Artikel nach Thema

Online Events

Inhaltsverzeichnis

Zuletzt aktualisiert:
July 6, 2026

Single-Sign-On (SSO) einrichten

Erfahre, wie du Single Sign-On (SSO) für deinen Mandanten einrichtest, damit sich Admins und Gäste zentral über einen Identity Provider anmelden können.

Oniva Login-Page

Was ist Single Sign-On (SSO)?

Mit Single Sign-On (SSO) erfolgt das Login zur Oniva Plattform über einen zentralen Identity Provider wie Microsoft, Google oder Okta – anstelle eines separaten Oniva-Passworts. Der SSO-Login kann sowohl für Admins als auch für Gäste aktiviert werden und ermöglicht eine zentrale und sichere Verwaltung aller Zugänge.

Vorteile gegenüber Username/Passwort

  • ✅ Zentrale Benutzerverwaltung
  • ✅ Konten können zentral gesperrt werden
  • ✅ Kein zusätzliches Passwort für Oniva notwendig
  • ✅ Erhöhte Sicherheit durch bestehende Sicherheitsrichtlinien (z. B. MFA)
  • ✅ Weniger Supportaufwand bei Passwort-Resets
👉 Benötigst du SSO nur für einen Teil eurer Benutzenden? Über Kontotypen lässt sich SSO gezielt für einzelne Gruppen aktivieren, während andere weiterhin klassisch per Username/Passwort angemeldet bleiben.

SSO einrichten

Voraussetzungen

  • Mandanten-Admin Rechte
  • Die API-Funktion muss auf der Lizenz aktiviert sein

Falls die Funktion noch nicht verfügbar ist, kann sie vom Oniva Support Team aktiviert werden.

1. SSO aktivieren

  1. Navigiere zu Mandanten-Einstellungen
  2. Suche nach der Einstellung "Single Sign-On (SSO)" und aktiviere diese
  3. Nach dem Aktivieren können folgende Daten eingegeben werden:
    • Discovery-URL: OIDC-Metadaten-Endpunkt des Identity Providers, über den Oniva automatisch die notwendigen Endpunkte (Autorisierung, Token, Userinfo) ermittelt; zu finden im Provider-Dashboard unter der Domain/Issuer-URL, ergänzt um /.well-known/openid-configuration
    • Client ID: eindeutiger Identifikator der Applikation beim Identity Provider, wird zur Authentifizierung von Oniva gegenüber dem Provider benötigt; zu finden in den Application-/Client-Einstellungen des Identity Providers
    • Client Secret: geheimes Passwort der Applikation, dient zusammen mit der Client ID der sicheren Authentifizierung von Oniva beim Identity Provider; zu finden in den Application-/Client-Einstellungen des Identity Providers (meist nur einmalig sichtbar oder über ein Augen-Symbol einblendbar)
    • Scope: definiert, welche Benutzerinformationen beim Login angefragt werden (Identität, Profildaten, E-Mail-Adresse); wird nicht beim Identity Provider nachgeschlagen, sondern im Oniva-Formular als Standardwert eingetragen
    • Account-Identifier-Claim: gibt an, welches Feld aus dem Token zur eindeutigen Zuordnung des Benutzenden verwendet wird; sub ist der Standard-Claim für die unveränderliche User-ID bei praktisch jedem OIDC-Provider und muss nicht gesondert gesucht werden
  4. Trage die Callback-URL im SSO-Tool (Identity Provider) ein

Zusätzlich sicherstellen:

  • Scope enthält mindestens openid und email
  • Die E-Mail-Adresse wird im Token bzw. in der Assertion übermittelt
💡 Tipp: Die Callback-URL erhältst du direkt im Oniva-Formular zur SSO-Konfiguration. Sie muss beim Identity Provider exakt – inklusive Pfad und ohne abweichende Trailing Slashes – hinterlegt werden, damit die Weiterleitung nach dem Login funktioniert.

2. Kontotyp mit SSO erstellen

  1. Navigiere zu Mandanten-Einstellungen → Kontotypen
  2. Kontotypen öffnen
  3. Neuen Kontotyp erstellen oder bestehenden bearbeiten
  4. Bei Authentifizierung wählen:
    • SAML; oder
    • OpenID Connect (OIDC)

3. Konten anlegen

  1. Zu Konten wechseln
  2. Neue Konten erstellen (manuell oder per Import)
  3. Den zuvor erstellten SSO-Kontotyp zuweisen
  4. Mailadresse als Kontoname verwenden
🔐 Hinweis: Nur Konten mit einem SSO-Kontotyp können sich per SSO anmelden. Konten mit einem klassischen Kontotyp bleiben weiterhin per Username/Passwort zugänglich.

4. Login testen

  • Mit einem Testkonto anmelden
  • Prüfen, ob die Weiterleitung zum Identity Provider funktioniert
  • Erfolgreichen Login bestätigen

5. Alte Login-Methoden bereinigen (optional)

  • Alte Konten ohne SSO löschen
  • Nicht mehr benötigte Kontotypen ohne SSO entfernen

So wird sichergestellt, dass das Login ausschliesslich über SSO erfolgt.

Rahmenbedingungen

Unterstützte Protokolle: SAML 2.0 (coming soon) und OpenID Connect (OIDC)

Geltungsbereich: SSO kann pro Kontotyp separat aktiviert werden. Dadurch lassen sich unterschiedliche Zugangswege für Admins und Gäste kombinieren.

Migration: Bestehende Konten können nachträglich auf einen SSO-Kontotyp umgestellt werden, ohne dass ein neues Konto angelegt werden muss.

🔐 Hinweis zum Datenschutz

Bei der Nutzung von SSO werden Authentifizierungsdaten mit eurem Identity Provider ausgetauscht. Stelle sicher, dass die Konfiguration (insbesondere Client Secret bzw. X.509-Zertifikat) sicher verwahrt und nicht an Dritte weitergegeben wird. Bei Unsicherheiten empfiehlt es sich, die Einrichtung mit eurer IT-Abteilung abzustimmen.

Download

War dieser Artikel hilfreich?

Vielen Dank! Dein Feedback wurde erfasst.
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.

Häufig gestellte Fragen

Alles, was du zu diesem Thema wissen musst.
Keine häufigen Fragen.

Hilfreiche Informationen für Event-Verantwortliche

Entdecke spannende Artikel rund um die Umsetzung von unvergesslichen Events.

Keine Antwort gefunden?

Wenn du die gewünschten Informationen nicht finden konntest, hilft dir unser Support-Team gerne weiter. Erstelle ein Ticket und wir melden uns so schnell wie möglich bei dir.
Zeit-Symbol
Supportzeiten
Montag bis Freitag, 08:00 Uhr bis 17:00 Uhr (ausgenommen gesetzliche Feiertage der Stadt Zürich)
Warn-Symbol
Cookies von Drittanbietern erforderlich
Die Sicherheitseinstellungen deines Browsers lassen keine Cookies von Drittanbietern zu. Bitte passe die Sicherheitseinstellungen deines Browsers an oder versuche einen anderen Browser, um diesen Inhalt zu sehen.
Warn-Symbol
Cookies von Drittanbietern erforderlich
Die Sicherheitseinstellungen deines Browsers lassen keine Cookies von Drittanbietern zu. Bitte passe die Sicherheitseinstellungen deines Browsers an oder versuche einen anderen Browser, um diesen Inhalt zu sehen.