SSO-Logins erlauben deinem Team mit einem bestehenden Account bei einem unserer unterstützen Identity Provider einloggen, ohne dabei einen neuen awork Account mit neuem Passwort anzulegen zu müssen.
Die Liste der unterstützten Identity Provider umfasst:
Falls du deinen Identity Provider in dieser Liste nicht gefunden hast, kontaktiere uns gerne direkt im Support und wir prüfen, ob wir eine Anbindung bereitstellen können.
☝️Hinweis: SSO ist nur im awork Enterprise-Plan verfügbar
SAML 2.0 wird von awork nicht unterstützt, da wir uns für den moderneren OpenID-Connect Standard auf Basis von OAuth 2.0 entschieden haben.
Unterstützte Identity-Provider
Einrichtung

Navigiere zu Einstellung > Integrationen
Öffne die Integrations-Bibliothek und wähle den gewünschten Provider aus
Es müssen nun Subdomain, Client-ID und Client-Secret des Providers in dem Fenster eingetragen werden. Eine Anleitung, wie du awork als SSO-Anwendung bei deinem jeweiligen Anbieter registrierst, findest du unterhalb.
Wichtige Hinweise zur Einrichtung
Folgende Redirect URLs müssen freigeschaltet werden:
https://app.awork.io/enterprise-login
https://app.awork.io/api/v1/accounts/authorize-slack
https://app.awork.io/api/v1/accounts/external/{Name des Login Providers}
https://app.awork.io/api/v1/accounts/msteams/authorize
https://app.awork.io/api/v1/accounts/authorize
Für das Login via Web Interface, z.B über https://app.awork.io, benötigt du:
https://app.myhq.io/enterprise-login
Für die Autorisierung von Slack benötigst du:
https://app.awork.io/api/v1/accounts/authorize-slack
Für die Autorisierung von Microsoft Teams benötigst du:
https://app.awork.io/api/v1/accounts/msteams/authorize
Für Zapier Integrationen wird folgende Redirect Url benötigt:
https://app.awork.io/api/v1/accounts/authorize
Im Folgenden findest du eine Übersicht über spezifische Konfigurationen je Identity Provider.
Okta
Öffne die Okta-Konfiguration unter YOUR-SUBDOMAIN.okta.com/admin
Gehe ins Menu in den Bereich Applications.
Füge eine neue Application hinzu und nenne sie z.B. awork.
In den Details der Application erhältst du Client-ID, Client-Secret, Subdomain. Trage diese in dem awork Konfigurationsfenster ein und schließe die Konfiguration über den Speichern Button ab.
☝️Hinweis:
Wichtig ist hierbei, dass die Login redirect URIs richtig gesetzt werden, da sonst Okta deine Nutzer nicht richtig weiterleiten kann. Zudem muss der Implicit(Hybrid) Flow inklusive ID Token grant type freigeschaltet werden. Der User consent wird nicht benötigt, da awork nur auf den Namen und die E-Mail des Nutzers beim Login zugreift.
Setze in dem Bereich Login in der Okta Application noch folgende URIs
Initiate login URI:
AWORK_SUBDOMAIN.awork.io/login
Login redirect URIs
https://app.awork.io/enterprise-login
https://app.awork.io/api/v1/accounts/authorize-slack
https://app.awork.io/api/v1/accounts/external/okta
https://app.awork.io/api/v1/accounts/msteams/authorize
https://app.awork.io/api/v1/accounts/authorize
Auth0
Öffne die Auth0-Konfiguration
Gehe ins Menu in den Bereich Applications.
Füge eine neue Application mit dem Typ Regular Web Applications hinzu und nenne sie z.B. awork.
In den Details der Application erhältst du Client-ID, Client-Secret, Subdomain. Trage diese in dem awork Konfigurationsfenster ein und speichere.
Setze folgende URIs in dem Abschnitt Application URIs der Auth0 Konfiguration
Application login url:
AWORK_SUBDOMAIN.awork.io/login
Allowed callback URIs
https://app.awork.io/enterprise-login,
https://app.awork.io/api/v1/accounts/authorize-slack,
https://app.awork.io/api/v1/accounts/external/auth0,
https://app.awork.io/api/v1/accounts/msteams/authorize,
https://app.awork.io/api/v1/accounts/authorizeAllowed web origins:
AWORK_SUBDOMAIN.awork.io
app.awork.io
☝️Hinweis: Alle anderen Einstellungen sind standardmäßig schon richtig eingestellt.


OneLogin
Öffne die OneLogin-Konfiguration unter SUBDOMAIN.onelogin.com
Gehe ins Menu in den Bereich Applications.
Füge eine neue Anwendung hinzu, indem du auf den Button Add App oben rechts klickst, und nenne sie z.B. awork.
Wähle OpenID Connect (OIDC) als Typ und setzte den Namen z.B. auf awork und speichere.
Im Bereich SSO der App erhältst du Client-ID und Client-Secret. Die Subdomain findest du in der URL deines OneLogin Accounts: {Subdomain}.onelogin.com. Trage diese Infos in dem awork Konfigurationsfenster ein und speichere.
Folgende URIs müssen im Bereich Configuration freigeschaltet werden, damit die Weiterleitung deiner Mitarbeiter problemlos funktioniert:
Login url:
AWORK_SUBDOMAIN.awork.io/login
Redirect URIs
https://app.awork.io/enterprise-login
https://app.awork.io/api/v1/accounts/authorize-slack
https://app.awork.io/api/v1/accounts/external/onelogin
https://app.awork.io/api/v1/accounts/msteams/authorize
https://app.awork.io/api/v1/accounts/authorize
Azure
Öffne die Azure-AD-Konfiguration unter portal.azure.com
Gehe in den Bereich Azure Dienste und dann Azure Active Directory.
Klicke im Menü im Bereich Verwalten auf App-Registrierungen.
Füge eine neue Registrierung hinzu und nenne sie z.B. awork.
Im Bereich Zertifikate und Geheimnisse der neunen Registrierung kannst du nun eine neue Anwendungs-ID (Client) erstellen, dessen ID (Client-ID) und Wert (Client-Secret) du im awork Konfigurationsfenster eintragen kannst.
Setze in dem Abschnitt Authentifizierung einen Haken bei ID-Token und Zugriffstoken in der Azure-Konfiguration und hinterlege folgende Umleitung URIs für eine Web Platform:
Umleitungs-URIs
https://app.awork.io/enterprise-login
https://app.awork.io/api/v1/accounts/authorize-slack
https://app.awork.io/api/v1/accounts/external/azure
https://app.awork.io/api/v1/accounts/msteams/authorize
https://app.awork.io/api/v1/accounts/authorize
Die Subdomain, die du in awork eintragen musst, ist entweder:
Deine Azure Mandanten-ID:
deine Fallbackdomäne: <kunde>.onmicrosoft.com
GSuite
Um SSO mit GSuite einzurichten, musst du folgender Anleitung folgen:
Gehe zu https://console.cloud.google.com/apis/credentials und wähle zunächst dein Projekt aus, für das du SSO benutzen möchtest
Dann klickst du auf Anmeldedaten erstellen und wählst in der Liste OAuth-Client-ID aus
Wähle als Typ Webanwendung aus
Als Namen kannst du z.B. "Awork" wählen
Bei dem Bereich URIs musst du folgende URIs hinzufügen:
https://app.awork.io/enterprise-login
https://app.awork.io/api/v1/accounts/authorize-slack
https://app.awork.io/api/v1/accounts/external/gsuite
https://app.awork.io/api/v1/accounts/msteams/authorize
https://app.awork.io/api/v1/accounts/authorize
Danach speicherst du deine Daten über den Button Erstellen
Auf der rechten Seite findest du nun die Client-ID und den Clientschlüssel (Client-Secret), welchen du in awork eintragen musst


Mehr Infos zu SSO mit GSuite findest du hier.
Nach der Einrichtung
War die Konfiguration erfolgreich, ist jetzt der SSO-Sign-in im Login-Bereich verfügbar.
Hinweis: Rechte, User oder Gruppen werden aktuell nicht über den Identity-Provider gesteuert. Lediglich der Login für bestehende User-Accounts wird ermöglicht. Ein User muss deshalb schon in awork vorhanden sein. Ein User-Matching erfolgt über die E-Mail-Adresse des Users.
Andere Login-Möglichkeiten deaktivieren
Ist SSO konfiguriert, besteht die Möglichkeit die anderen Login-Möglichkeiten (E-Mail & Passwort sowie Social-Login via. Google & Apple) zu deaktivieren und auszublenden. Die Einstellungen findest du unter Einstellungen > Allgemein.
Das ist nur dann ratsam, wenn keine externen User, die nicht über das Identity-Management verwaltet werden, im Workspace arbeiten.
☝️Hinweis: Falls du die SSO Einstellungen in awork entfernst, wird automatisch das Login mit E-Mail und Passwort wieder aktiviert, damit du dich immer mit deinem Admin Konto einloggen kannst.
Hinweise zum Anmelden via SSO über app.awork.io
Für den Login mittels SSO über die globale Login-Seite app.awork.io, wähle die Option Sign in via SSO.
Hier muss nun zuerst die Subdomain deines Workspace angegeben werden. Nach dem Eintragen wirst du automatisch zu der SSO Login-Maske, oder, falls du hier bereits eingeloggt bist, direkt zu deinem awork Dashboard weitergeleitet.
Hast du die Optionen zum Anmelden via E-Mail & Passwort und/oder Social-Login (Google & Apple) deaktiviert, so werden diese trotzdem auf der globalen Seite angezeigt. Sie werden lediglich unter der spezifischen Workspace-Seite DEINE-WORKSPACE-SUBDOMAIN.awork.io ausgeblendet.
Ein Login wird jedoch auch von der globalen Seite nicht möglich sein.
Anmelden via SSO über DEINE-WORKSPACE-SUBDOMAIN.awork.io
Ist SSO konfiguriert, so gibt es hier nun den weiteren Auswahl-Button “Sign in via SSO”. Du wirst nun automatisch zu der SSO Login-Maske, oder, falls du hier bereits eingeloggt bist, direkt zu deinem awork Dashboard weitergeleitet.