Enterprise SSO (Single Sign-On)
Mit Single Sign-On (SSO) meldet sich dein Team zentral über euren eigenen Identity Provider (IdP) an – ohne separate Passwörter. LIVCK unterstützt jeden standardkonformen OpenID-Connect-(OIDC)-Anbieter, z.B.:
- Microsoft Entra ID (Azure AD)
- Okta
- Keycloak
- Google Workspace
- und weitere OIDC-Provider
Enterprise-Feature
SSO wird pro Organisation freigeschaltet. Wende dich an unser Team – danach erscheint der Menüpunkt SSO in deinen Organisationseinstellungen.
Vorteile
- Ein Login für alles – gewohnte Unternehmens-Zugangsdaten.
- Zentrale Kontrolle – wer im IdP deaktiviert wird, verliert auch den LIVCK-Zugang.
- Automatische Rollen – IdP-Gruppen werden auf LIVCK-Rollen abgebildet.
- Weniger Passwörter – keine separaten LIVCK-Passwörter mehr nötig.
SSO einrichten
Die Einrichtung findest du unter Einstellungen → Organisation → SSO (erfordert die Berechtigung SSO verwalten).
1. Verbindung anlegen
Lege eine neue SSO-Verbindung an und hinterlege die Daten deines IdP:
- Issuer-URL (die OIDC-Discovery-Adresse)
- Client-ID und Client-Secret (aus der App-Registrierung im IdP)
Die passende Redirect-/Callback-URL für deinen IdP zeigt LIVCK bei der Einrichtung an.
2. Domain verifizieren
Damit nur du Anmeldungen für deine Domain einrichten kannst, weist du den Besitz deiner E-Mail-Domain nach (z.B. deinefirma.de):
- Füge deine Domain hinzu.
- Hinterlege den angezeigten TXT-Eintrag im DNS deiner Domain.
- Klicke auf Verifizieren.
Verifizierte Domains werden regelmäßig erneut geprüft – bleibt der TXT-Eintrag bestehen, ist nichts weiter zu tun.
3. Gruppen auf Rollen abbilden
Lege fest, welche IdP-Gruppe welche LIVCK-Rolle erhält. Bei der Anmeldung weist LIVCK dem Nutzer automatisch die passenden Rollen zu. Ändert sich seine Gruppe im IdP, passt sich die Rolle bei der nächsten Anmeldung an.
4. Testen
Vor dem Scharfschalten kannst du die Verbindung testen:
- ein Test-/Dry-Run, der die Konfiguration ohne Änderungen prüft
- ein Test-Login, um den kompletten Anmeldefluss durchzuspielen
5. Aktivieren
Ist alles geprüft, aktivierst du die Verbindung. Du kannst sie jederzeit wieder deaktivieren.
So melden sich deine Mitarbeiter an
LIVCK nutzt eine Identifier-First-Anmeldung: Der Nutzer gibt zuerst seine E-Mail-Adresse ein. Gehört die Domain zu einer aktiven SSO-Verbindung, wird er zu eurem IdP weitergeleitet und nach erfolgreicher Anmeldung zurückgebracht. Existiert noch kein Konto, wird es beim ersten Login automatisch angelegt (Just-in-Time-Provisioning).
Anmelde-Pflicht (Enforcement)
Optional kannst du SSO verpflichtend machen. Dann gilt für Mitglieder:
- Anmeldung nur noch über SSO – kein Passwort-Login
- keine selbst verwalteten Anmelde-Einstellungen (diese steuert euer IdP)
Owner als Notzugang
Der Owner behält bewusst einen Notzugang (Break-Glass) per Passwort, falls der IdP einmal nicht erreichbar ist.
Weiterführende Themen
- Rollen & Berechtigungen – Ziel der Gruppen-Zuordnung
- Mitglieder – Wer gehört zur Organisation
- Anmelden mit Google, GitHub & Discord – Social Login für Einzelpersonen