Skip to content
Contracko Logo
Dokumentation

Single Sign-on (SSO) einrichten

Single Sign-on (SSO) ermöglicht es Ihrem Team, sich über Ihren bestehenden Identitätsanbieter bei Contracko anzumelden, sodass die IT den Zugriff von einer zentralen Stelle aus steuert. Contracko unterstützt Self-Service-OIDC-Single Sign-on im Big-Business-Tarif. Sie können Microsoft Entra, Google Workspace, Okta, Auth0, JumpCloud, Keycloak oder jeden OIDC-konformen Anbieter verbinden. SAML 2.0 ist auf Anfrage verfügbar.

Diese Anleitung führt Sie durch die vollständige Einrichtung: Verifizieren Sie Ihre Domain, erstellen Sie eine App in Ihrem Identitätsanbieter, verbinden Sie diese in Contracko, testen Sie sie und schalten Sie die Erzwingung ein.

Bevor Sie beginnen

Sie benötigen:

  • Den Big-Business-Tarif. SSO-Einstellungen sind nur in Big Business verfügbar.
  • Eine Rolle als admin, owner oder billing-owner in Ihrem Contracko-Workspace.
  • Zwei-Faktor-Authentifizierung (2FA) aktiviert für das Konto des Rechnungsinhabers. Der Rechnungsinhaber ist das eine Konto, das sich weiterhin mit einem Passwort anmelden kann, falls Ihr Identitätsanbieter einmal nicht verfügbar ist. Daher verlangt Contracko, dass dieses Konto über 2FA verfügt, bevor Sie einen Anbieter verbinden oder die Erzwingung einschalten können. Der Rechnungsinhaber kann dies unter Settings oder unter /totp/setup einrichten.
  • Administratorzugriff auf Ihren Identitätsanbieter (zum Erstellen einer OIDC-App).
  • Zugriff auf Ihre DNS-Einträge (zur Verifizierung Ihrer Domain).

Sie konfigurieren alles unter Settings > Security (/account/security).

Schritt 1: Verifizieren Sie Ihre Domain

Bevor Sie einen Anbieter verbinden können, verifizieren Sie mindestens eine Unternehmensdomain. Eine verifizierte Domain ist das, was es Ihnen später ermöglicht, SSO für alle Personen auf dieser Domain zu verlangen.

  1. Gehen Sie zu Settings > Security und suchen Sie die Karte Verified domains.
  2. Klicken Sie auf Add domain und geben Sie Ihre reine Unternehmensdomain ein, zum Beispiel yourcompany.com. Geben Sie kein https://, www. oder einen abschließenden Schrägstrich an. Subdomains zählen als separate Domains.
  3. Contracko zeigt einen hinzuzufügenden DNS TXT record an, in der Form contracko-domain-verification=.... Kopieren Sie ihn.
  4. Fügen Sie diesen TXT-Eintrag bei Ihrem DNS-Anbieter zu Ihrer Domain hinzu.
  5. Klicken Sie zurück in Contracko neben der Domain auf Verify. DNS-Änderungen können bis zu 48 Stunden brauchen, um sich zu verbreiten; sobald der Eintrag aktiv ist, ist die Verifizierung erfolgreich und die Domain zeigt ein grünes Verified-Abzeichen.

Die Verifizierung von yourcompany.com deckt auch deren Subdomains ab, wie [email protected] und [email protected].

Schritt 2: Erstellen Sie eine OIDC-App in Ihrem Identitätsanbieter

Erstellen Sie in Ihrem Identitätsanbieter eine neue OIDC-Webanwendung (OpenID Connect). Sie benötigen die Redirect-URI, die Contracko Ihnen während Schritt 3 anzeigt:

https://app.contracko.com/api/auth/sso/callback/<your-provider-id>

Öffnen Sie Settings > Security > Single sign-on > Add provider, wählen Sie Ihren Anbieter aus, und Contracko zeigt die exakte einzufügende Redirect-URI an. (Für die generische Option "Other" erscheint die Redirect-URI im Testschritt, nachdem Sie gespeichert haben. Fügen Sie sie also vor dem Ausführen des Tests zu Ihrem Anbieter hinzu.)

Von Ihrem Identitätsanbieter sammeln Sie eine Client ID und ein Client secret sowie einen anbieterspezifischen Wert unten.

Microsoft Entra

  1. Gehen Sie im Azure Portal zu Microsoft Entra ID > App registrations > New registration.
  2. Wählen Sie unter Redirect URI die Plattform Web und fügen Sie die Redirect-URI aus Contracko ein.
  3. Kopieren Sie auf der Seite Overview die Application (client) ID und die Directory (tenant) ID.
  4. Gehen Sie zu Certificates and secrets > New client secret und kopieren Sie den geheimen Value (nicht die Secret ID).
  5. Geben Sie in Contracko die Directory (tenant) ID ein. Verwenden Sie Ihre tenant-spezifische ID, nicht common, sodass die Anmeldung auf Ihren Tenant beschränkt ist. Contracko erstellt die Issuer-URL für Sie.

Google Workspace

  1. Gehen Sie in der Google Cloud Console zu APIs and Services > Credentials > Create credentials > OAuth client ID.
  2. Wählen Sie den Anwendungstyp Web application.
  3. Fügen Sie unter Authorized redirect URIs die Redirect-URI aus Contracko hinzu.
  4. Kopieren Sie die generierte Client ID und das Client secret.
  5. Geben Sie in Contracko Ihre Expected hosted domain ein, was Ihre primäre Google-Workspace-Domain ist (zum Beispiel yourcompany.com). Nur Konten aus dieser Domain dürfen sich anmelden. Google verwendet immer denselben Issuer, daher gibt es keine Issuer-URL einzugeben.

Okta

  1. Gehen Sie in der Okta Admin Console zu Applications > Create App Integration.
  2. Wählen Sie OIDC - OpenID Connect und den Anwendungstyp Web Application.
  3. Fügen Sie unter Sign-in redirect URIs die Redirect-URI aus Contracko hinzu.
  4. Kopieren Sie die Client ID und das Client secret vom General-Tab der Anwendung.
  5. Geben Sie in Contracko Ihre Okta domain ein (zum Beispiel your-company.okta.com). Kein https://, kein abschließender Schrägstrich, kein Pfad. Contracko erstellt die Issuer-URL für Sie.

Auth0

  1. Gehen Sie im Auth0 Dashboard zu Applications > Create Application.
  2. Wählen Sie den Anwendungstyp Regular Web Application.
  3. Fügen Sie unter Settings > Allowed Callback URLs die Redirect-URI aus Contracko hinzu.
  4. Kopieren Sie die Client ID und das Client Secret vom Settings-Tab.
  5. Geben Sie in Contracko Ihren Auth0 tenant ein, was der Teil vor .auth0.com in Ihrer Tenant-URL ist. Contracko erstellt die Issuer-URL für Sie.

JumpCloud

  1. Gehen Sie im JumpCloud Admin Portal zu SSO Applications > Add New Application.
  2. Wählen Sie Custom OIDC App aus.
  3. Fügen Sie unter Redirect URIs die Redirect-URI aus Contracko hinzu.
  4. Kopieren Sie die Client ID und das Client Secret vom SSO-Tab der Anwendung. JumpCloud verwendet denselben Issuer für alle Tenants, daher gibt es keine Issuer-URL einzugeben.

Keycloak

  1. Wählen Sie in der Keycloak Admin Console Ihren Realm aus und gehen Sie dann zu Clients > Create client.
  2. Setzen Sie den Client-Typ auf OpenID Connect und aktivieren Sie Client authentication.
  3. Fügen Sie unter Valid redirect URIs die Redirect-URI aus Contracko hinzu.
  4. Kopieren Sie auf dem Credentials-Tab das Client secret. Die Client ID ist der Name, den Sie dem Client gegeben haben.
  5. Geben Sie in Contracko Ihren Keycloak host und Realm ein. Contracko erstellt die Issuer-URL für Sie.

Jeder andere OIDC-Anbieter

  1. Erstellen Sie in Ihrem Identitätsanbieter eine OIDC-Webanwendung (OpenID Connect).
  2. Fügen Sie die Redirect-URI aus Contracko zu den zulässigen Redirect-URLs der Anwendung hinzu.
  3. Kopieren Sie die Client ID und das Client secret.
  4. Geben Sie in Contracko die vollständige Issuer URL Ihres Anbieters und einen Provider name ein. Contracko ermittelt die Autorisierungs-, Token- und Schlüsselendpunkte automatisch aus /.well-known/openid-configuration.

Schritt 3: Verbinden Sie den Anbieter in Contracko

  1. Gehen Sie zu Settings > Security > Single sign-on (OIDC) und klicken Sie auf Add provider.
  2. Wählen Sie Ihren Identitätsanbieter aus der Liste aus.
  3. Konfigurieren Sie die Verbindung: Fügen Sie die Client ID und das Client secret ein und füllen Sie dann das anbieterspezifische Feld aus Schritt 2 aus (tenant ID, hosted domain, Okta domain und so weiter).
  4. Legen Sie die Standardrolle fest, die neue SSO-Benutzer bei ihrer ersten Anmeldung erhalten (member, manager oder admin). Die Standardeinstellung ist member.
  5. Klicken Sie auf Save and test.

Schritt 4: Testen Sie die Verbindung

Contracko verifiziert die Verbindung mit einem echten Hin- und Rücklauf, bevor Sie sie erzwingen können.

  1. Klicken Sie im Schritt Test sign-in auf Open test sign-in. Contracko öffnet Ihren Identitätsanbieter in einem Popup.
  2. Melden Sie sich mit einem Testkonto auf Ihrem Tenant an.
  3. Contracko erkennt den erfolgreichen Hin- und Rücklauf, markiert den Anbieter als Verified und meldet das Testkonto wieder ab.
  4. Klicken Sie auf Continue.

Wenn der Test fehlschlägt, prüfen Sie, ob die Redirect-URI in Ihrem Identitätsanbieter genau übereinstimmt, und klicken Sie dann auf Retry.

Schritt 5: Schalten Sie die Erzwingung ein

Die Erzwingung macht SSO zur einzigen Anmeldemethode für Benutzer auf Ihren verifizierten Domains.

  1. Schalten Sie im Schritt Enforce SSO (oder in der Anbieterliste) die Option Enforce SSO for this organisation ein.
  2. Wenn Sie die Erzwingung aktivieren, meldet Contracko bestehende Passwort- und Social-Sitzungen für Benutzer auf Ihren verifizierten Domains ab, sodass sich alle über Ihren Identitätsanbieter erneut anmelden.

Ein Anbieter muss Verified sein, bevor Sie ihn erzwingen können, und der Rechnungsinhaber muss 2FA aktiviert haben. Sie können die Erzwingung jederzeit wieder ausschalten. Um einen Anbieter zu entfernen, deaktivieren Sie zuerst die Erzwingung.

Notfallzugriff

Falls Ihr Identitätsanbieter einmal nicht verfügbar ist, kann sich der Rechnungsinhaber weiterhin mit einem Passwort oder einem Social-Konto anmelden, selbst während die Erzwingung aktiv ist. Aus diesem Grund verlangt Contracko, dass der Rechnungsinhaber 2FA aktiviert hat.

Wenn sich der Rechnungsinhaber auf diese Weise anmeldet, zeigt Contracko einen kurzen Hinweis an, zeichnet das Ereignis auf und sendet dem Rechnungsinhaber eine E-Mail mit der verwendeten IP-Adresse und dem verwendeten Gerät. Der Rechnungsinhaber kann sich entscheiden, mit der Umgehung fortzufahren oder zur Anmeldung über Ihren Identitätsanbieter zu wechseln.

Wie Konten und Rollen funktionieren

  • Neue Benutzer werden bei ihrer ersten Anmeldung über SSO automatisch erstellt und mit der Standardrolle, die Sie für den Anbieter festgelegt haben, zu Ihrem Workspace hinzugefügt.
  • Bestehende Benutzer mit derselben E-Mail-Adresse werden automatisch verknüpft, sodass jemand, der zuvor ein Passwort verwendet hat, sein Konto und seinen Verlauf behält.
  • Die Rollenzuweisung verwendet die Standardrolle des Anbieters. Das Zuordnen von Identitätsanbieter-Gruppen zu bestimmten Contracko-Rollen ist noch nicht verfügbar.

Häufig gestellte Fragen

Welcher Tarif enthält SSO? Self-Service-SSO ist im Big-Business-Tarif enthalten.

Unterstützen Sie SAML? Die Self-Service-Einrichtung erfolgt heute über OIDC. SAML 2.0 ist auf Anfrage verfügbar; kontaktieren Sie uns, und wir helfen Ihnen bei der Einrichtung.

Wer kann SSO einrichten? Admins, Owner und der Rechnungsinhaber. Der Rechnungsinhaber muss zuerst 2FA aktiviert haben.

Kann ich SSO für alle verlangen? Ja. Verifizieren Sie Ihre Domain, verbinden und testen Sie einen Anbieter und schalten Sie dann die Erzwingung ein. Benutzer auf Ihren verifizierten Domains melden sich dann über Ihren Identitätsanbieter an.

Was, wenn unser Identitätsanbieter ausfällt? Der Rechnungsinhaber kann sich mit einem Passwort plus 2FA als Notfallumgehung anmelden und erhält jedes Mal eine E-Mail, wenn dies geschieht.

ennlde