Zum Hauptinhalt springen

SSO/IDP-Konfiguration

Connect Microsoft Entra, Google Workspace, or any OpenID Connect provider so technicians can sign in to Level with existing credentials.

Einführung

Konfigurieren Sie Single Sign-On, damit sich Ihr Team bei Level mit dem bestehenden Identitätsanbieter (IdP) anmelden kann, anstatt ein separates Level-Passwort zu verwenden. Level bietet zwei vorkonfigurierte IdPs (Microsoft Entra und Google Workspace) sowie eine generische OpenID Connect (OIDC)-Option, die mit jedem anderen IdP funktioniert, der das Protokoll unterstützt: Okta, Auth0, JumpCloud, OneLogin, Ping Identity, Keycloak und weitere.

ℹ️ HINWEIS: „IdP" (Identitätsanbieter) ist das System, das Ihre Benutzer authentifiziert. „OIDC" (OpenID Connect) ist das Protokoll, das Level zur Kommunikation mit ihm verwendet. Microsoft Entra und Google Workspace sind beides IdPs, die intern OIDC sprechen; Level konfiguriert sie vor, sodass die Einrichtung per Mausklick erfolgt. Die dritte Zeile mit der Bezeichnung OIDCist die generische Protokolloption für jeden anderen IdP, der OpenID Connect unterstützt.

Dieser Artikel führt durch die Einrichtung je Anbieter, die Umstellung von Benutzern auf SSO nach der Verbindung eines Anbieters sowie das Bearbeiten oder Trennen eines Anbieters.

So funktioniert SSO in Level

Level behandelt jeden Anbieter als organisationsweite Integration. Das Verbinden eines Anbieters ändert die Authentifizierung von niemandem automatisch. Admins verschieben einzelne Techniker von Arbeitsbereich → Team, und alle Benutzer, die nicht umgestellt wurden, melden sich weiterhin mit E-Mail-Adresse und Passwort an.

ℹ️ HINWEIS: Es kann jeweils nur ein SSO-Anbieter konfiguriert werden. Um von einem Anbieter zu einem anderen zu wechseln (z. B. von Entra zu OIDC), trennen Sie zunächst den aktuellen Anbieter und verbinden Sie dann den neuen. Das Trennen setzt alle SSO-Benutzer sofort auf E-Mail/Passwort-Authentifizierung zurück. Planen Sie daher Passwort-Zurücksetzungen für betroffene Benutzer, bevor Sie den Wechsel vornehmen.

SSO Configuration

Die SSO-Identität eines Technikers wird anhand der E-Mail-Adresse abgeglichen. Die E-Mail-Adresse im Level-Konto des Technikers muss mit der vom Identitätsanbieter zurückgegebenen E-Mail-Adresse übereinstimmen. Der Abgleich ist nicht zwischen Groß- und Kleinschreibung unterscheidend, sodass [email protected] und [email protected] denselben Benutzer auflösen. Der lokale Teil (vor dem @) muss ansonsten identisch sein.

💡 TIPP: Behalten Sie mindestens ein Admin-Konto mit E-Mail- und Passwort-Authentifizierung. Wenn Ihr Identitätsanbieter ausfällt, können sich SSO-Benutzer nicht anmelden. Ein lokales Admin-Konto bietet einen Notfallzugang, ohne auf den Anbieter angewiesen zu sein.

Microsoft Entra verbinden

Microsoft Entra (früher Azure AD) verwendet einen Ein-Klick-OAuth-Ablauf. Sie müssen keine Anwendung manuell in Entra registrieren. Die Level-App übernimmt die Registrierung und Autorisierung auf der Microsoft-Seite.

  1. Navigieren Sie zu Einstellungen → Organisation.

  2. Scrollen Sie zum Single Sign-On Abschnitt.

  3. Klicken Sie auf Verbinden neben Microsoft Entra.

  4. Sie werden zu Microsoft weitergeleitet, um sich mit einem Entra-Admin-Konto anzumelden und zuzustimmen, dass Level Benutzerprofil- und E-Mail-Daten lesen darf.

  5. Nach der Zustimmung leitet Microsoft Sie zurück zu Level weiter. Die Microsoft Entra-Zeile zeigt nun einen Verbunden Badge zusammen mit Ihrer Mandanten-ID.

⚠️ WARNUNG: Das Microsoft-Konto, mit dem Sie autorisieren, muss die Berechtigung haben, eine mandantenweite Zustimmung für die Level-Anwendung zu erteilen. Wenn Sie sich mit einem Nicht-Admin-Konto verbinden, schlägt der Zustimmungsbildschirm fehl und die Integration wird nicht abgeschlossen.

Google Workspace verbinden

Google Workspace verwendet dasselbe Ein-Klick-Muster wie Microsoft Entra. Level übernimmt die Anwendungsregistrierung auf der Google-Seite.

  1. Navigieren Sie zu Einstellungen → Organisation.

  2. Scrollen Sie zum Single Sign-On Abschnitt.

  3. Klicken Sie auf Verbinden neben Google Workspace.

  4. Melden Sie sich bei Google mit einem Workspace-Superadmin-Konto an und erteilen Sie die Zustimmung, dass Level Profil- und E-Mail-Daten lesen darf.

  5. Google leitet Sie zurück zu Level weiter. Die Google Workspace-Zeile zeigt nun einen Verbunden Badge.

ℹ️ HINWEIS: Google Workspace SSO funktioniert für alle Benutzer in Ihrer Workspace-Domain. Level gleicht Identitäten per E-Mail-Adresse ab, daher muss die E-Mail-Adresse im Level-Konto jedes Technikers exakt mit seiner Workspace-E-Mail-Adresse übereinstimmen.

Einen benutzerdefinierten OIDC-Anbieter verbinden

Verwenden Sie die OIDC Option für jeden IdP, der OpenID Connect unterstützt: Okta, Auth0, JumpCloud, OneLogin, Ping Identity, Keycloak, AWS Cognito und weitere. Dies ist eine manuelle Einrichtung, da Level keine Anwendung bei jedem IdP vorregistrieren kann.

Der Vorgang besteht aus zwei Teilen: Erstellen Sie eine Anwendung in Ihrem IdP und geben Sie dann deren Anmeldedaten in Level ein.

Schritt 1: Erstellen Sie eine Anwendung in Ihrem Identitätsanbieter

Erstellen Sie in der Admin-Konsole Ihres Anbieters eine neue OpenID Connect-Anwendung. Level verwendet den Implicit Flow mit einem id_token Antworttyp, was bedeutet, dass die Anwendung als browserseitige App konfiguriert werden muss, nicht als serverseitige Web-App.

Verwenden Sie diese Einstellungen:

  • Anwendungstyp: Single Page Application (SPA), manchmal als „browserbasierte App" bezeichnet

  • Berechtigungstyp / Antworttyp: Implicit Flow mit id_token (Auth0 nennt dies „Implicit Grant"; Okta nennt es „Implicit (Hybrid)"; einige neuere Admin-Oberflächen unterteilen es als „Allow Implicit Hybrid")

  • Anmelde-Weiterleitungs-URI: die Rückruf-URL, die Level im OIDC-Konfigurationsdialog bereitstellt (exakte Übereinstimmung, einschließlich Protokoll und Pfad)

  • Token-Signierungsalgorithmus: RS256 (Standard bei fast jedem IdP)

  • Berechtigungsbereiche: openid und email für die Anwendung verfügbar

⚠️ WARNUNG: Viele IdPs deaktivieren den Implicit Flow standardmäßig, da die OAuth-Community ihn als veraltet einstuft. Möglicherweise müssen Sie ihn in Ihren Anwendungseinstellungen explizit aktivieren. Suchen Sie dies in Auth0 unter Erweiterte Einstellungen → Berechtigungstypen. Aktivieren Sie in Okta das Implicit (Hybrid) Berechtigungstyp-Kontrollkästchen der Anwendung. Wenn der Implicit Flow auf der IdP-Seite nicht aktiviert ist, schlägt die Anmelde-Weiterleitung von Level stillschweigend fehl oder gibt einen allgemeinen Fehler zurück.

Speichern Sie die Anwendung und kopieren Sie die resultierende Client-ID und Aussteller-URL (manchmal als „OIDC-Discovery-URL" oder „Domain" bezeichnet). Level verwendet den Implicit Flow, daher gibt es kein Client-Secret zum Kopieren. Sie fügen die Client-ID und die Aussteller-URL als Nächstes in Level ein.

ℹ️ HINWEIS: Jeder Anbieter benennt die Aussteller-URL etwas anders. In Auth0 ist es Ihre Mandanten-Domain (z. B. https://your-tenant.us.auth0.com); Auth0 kann die Aussteller-URL mit einem abschließenden Schrägstrich ausgeben, was Level automatisch behandelt. In Okta hängt die Aussteller-URL vom Mandantentyp ab: Produktivmandanten verwenden https://<your-org>.okta.com, und Entwicklerkonten verwenden https://dev-<id>.okta.com. In JumpCloud erscheint die Aussteller-URL auf der Detailseite der SSO-Anwendung.

OIDC Callback

Schritt 2: OIDC in Level konfigurieren

💡 TIPP: Wenn Sie nicht sicher sind, wie die Aussteller-URL lauten soll, prüfen Sie das OIDC-Discovery-Dokument Ihres Anbieters. Es wird normalerweise unter https://<your-domain>/.well-known/openid-configuration. Das issuer Feld in diesem Dokument ist das, was Level im Aussteller-URL Feld.

  1. Navigieren Sie zu Einstellungen → Organisation.

  2. Scrollen Sie zum Single Sign-On Abschnitt.

  3. Klicken Sie auf Verbinden neben OIDC.

  4. Geben Sie im OIDC-Konfigurationsdialog Folgendes ein:

  5. Klicken Sie auf Speichern um die Konfiguration zu validieren. Level führt eine OIDC-Discovery gegen die Aussteller-URL durch, um zu bestätigen, dass die Verbindung funktioniert.

  6. Nach der Validierung zeigt die OIDC-Zeile einen Verbunden Badge und zeigt die Aussteller-URL unterhalb der OIDC-Bezeichnung an.

Anbieterspezifische Hinweise

Die OIDC-Integration funktioniert mit jedem standardkonformen Anbieter, der den Implicit Flow unterstützt. Im Folgenden ist dargestellt, wie die gängigen Feldbezeichnungen zugeordnet werden:

  • Okta: Anwendungstyp „Single-Page App". Berechtigungstyp „Implicit (Hybrid)" mit id_token Antworttyp. Aussteller-URL ist https://<your-org>.okta.com für Produktivmandanten oder https://dev-<id>.okta.com für kostenlose Entwicklerkonten.

  • Auth0: Anwendungstyp „Single Page Application". Unter Erweiterte Einstellungen → Berechtigungstypen, aktivieren Sie Implicit. Aussteller-URL ist https://<your-tenant>.<region>.auth0.com. Fügen Sie die Level-Rückruf-URL zu Erlaubte Rückruf-URLs. Auth0 kann die Aussteller-URL mit einem abschließenden Schrägstrich ausgeben; Level verarbeitet beide Formen.

  • JumpCloud: Erstellen Sie eine OIDC-SSO-Anwendung, die für den Implicit Flow konfiguriert ist. Die Aussteller-URL erscheint nach der Erstellung auf der Detailseite der SSO-Anwendung.

  • Keycloak: Erstellen Sie einen Client mit dem Zugriffstyp „public" (nicht vertraulich, da der Implicit Flow kein Client-Secret verwendet). Aktivieren Sie Implicit Flow aktiviert in den Client-Einstellungen. Aussteller-URL ist https://<keycloak-host>/realms/<realm>.

ℹ️ HINWEIS: Level unterstützt jeweils nur eine benutzerdefinierte OIDC-Verbindung. Wenn Sie von einem OIDC-IdP zu einem anderen wechseln müssen (z. B. von Auth0 zu Okta), trennen Sie zunächst die Verbindung und stellen Sie sie dann mit der neuen Aussteller-URL und den neuen Anmeldedaten wieder her.

Benutzer auf SSO umstellen

⚠️ WARNUNG: Beim Umstellen eines Benutzers auf SSO wird sein bestehendes Level-Passwort gelöscht. Wenn Sie ihn später wieder auf E-Mail- und Passwort-Authentifizierung umstellen, muss er sein Passwort zurücksetzen, bevor er sich anmelden kann.

Das Verbinden eines Anbieters verschiebt niemanden automatisch zu SSO. Um einen Techniker umzustellen:

  1. Gehen Sie zu Arbeitsbereich → Team.

  2. Suchen Sie die Zeile des Technikers und öffnen Sie das Drei-Punkte-Menü.

  3. Wählen Sie Zu SSO wechseln.

Die Umstellung erfolgt sofort. Die Authentifizierung Spalte wird aktualisiert und zeigt die neue Authentifizierungsmethode an. Bei der nächsten Anmeldung wird der Techniker zum verbundenen SSO-Anbieter weitergeleitet, anstatt die Level-Passwortabfrage zu sehen.

ℹ️ HINWEIS: Bestehende 2FA-Einstellungen in einem Level-Konto werden umgangen, sobald der Benutzer SSO verwendet. Der Identitätsanbieter übernimmt ab diesem Zeitpunkt die Authentifizierung und jede MFA-Durchsetzung.

Den vollständigen Arbeitsbereich-Team-Workflow finden Sie unter Arbeitsbereich Team.

Eine OIDC-Verbindung bearbeiten

OIDC ist der einzige Anbieter mit bearbeitbaren Einstellungen. Entra und Google Workspace werden vollständig über die OAuth-Zustimmung verwaltet, daher gibt es auf der Level-Seite nichts zu bearbeiten. Wenn sich Ihre OIDC-Aussteller-URL ändert oder Sie Level auf eine andere Anwendung verweisen müssen:

  1. Navigieren Sie zu Einstellungen → Organisation.

  2. Im Single Sign-On Abschnitt, klicken Sie auf Bearbeiten in der OIDC-Zeile.

  3. Aktualisieren Sie die Aussteller-URL oder Client-ID.

  4. Klicken Sie auf Speichern. Level validiert die OIDC-Discovery erneut anhand der neuen Werte.

⚠️ WARNUNG: Das Speichern ungültiger Werte unterbricht SSO für alle Benutzer dieses Anbieters, bis Sie die Werte korrigieren. Testen Sie die Anmeldung aus einem Inkognito-Fenster, bevor Sie sich auf eine neue Konfiguration verlassen.

Einen Anbieter trennen

Das Trennen entfernt die Anbieter-Integration und verhindert, dass sich Benutzer, denen der Anbieter zugewiesen ist, über SSO anmelden können.

  1. Navigieren Sie zu Einstellungen → Organisation.

  2. Im Single Sign-On Abschnitt, klicken Sie auf Trennen in der Anbieterzeile.

  3. Bestätigen Sie die Aktion.

⚠️ WARNUNG: Das Trennen eines Anbieters setzt alle SSO-Benutzer sofort auf E-Mail- und Passwort-Authentifizierung zurück und löscht deren SSO-Verknüpfung. Da beim Wechsel zu SSO das Level-Passwort des Benutzers gelöscht wird, können sich diese Benutzer erst nach einer Passwort-Zurücksetzung (über den „Passwort vergessen"-Ablauf oder eine vom Admin gesendete Einladung) anmelden. Planen Sie die Wiederherstellung, bevor Sie die Verbindung trennen.

Häufig gestellte Fragen

  • Kann ich verlangen, dass alle Techniker SSO verwenden? Nicht mit einem einzigen Schalter. Stellen Sie Benutzer nach dem Verbinden eines Anbieters einzeln von Arbeitsbereich → Team. Es gibt noch keine Option „SSO für alle erzwingen".

  • Kann ich mehr als einen SSO-Anbieter gleichzeitig verbinden? Nein. Es kann jeweils nur ein Anbieter konfiguriert werden. Um den Anbieter zu wechseln (z. B. von Microsoft Entra zu OIDC), trennen Sie zunächst den aktuellen und verbinden Sie dann den neuen. Das Trennen setzt alle aktuellen SSO-Benutzer auf E-Mail/Passwort-Authentifizierung zurück. Planen Sie daher Passwort-Zurücksetzungen für betroffene Benutzer, bevor Sie den Wechsel vornehmen.

  • Was passiert mit den 2FA-Einstellungen eines Technikers, wenn ich ihn auf SSO umstelle? Die Level-seitige 2FA wird bei der SSO-Anmeldung umgangen. Ab diesem Zeitpunkt wird MFA durch den Identitätsanbieter durchgesetzt (oder nicht, wenn der Anbieter keine MFA erzwingt).

  • Was passiert mit dem Level-Passwort eines Benutzers, wenn ich ihn auf SSO umstelle? Es wird gelöscht. Wenn Sie den Benutzer später wieder auf E-Mail-basierte Authentifizierung umstellen, ist eine Passwort-Zurücksetzung erforderlich, bevor er sich anmelden kann. Das vorherige Passwort kann nicht wiederhergestellt werden.

  • Mein Anbieter ist nicht aufgeführt. Kann ich SSO trotzdem verwenden? Wenn er OpenID Connect mit Implicit Flow unterstützt, ja. Verwenden Sie die OIDC Option mit der Aussteller-URL und der Client-ID Ihres Anbieters. Reine SAML-Anbieter werden derzeit nicht unterstützt.

  • Ich habe OIDC konfiguriert und die Weiterleitung erfolgt, aber die Anmeldung schlägt stillschweigend fehl oder zeigt einen allgemeinen Fehler. Was ist falsch? Bedeutet fast immer, dass Ihre IdP-Anwendung als Web-Anwendung (Authorization Code Flow) statt als Single Page Application (Implicit Flow) konfiguriert ist. Level verwendet den Implicit Flow mit einem id_token Antworttyp. Konfigurieren Sie die IdP-Anwendung als SPA mit aktiviertem Implicit Flow neu, speichern Sie und versuchen Sie erneut, sich anzumelden.

  • Ich erhalte beim Speichern der OIDC-Konfiguration „ungültiger Aussteller" oder „OIDC-Discovery fehlgeschlagen". Was ist falsch? Die Aussteller-URL muss exakt mit dem OIDC-Aussteller übereinstimmen, wie er im Discovery-Dokument erscheint (das issuer Feld in /.well-known/openid-configuration). Häufige Fehler: http statt https, fehlender Realm-Pfad bei Keycloak oder das Einfügen der Discovery-URL (.../.well-known/openid-configuration) statt der Aussteller-URL.

  • Wer kann SSO einrichten oder trennen? Nur Techniker mit der Administrator-Rolle können SSO-Anbieter konfigurieren. Andere Rollen sehen den Single Sign-On Abschnitt, kann aber keine Verbindung herstellen, bearbeiten oder trennen.

  • Erstellt Level automatisch Benutzer, wenn sie sich zum ersten Mal über SSO anmelden? Nein. Just-in-time (JIT)-Bereitstellung wird nicht unterstützt, daher muss jeder Techniker in Arbeitsbereich → Team zuerst. Sie können sie beim Einladen als SSO markieren oder sie als E-Mail/Passwort-Benutzer einladen und später umstellen.

Verwandte Artikel
Organisationseinstellungen
Hat dies deine Frage beantwortet?