Zu Content springen
Deutsch
zum Kundenportal Anmelden
Zum Kundenportal
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

🔐 Single Sign‑On & Provisioning: SAML, OAuth/OIDC und SCIM

In diesem Artikel wird erklärt, wie Sie Single Sign‑On (SSO) mit SAML oder OAuth / OIDC einrichten und wie SCIM für die automatisierte Benutzerbereitstellung integriert werden kann. Ziel ist, dass technische Teams und Kunden dieselben Voraussetzungen verstehen und korrekt konfigurieren.

🔍 Inhaltsübersicht

  • Überblick: SAML vs. OAuth/OIDC vs. SCIM
  • Voraussetzungen & Terminologie
  • SSO mit SAML einrichten
  • SSO mit OAuth / OIDC einrichten
  • SCIM (User Provisioning) konfigurieren
  • Fehlerquellen & Hinweise
  • FAQ

 

ℹ️ Hinweis: Für bestimmte Schritte (z. B. SCIM Secret Token, technische Freischaltungen) ist ein Austausch mit dem ValueStreamer Support erforderlich:

👉 Help Desk Portal – Ticket erstellen
📧 Alternativ: support@valuestreamer.de

Überblick: SAML vs. OAuth / OIDC vs. SCIM

Technologie Zweck Vorteil / Anwendungsfall
SAML SSO (Authentifizierung, Login) Enterprise-Standard mit breiter IdP-Unterstützung
OAuth / OIDC Authentifizierung/Autorisierung (moderne Apps) Mobilfreundlich, API-geeignet
SCIM Benutzer-Provisionierung (automatisiert) Synchronisiert Nutzerkonten direkt aus dem IdP

ℹ️ Hinweis: OAuth benötigt OIDC, um Identitätsinformationen wie E-Mail und Name zu liefern.

Voraussetzungen & Terminologie

Begriffe und Komponenten, die Sie kennen sollten:

  • IdP: Identity Provider (z. B. Azure AD, Auth0)

  • SP: Service Provider (hier: ValueStreamer)

  • Entity ID / Issuer: eindeutige Kennung eines Systems

  • ACS (SAML): Ziel-URL für die Authentifizierungsantwort

  • Redirect URI (OAuth/OIDC): URL zur Rückleitung nach Login

  • Provisioning Endpoint (SCIM): API-Zugang für Benutzer-Synchronisierung

Tipp: Dokumentieren Sie alle URLs, Secrets und Mappings zentral im Projekt- oder Kundendokument.

🛠️ SSO mit SAML einrichten

  1. SP-URL bereitstellen
    Der Kunde muss diese URL in seinem IdP registrieren:

     
    https://api-<tenant>.valuestreamer.de/saml/SSO

    ⚠️ Achtung: Diese URL muss exakt stimmen. Kleinste Abweichungen (z. B. fehlendes Slash) führen zu Fehlern.

  2. SP Entity ID bekanntgeben
    Wird für die Konfiguration im IdP benötigt.

  3. IdP-Metadaten vom Kunden anfordern
    Z. B. Azure "App-Verbundmetadaten-URL"

  4. In ValueStreamer konfigurieren:

    • IdP-Metadata URL importieren

    • Attribute mappen: NameID, E-Mail, Vorname, Nachname

  5. Login testen und Logs prüfen

    Tipp: Verwenden Sie einen Test-User, bevor Sie SSO für alle Nutzer aktivieren.

🛠️ SSO mit OAuth / OIDC einrichten

Beispiel: Azure Active Directory

  1. App in Azure registrieren

    • Portal: Azure AD → App-Registrierungen → Neu

    • Redirect URI: https://<company>.valuestreamer.de

    • Ergebnis: Client ID, Tenant ID, Secret

  2. Berechtigungen (Scopes) definieren

    • openid, profile, email

  3. In ValueStreamer konfigurieren:

    • Auth-URL: https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize

    • Token-URL, Client ID, Client Secret, Scopes

⚠️ Achtung: Achten Sie auf genaue Übereinstimmung bei Redirect URIs. Ein Fehler führt zur Ablehnung durch den IdP.

Beispiel: Auth0

  • Auth0 Domain, Client ID, Callback URLs im Dashboard pflegen

  • Frontend-URL: https://<company>.valuestreamer.de

  • Konfiguration analog zu Azure

🛠️ SCIM (User Provisioning) konfigurieren

  1. Enterprise Application in Azure Entra ID

    • Bestehende App für ValueStreamer verwenden oder neu erstellen

  2. Provisioning aktivieren

    • Tenant URL: https://api-<tenant>.valuestreamer.de/scim/v2/

    • Secret Token von ValueStreamer anfordern

    • Verbindung testen

    📸 Screenshot: Erfolgreiche Testverbindung (grüne Statusmeldung)

  3. Attribut-Mapping konfigurieren

    • Benutzer: objectId → externalId, mail, givenName, surname

    • Gruppen: Deaktivieren (Create/Update/Delete ausschalten)

     

    ⚠️ Achtung: Entfernen Sie nicht definierte Attribute. Zusätzliche Felder führen zu Fehlern beim Sync.

    📸 Screenshot: Benutzer-Mapping – nur definierte Felder verwenden 📸 Screenshot: Gruppen-Mapping deaktivieren

  4. Test-Synchronisierung durchführen

    • Testuser in Azure anlegen

    • Provisioning starten und Protokoll prüfen

Fehlerquellen & Hinweise

⚠️ Fehlende Attribut-Mappings: z. B. kein externalId definiert
⚠️ Falsche URLs (Redirect / ACS): Führen zu Abbrüchen
⚠️ Nicht unterstützte SCIM-Felder: Zusätzliche Attribute entfernen
⚠️ Token expired / falsch: Provisioning schlägt fehl
Tipp: Zeitabgleich (Uhrzeit) zwischen Systemen prüfen

❓ FAQ

Wie unterscheidet sich OAuth von OIDC?
OIDC ist eine Identitätsschicht für OAuth, die Login-Informationen liefert (z. B. E-Mail, Name).

Kann ich mehrere SSO-Methoden parallel konfigurieren?
Ja, z. B. SAML für interne Nutzer, OAuth/OIDC für externe Apps.

Werden Gruppen via SCIM synchronisiert?
ValueStreamer unterstützt keine Gruppen. Gruppen-Provisioning muss deaktiviert werden.

Was passiert bei Benutzerlöschung im IdP?
Bei aktivem SCIM wird der Benutzer auch in ValueStreamer entfernt oder deaktiviert.

Wie oft synchronisiert Azure Entra ID?
Standardintervall liegt bei ca. 40 Minuten.