-Konfiguration in deinem Azure Portal

  2. Klicke im Menü im Bereich Verwalten auf App-Registrierungen.

  3. Füge eine neue Registrierung hinzu und nenne sie z.B. awork SSO

    1. Du kannst bereits Unterstützte Kontotypen auf Nur Konten in diesem Organisationsverzeichnis (nur "deine Domain" – einzelner Mandant) stellen und bei den Umleitungs-URI die erste URL für die Web Platform eintragen: https://app.awork.com/enterprise-login Danach kannst du auf Registrieren klicken.

  4. Im Bereich Übersicht findest du bereits die Anwendungs-ID (Client), welches die Client Id in awork und die Verzeichnis-ID (Mandant), welches die Subdomain in awork ist.

  5. Im Bereich Zertifikate und Geheimnisse der neunen Registrierung kannst du nun einen neuen Geheimen Clientschlüssel erstellen. Dieser Wert muss in awork in das Client Secret Feld eingetragen werden. Achte darauf den tatsächlichen Wert des Geheimnisses zu kopieren und nicht die Geheime ID!

    1. Um Geheimnisse zu rotieren musst du aktuell die SSO Integration in awork löschen und mit dem neuen Geheimnis neu hinzufügen.

  6. Trage in dem Abschnitt Authentifizierung die folgende Umleitung URIs für eine Web Platform ein:

    1. Umleitungs-URIs

      https://app.awork.com/enterprise-login
      https://app.awork.com/api/v1/accounts/authorize-slack
      https://app.awork.com/api/v1/accounts/external/azure
      https://app.awork.com/api/v1/accounts/msteams/authorize
      https://app.awork.com/api/v1/accounts/authorize

    2. Bei Implizite Genehmigung und Hybridflows (weiter runter scrollen) muss ein Hacken bei ID-Token gesetzt werden. Bei Unterstützte Kontotypen muss Nur Konten in diesem Organisationsverzeichnis (nur "deine Domain" – einzelner Mandant) ausgewählt werden.

  7. Der Login Flow benutzt standardmäßig den preferred_username Claim des Entra Benutzers. Wenn du lieber den UPN des Benutzers verwenden möchtest, kannst du den UPN als optionalen Anspruch konfigurieren. Dafür kannst du in den Bereich Tokenkonfiguration navigieren und einen neuen optionalen Anspruch hinzufügen. Wähle hierbei als Tokentyp ID aus und wähle upn als Anspruch in der Liste aus (ggf. scrollen). Danach kannst du auf Hinzufügen klicken.

☝️ Wichtig: UPN als optionaler Anspruch wird nur für App-Registrierungen für Mandanten unterstützt und nicht für persönliche Microsoft Accounts. Gehe sicher, dass du dies korrekt im Bereich Authentifizierung hinterlegt hast.

GSuite

Um SSO mit GSuite einzurichten, musst du folgender Anleitung folgen:

  1. Gehe zu https://console.cloud.google.com/apis/credentials und wähle zunächst dein Projekt aus, für das du SSO benutzen möchtest

  2. Dann klickst du auf Anmeldedaten erstellen und wählst in der Liste OAuth-Client-ID aus

  3. Wähle als Typ Webanwendung aus

  4. Als Namen kannst du z.B. awork wählen

  5. Bei dem Bereich URIs musst du folgende URIs hinzufügen:

    1. Umleitungs-URLs:

      https://app.awork.com/enterprise-login
      https://app.awork.com/api/v1/accounts/authorize-slack
      https://app.awork.com/api/v1/accounts/external/gsuite
      https://app.awork.com/api/v1/accounts/msteams/authorize
      https://app.awork.com/api/v1/accounts/authorize
  6. Danach speicherst du deine Daten über den Button Erstellen

  7. Auf der rechten Seite findest du nun die Client-ID und den Clientschlüssel (Client-Secret), welchen du in awork eintragen musst

Mehr Infos zu SSO mit GSuite findest du hier.

Keycloak

Bitte kontaktiere unseren Support falls du Keycloak SSO einrichten möchtest, da diese Option aktuell noch nicht in der Web-Anwendung verfügbar ist! Kommt mit dem nächsten Update!

Um Keycloak SSO via OpenID Connect einzurichten, musst du folgender Anleitung folgen:

  1. Logge dich in deiner Keycloak Admin Konsole ein

  2. Navigiere zu den Clients

    1. Lade folgende Client Konfigurations-Datei herunter: Keycloak awork Client Konfiguration

    2. Ziehe die Datei in das Ressourcen Feld. Dies importiert alle Einstellungen die du benötigst.

    3. Speichere den neuen Client

  3. Gehe zu den Client Details

    1. Gehe zum Passwörter Tab und kopiere das Client Secret

  4. Gehe zu den Realm-Einstellungen und finde den .well-known/openid-configuration Link am Ende der General Einstellungen mit dem Namen OpenID Endpoint Configuration

    1. Die URL sieht normalerweise so aus: https://{deine-keycloak-url}/realms/master/.well-known/openid-configuration

  5. Kontaktiere unseren Support mit der Client ID, dem Client Secret und der .well-known/openid-configuration URL, damit wir für dich die Integration einrichten können.

☝️ Wichtig: Die .well-known/openid-configuration URL muss 24/7 verfügbar sein um Fehler beim Einloggen mit SSO zu verhindern!

Nach der Einrichtung

War die Konfiguration erfolgreich, ist jetzt der SSO-Sign-in im Login-Bereich verfügbar.

☝️Hinweis: Rechte, User oder Gruppen werden aktuell nicht über den Identity-Provider gesteuert. Lediglich der Login für bestehende User-Accounts wird ermöglicht. Ein User muss deshalb schon in awork vorhanden sein. Ein User-Matching erfolgt über die E-Mail-Adresse des Users.

Andere Login-Möglichkeiten deaktivieren

Ist SSO konfiguriert, besteht die Möglichkeit die anderen Login-Möglichkeiten (E-Mail & Passwort sowie Social-Login via Google & Apple) zu deaktivieren und auszublenden. Die Einstellungen findest du unter Einstellungen > Allgemein.

Das ist nur dann ratsam, wenn keine externen User, die nicht über das Identity-Management verwaltet werden, im Workspace arbeiten.

☝️Hinweis: Falls du die SSO Einstellungen in awork entfernst, wird automatisch das Login mit E-Mail und Passwort wieder aktiviert, damit du dich immer mit deinem Admin Konto einloggen kannst.

Hinweise zum Anmelden via SSO über app.awork.com

Für den Login mittels SSO über die globale Login-Seite app.awork.com, wähle die Option Sign in via SSO.

Hier muss nun zuerst die Subdomain deines Workspace angegeben werden. Nach dem Eintragen wirst du automatisch zu der SSO Login-Maske, oder, falls du hier bereits eingeloggt bist, direkt zu deinem awork Dashboard weitergeleitet.

Hast du die Optionen zum Anmelden via E-Mail & Passwort und/oder Social-Login (Google & Apple) deaktiviert, so werden diese trotzdem auf der globalen Seite angezeigt. Sie werden lediglich unter der spezifischen Workspace-Seite DEINE-WORKSPACE-SUBDOMAIN.awork.com ausgeblendet.

Ein Login wird jedoch auch von der globalen Seite nicht möglich sein.

Ist SSO konfiguriert, so gibt es hier nun den weiteren Auswahl-Button Sign in via SSO. Du wirst nun automatisch zu der SSO Login-Maske oder, falls du hier bereits eingeloggt bist, direkt zu deinem awork Dashboard weitergeleitet.

Hat dies Ihre Frage beantwortet?