Single Sign-On (SSO) einrichten
Um das Einloggen in awork noch einfacher und sicherer zu gestalten, unterstützt awork nun den OpenID-Connect Standard vieler Anbieter.
Martin Tran avatar
Verfasst von Martin Tran
Vor über einer Woche aktualisiert

SSO erlaubt es deinem Team sich mit einem bestehenden Account von einem Identity Provider einzuloggen, ohne ein neues Passwort in awork festlegen zu müssen. Klicke einfach auf deinen Identity Provider in der folgenden Liste um zum Setup Guide zu gelangen.

Die Liste der unterstützten Identity Provider umfasst:

Falls du deinen Identity Provider in dieser Liste nicht gefunden hast, kontaktiere uns gerne direkt über unseren Support und wir prüfen, ob wir eine Anbindung bereitstellen können.

☝️Hinweis: SSO ist nur im awork Enterprise-Plan verfügbar

SAML 2.0 wird von awork nicht unterstützt, da wir uns für den moderneren OpenID-Connect Standard auf Basis von OAuth 2.0 entschieden haben.

Unterstützte Identity-Provider

Einrichtung

  1. Navigiere zu Einstellung > Integrationen

  2. Öffne die Integrations-Bibliothek und wähle den gewünschten Provider aus

  3. Es müssen nun Subdomain, Client-ID und Client-Secret des Providers in dem Fenster eingetragen werden. Eine Anleitung, wie du awork als SSO-Anwendung bei deinem jeweiligen Anbieter registrierst, findest du unterhalb.

Wichtige Hinweise zur Einrichtung

Folgende Redirect URLs müssen freigeschaltet werden:

https://app.awork.io/enterprise-login
https://app.awork.io/api/v1/accounts/authorize-slack
https://app.awork.io/api/v1/accounts/external/{Name des Login Providers}
https://app.awork.io/api/v1/accounts/msteams/authorize
https://app.awork.io/api/v1/accounts/authorize

Für das Login via Web Interface, z.B über https://app.awork.io, benötigt du:

https://app.awork.io/enterprise-login

Für die Autorisierung von Slack benötigst du:

https://app.awork.io/api/v1/accounts/authorize-slack

Für die Autorisierung von Microsoft Teams benötigst du:

https://app.awork.io/api/v1/accounts/msteams/authorize

Für Zapier Integrationen wird folgende Redirect Url benötigt:

https://app.awork.io/api/v1/accounts/authorize

Im Folgenden findest du eine Übersicht über spezifische Konfigurationen je Identity Provider.

Okta

  1. Öffne die Okta-Konfiguration unter YOUR-SUBDOMAIN.okta.com/admin

  2. Gehe ins Menu in den Bereich Applications.

  3. Füge eine neue Application hinzu und nenne sie z.B. awork.

  4. In den Details der Application erhältst du Client-ID, Client-Secret, Subdomain. Trage diese in dem awork Konfigurationsfenster ein und schließe die Konfiguration über den Speichern Button ab.

☝️Hinweis:

Wichtig ist hierbei, dass die Login redirect URIs richtig gesetzt werden, da sonst Okta deine Nutzer nicht richtig weiterleiten kann. Zudem muss der Implicit(Hybrid) Flow inklusive ID Token grant type freigeschaltet werden. Der User consent wird nicht benötigt, da awork nur auf den Namen und die E-Mail des Nutzers beim Login zugreift.

Setze in dem Bereich Login in der Okta Application noch folgende URIs

  1. Initiate login URI:

    AWORK_SUBDOMAIN.awork.io/login
  2. Login redirect URIs

    https://app.awork.io/enterprise-login
    https://app.awork.io/api/v1/accounts/authorize-slack
    https://app.awork.io/api/v1/accounts/external/okta
    https://app.awork.io/api/v1/accounts/msteams/authorize
    https://app.awork.io/api/v1/accounts/authorize

Auth0

  1. Gehe ins Menu in den Bereich Applications.

  2. Füge eine neue Application mit dem Typ Regular Web Applications hinzu und nenne sie z.B. awork.

  3. In den Details der Application erhältst du Client-ID, Client-Secret, Subdomain. Trage diese in dem awork Konfigurationsfenster ein und speichere.

  4. Setze folgende URIs in dem Abschnitt Application URIs der Auth0 Konfiguration

    1. Application login url:

      AWORK_SUBDOMAIN.awork.io/login
    2. Allowed callback URIs

      https://app.awork.io/enterprise-login,
      https://app.awork.io/api/v1/accounts/authorize-slack,
      https://app.awork.io/api/v1/accounts/external/auth0,
      https://app.awork.io/api/v1/accounts/msteams/authorize,
      https://app.awork.io/api/v1/accounts/authorize
    3. Allowed web origins:

      AWORK_SUBDOMAIN.awork.io
      app.awork.io

☝️Hinweis: Alle anderen Einstellungen sind standardmäßig schon richtig eingestellt.

OneLogin

  1. Gehe ins Menu in den Bereich Applications.

  2. Füge eine neue Anwendung hinzu, indem du auf den Button Add App oben rechts klickst, und nenne sie z.B. awork.

  3. Wähle OpenID Connect (OIDC) als Typ und setzte den Namen z.B. auf awork und speichere.

  4. Im Bereich SSO der App erhältst du Client-ID und Client-Secret. Die Subdomain findest du in der URL deines OneLogin Accounts: {Subdomain}.onelogin.com. Trage diese Infos in dem awork Konfigurationsfenster ein und speichere.

  5. Folgende URIs müssen im Bereich Configuration freigeschaltet werden, damit die Weiterleitung deiner Mitarbeiter problemlos funktioniert:

    1. Login url:

      AWORK_SUBDOMAIN.awork.io/login
    2. Redirect URIs

      https://app.awork.io/enterprise-login
      https://app.awork.io/api/v1/accounts/authorize-slack
      https://app.awork.io/api/v1/accounts/external/onelogin
      https://app.awork.io/api/v1/accounts/msteams/authorize
      https://app.awork.io/api/v1/accounts/authorize

Azure

  1. Öffne die Azure-AD-Konfiguration unter portal.azure.com

  2. Gehe in den Bereich Azure Dienste und dann Azure Active Directory.

  3. Klicke im Menü im Bereich Verwalten auf App-Registrierungen.

  4. Füge eine neue Registrierung hinzu und nenne sie z.B. awork.

  5. Im Bereich Zertifikate und Geheimnisse der neunen Registrierung kannst du nun eine neue Anwendungs-ID (Client) erstellen, dessen ID (Client-ID) und Wert (Client-Secret) du im awork Konfigurationsfenster eintragen kannst.

  6. Setze in dem Abschnitt Authentifizierung einen Haken bei ID-Token und Zugriffstoken in der Azure-Konfiguration und hinterlege folgende Umleitung URIs für eine Web Platform:

    1. Umleitungs-URIs

      https://app.awork.io/enterprise-login
      https://app.awork.io/api/v1/accounts/authorize-slack
      https://app.awork.io/api/v1/accounts/external/azure
      https://app.awork.io/api/v1/accounts/msteams/authorize
      https://app.awork.io/api/v1/accounts/authorize
  7. Die Subdomain, die du in awork eintragen musst, ist entweder:

GSuite

Um SSO mit GSuite einzurichten, musst du folgender Anleitung folgen:

  1. Gehe zu https://console.cloud.google.com/apis/credentials und wähle zunächst dein Projekt aus, für das du SSO benutzen möchtest

  2. Dann klickst du auf Anmeldedaten erstellen und wählst in der Liste OAuth-Client-ID aus

  3. Wähle als Typ Webanwendung aus

  4. Als Namen kannst du z.B. awork wählen

  5. Bei dem Bereich URIs musst du folgende URIs hinzufügen:

    1. https://app.awork.io/enterprise-login
      https://app.awork.io/api/v1/accounts/authorize-slack
      https://app.awork.io/api/v1/accounts/external/gsuite
      https://app.awork.io/api/v1/accounts/msteams/authorize
      https://app.awork.io/api/v1/accounts/authorize
  6. Danach speicherst du deine Daten über den Button Erstellen

  7. Auf der rechten Seite findest du nun die Client-ID und den Clientschlüssel (Client-Secret), welchen du in awork eintragen musst

Mehr Infos zu SSO mit GSuite findest du hier.

Keycloak

Bitte kontaktiere unseren Support falls du Keycloak SSO einrichten möchtest, da diese Option aktuell noch nicht in der Web-Anwendung verfügbar ist!

Um Keycloak SSO via OpenID Connect einzurichten, musst du folgender Anleitung folgen:

  1. Logge dich in deiner Keycloak Admin Konsole ein

  2. Navigiere zu den Clients

    1. Lade folgende Client Konfigurations-Datei herunter: Keycloak awork Client Konfiguration

    2. Ziehe die Datei in das Ressourcen Feld. Dies importiert alle Einstellungen die du benötigst.

    3. Speichere den neuen Client

  3. Gehe zu den Client Details

    1. Gehe zum Passwörter Tab und kopiere das Client Secret

  4. Gehe zu den Realm-Einstellungen und finde den .well-known/openid-configuration Link am Ende der General Einstellungen mit dem Namen OpenID Endpoint Configuration

    1. Die URL sieht normalerweise so aus: https://{deine-keycloak-url}/realms/master/.well-known/openid-configuration

  5. Kontaktiere unseren Support mit der Client ID, dem Client Secret und der .well-known/openid-configuration URL, damit wir für dich die Integration einrichten können.

☝️ Wichtig: Die .well-known/openid-configuration URL muss 24/7 verfügbar sein um Fehler beim Einloggen mit SSO zu verhindern!

Nach der Einrichtung

War die Konfiguration erfolgreich, ist jetzt der SSO-Sign-in im Login-Bereich verfügbar.

☝️Hinweis: Rechte, User oder Gruppen werden aktuell nicht über den Identity-Provider gesteuert. Lediglich der Login für bestehende User-Accounts wird ermöglicht. Ein User muss deshalb schon in awork vorhanden sein. Ein User-Matching erfolgt über die E-Mail-Adresse des Users.

Andere Login-Möglichkeiten deaktivieren

Ist SSO konfiguriert, besteht die Möglichkeit die anderen Login-Möglichkeiten (E-Mail & Passwort sowie Social-Login via Google & Apple) zu deaktivieren und auszublenden. Die Einstellungen findest du unter Einstellungen > Allgemein.

Das ist nur dann ratsam, wenn keine externen User, die nicht über das Identity-Management verwaltet werden, im Workspace arbeiten.

☝️Hinweis: Falls du die SSO Einstellungen in awork entfernst, wird automatisch das Login mit E-Mail und Passwort wieder aktiviert, damit du dich immer mit deinem Admin Konto einloggen kannst.

Hinweise zum Anmelden via SSO über app.awork.io

Für den Login mittels SSO über die globale Login-Seite app.awork.io, wähle die Option Sign in via SSO.

Hier muss nun zuerst die Subdomain deines Workspace angegeben werden. Nach dem Eintragen wirst du automatisch zu der SSO Login-Maske, oder, falls du hier bereits eingeloggt bist, direkt zu deinem awork Dashboard weitergeleitet.

Hast du die Optionen zum Anmelden via E-Mail & Passwort und/oder Social-Login (Google & Apple) deaktiviert, so werden diese trotzdem auf der globalen Seite angezeigt. Sie werden lediglich unter der spezifischen Workspace-Seite DEINE-WORKSPACE-SUBDOMAIN.awork.io ausgeblendet.

Ein Login wird jedoch auch von der globalen Seite nicht möglich sein.

Anmelden via SSO über DEINE-WORKSPACE-SUBDOMAIN.awork.io

Ist SSO konfiguriert, so gibt es hier nun den weiteren Auswahl-Button Sign in via SSO. Du wirst nun automatisch zu der SSO Login-Maske oder, falls du hier bereits eingeloggt bist, direkt zu deinem awork Dashboard weitergeleitet.

Hat dies Ihre Frage beantwortet?