Ähnliche Artikel
Inhaltsverzeichnis
Single-Sign-On (SSO) einrichten
Erfahre, wie du Single Sign-On (SSO) für deinen Mandanten einrichtest, damit sich Admins und Gäste zentral über einen Identity Provider anmelden können.

Was ist Single Sign-On (SSO)?
Mit Single Sign-On (SSO) erfolgt das Login zur Oniva Plattform über einen zentralen Identity Provider wie Microsoft, Google oder Okta – anstelle eines separaten Oniva-Passworts. Der SSO-Login kann sowohl für Admins als auch für Gäste aktiviert werden und ermöglicht eine zentrale und sichere Verwaltung aller Zugänge.
Vorteile gegenüber Username/Passwort
- ✅ Zentrale Benutzerverwaltung
- ✅ Konten können zentral gesperrt werden
- ✅ Kein zusätzliches Passwort für Oniva notwendig
- ✅ Erhöhte Sicherheit durch bestehende Sicherheitsrichtlinien (z. B. MFA)
- ✅ Weniger Supportaufwand bei Passwort-Resets
👉 Benötigst du SSO nur für einen Teil eurer Benutzenden? Über Kontotypen lässt sich SSO gezielt für einzelne Gruppen aktivieren, während andere weiterhin klassisch per Username/Passwort angemeldet bleiben.
SSO einrichten
Voraussetzungen
- Mandanten-Admin Rechte
- Die API-Funktion muss auf der Lizenz aktiviert sein
Falls die Funktion noch nicht verfügbar ist, kann sie vom Oniva Support Team aktiviert werden.
1. SSO aktivieren
- Navigiere zu Mandanten-Einstellungen
- Suche nach der Einstellung "Single Sign-On (SSO)" und aktiviere diese
- Nach dem Aktivieren können folgende Daten eingegeben werden:
- Discovery-URL: OIDC-Metadaten-Endpunkt des Identity Providers, über den Oniva automatisch die notwendigen Endpunkte (Autorisierung, Token, Userinfo) ermittelt; zu finden im Provider-Dashboard unter der Domain/Issuer-URL, ergänzt um
/.well-known/openid-configuration - Client ID: eindeutiger Identifikator der Applikation beim Identity Provider, wird zur Authentifizierung von Oniva gegenüber dem Provider benötigt; zu finden in den Application-/Client-Einstellungen des Identity Providers
- Client Secret: geheimes Passwort der Applikation, dient zusammen mit der Client ID der sicheren Authentifizierung von Oniva beim Identity Provider; zu finden in den Application-/Client-Einstellungen des Identity Providers (meist nur einmalig sichtbar oder über ein Augen-Symbol einblendbar)
- Scope: definiert, welche Benutzerinformationen beim Login angefragt werden (Identität, Profildaten, E-Mail-Adresse); wird nicht beim Identity Provider nachgeschlagen, sondern im Oniva-Formular als Standardwert eingetragen
- Account-Identifier-Claim: gibt an, welches Feld aus dem Token zur eindeutigen Zuordnung des Benutzenden verwendet wird;
subist der Standard-Claim für die unveränderliche User-ID bei praktisch jedem OIDC-Provider und muss nicht gesondert gesucht werden
- Discovery-URL: OIDC-Metadaten-Endpunkt des Identity Providers, über den Oniva automatisch die notwendigen Endpunkte (Autorisierung, Token, Userinfo) ermittelt; zu finden im Provider-Dashboard unter der Domain/Issuer-URL, ergänzt um
- Trage die Callback-URL im SSO-Tool (Identity Provider) ein
Zusätzlich sicherstellen:
- Scope enthält mindestens
openidundemail - Die E-Mail-Adresse wird im Token bzw. in der Assertion übermittelt
💡 Tipp: Die Callback-URL erhältst du direkt im Oniva-Formular zur SSO-Konfiguration. Sie muss beim Identity Provider exakt – inklusive Pfad und ohne abweichende Trailing Slashes – hinterlegt werden, damit die Weiterleitung nach dem Login funktioniert.
2. Kontotyp mit SSO erstellen
- Navigiere zu Mandanten-Einstellungen → Kontotypen
- Kontotypen öffnen
- Neuen Kontotyp erstellen oder bestehenden bearbeiten
- Bei Authentifizierung wählen:
- SAML; oder
- OpenID Connect (OIDC)
3. Konten anlegen
- Zu Konten wechseln
- Neue Konten erstellen (manuell oder per Import)
- Den zuvor erstellten SSO-Kontotyp zuweisen
- Mailadresse als Kontoname verwenden
🔐 Hinweis: Nur Konten mit einem SSO-Kontotyp können sich per SSO anmelden. Konten mit einem klassischen Kontotyp bleiben weiterhin per Username/Passwort zugänglich.
4. Login testen
- Mit einem Testkonto anmelden
- Prüfen, ob die Weiterleitung zum Identity Provider funktioniert
- Erfolgreichen Login bestätigen
5. Alte Login-Methoden bereinigen (optional)
- Alte Konten ohne SSO löschen
- Nicht mehr benötigte Kontotypen ohne SSO entfernen
So wird sichergestellt, dass das Login ausschliesslich über SSO erfolgt.
Rahmenbedingungen
Unterstützte Protokolle: SAML 2.0 (coming soon) und OpenID Connect (OIDC)
Geltungsbereich: SSO kann pro Kontotyp separat aktiviert werden. Dadurch lassen sich unterschiedliche Zugangswege für Admins und Gäste kombinieren.
Migration: Bestehende Konten können nachträglich auf einen SSO-Kontotyp umgestellt werden, ohne dass ein neues Konto angelegt werden muss.
🔐 Hinweis zum Datenschutz
Bei der Nutzung von SSO werden Authentifizierungsdaten mit eurem Identity Provider ausgetauscht. Stelle sicher, dass die Konfiguration (insbesondere Client Secret bzw. X.509-Zertifikat) sicher verwahrt und nicht an Dritte weitergegeben wird. Bei Unsicherheiten empfiehlt es sich, die Einrichtung mit eurer IT-Abteilung abzustimmen.


