Single Sign-on (SSO)

Was ist Single Sign-On?

Single Sign-On (SSO) ermöglicht es Nutzern, sich mit ihrem bestehenden Organisations-Account bei Lukify anzumelden, anstatt ein separates Passwort zu erstellen. Wenn deine Organisation beispielsweise Microsoft 365 oder Google Workspace nutzt, können sich alle Mitglieder mit genau diesen Zugangsdaten bei Lukify einloggen.

Vorteile:

• Kein zusätzliches Passwort für Nutzer
• Zentrale Benutzerverwaltung durch den IT-Administrator
• Automatisches Entfernen des Zugangs, wenn ein Nutzer die Organisation verlässt
• Erhöhte Sicherheit durch die Authentifizierung des Identity Providers

SSO in Lukify aktivieren

Die SSO-Konfiguration findest du in den Einstellungen der Kontaktverwaltung deines Teams. Dort kannst du einen Identity Provider verbinden.

Unterstützte Identity Provider

Lukify unterstützt alle gängigen OIDC-kompatiblen Identity Provider:

• Microsoft Entra ID
• Google Workspace
• Okta
• OneLogin
• Andere OIDC-kompatible Anbieter

Konfiguration in Lukify

Für die Einrichtung benötigst du folgende Informationen von deinem Identity Provider:

Callback URL für alle Provider:
Bitte beachte das "/" am Ende der URL.

https://lukify.app/auth/

Verifizieren

Nach dem einrichten der Konfiguration, musst du diese verifizieren. Hierfür musst du dich einmalig mit einem beliebigen Account über deine Organisation anmelden.

Anleitung: Microsoft Entra ID

1. App registrieren

1. Öffne das Azure Portal und melde dich mit einem Administrator-Account an
2. Navigiere zu Microsoft Entra ID
3. Wähle im linken Menü App-Registrierungen
4. Klicke auf Neue Registrierung

2. Anwendung konfigurieren

1. Name: Gib einen Namen ein, z.B. "Lukify SSO"
2. Unterstützte Kontotypen: Wähle "Nur Konten in diesem Organisationsverzeichnis"
3. Umleitungs-URI: Plattform: Web (wichtig!), URI: https://lukify.app/auth/
4. Klicke auf Registrieren

3. Client Secret erstellen

1. Öffne die neu erstellte App-Registrierung
2. Navigiere zu Zertifikate & Geheimnisse
3. Klicke auf Neuer geheimer Clientschlüssel
4. Wähle eine Beschreibung und Gültigkeitsdauer
5. Klicke auf Hinzufügen
6. Wichtig: Kopiere den Wert des Secrets sofort – er wird nur einmal angezeigt!

4. Werte für Lukify notieren

Auf der Übersichtsseite der App-Registrierung findest du:

• Anwendungs-ID (Client-ID): Die Client ID
• Verzeichnis-ID (Mandanten-ID): Die Tenant ID

Anleitung: Google Workspace

1. Projekt erstellen

1. Öffne die Google Cloud Console
2. Erstelle ein neues Projekt oder wähle ein bestehendes aus
3. Aktiviere die Google+ API (falls noch nicht geschehen)

2. OAuth-Zustimmungsbildschirm konfigurieren

1. Navigiere zu APIs & Dienste → OAuth-Zustimmungsbildschirm
2. Wähle Intern als Nutzertyp (für Workspace-Nutzer)
3. Fülle die erforderlichen Felder aus (App-Name, Support-E-Mail)
4. Speichere die Konfiguration

3. OAuth-Client erstellen

1. Navigiere zu APIs & Dienste → Anmeldedaten
2. Klicke auf Anmeldedaten erstellen → OAuth-Client-ID
3. Anwendungstyp: Webanwendung
4. Name: z.B. "Lukify SSO"
5. Autorisierte Weiterleitungs-URIs: https://lukify.app/auth/
6. Klicke auf Erstellen

4. Werte für Lukify notieren

Nach dem Erstellen werden dir angezeigt:

• Client-ID
• Clientschlüssel (Client Secret)

Die Issuer URL für Google Workspace ist:

https://accounts.google.com

Anleitung: Okta

1. App-Integration erstellen

1. Melde dich in der Okta Admin Console an
2. Navigiere zu Applications → Applications
3. Klicke auf Create App Integration
4. Wähle OIDC - OpenID Connect als Sign-in method
5. Wähle Web Application als Application type
6. Klicke auf Next

2. Anwendung konfigurieren

1. App integration name: z.B. "Lukify"
2. Sign-in redirect URIs: https://lukify.app/auth/
3. Assignments: Wähle aus, welche Nutzer Zugriff haben sollen
4. Klicke auf Save

3. Werte für Lukify notieren

Auf dem General-Tab findest du:

• Client ID
• Client Secret (klicke auf "Edit" um es anzuzeigen)

Die Issuer URL hat das Format:

https://dein-unternehmen.okta.com

Anleitung: OneLogin

1. App hinzufügen

1. Melde dich in der OneLogin Admin Console an
2. Navigiere zu Applications → Applications
3. Klicke auf Add App
4. Suche nach "OpenId Connect" und wähle OpenId Connect (OIDC)
5. Gib einen Namen ein, z.B. "Lukify"
6. Klicke auf Save

2. Konfiguration

1. Navigiere zum Configuration-Tab
2. Login URL: https://lukify.app
3. Redirect URI's: https://lukify.app/auth/
4. Klicke auf Save

3. Werte für Lukify notieren

Navigiere zum SSO-Tab, dort findest du:

• Client ID
• Client Secret
• Issuer URL (hat das Format https://dein-unternehmen.onelogin.com/oidc/2)

Anleitung: Benutzerdefinierter OIDC-Provider

Für andere OIDC-kompatible Provider benötigst du zusätzlich die Issuer URL. Diese findest du in der Regel in der Dokumentation deines Providers oder unter dem Well-Known-Endpoint:

https://dein-provider.example.com/.well-known/openid-configuration

Die meisten Provider stellen diese Werte bereit:

• Client ID
• Client Secret
• Issuer URL (auch "Authorization Server URL" oder "OpenID Connect URL" genannt)

Als Callback/Redirect URI gibst du immer an:

https://lukify.app/auth/

Einschränkungen für SSO-Nutzer

Wenn sich ein Nutzer über SSO bei Lukify anmeldet, gelten folgende Einschränkungen:

Diese Einschränkungen existieren, da die Benutzerverwaltung zentral über den Identity Provider der Organisation erfolgt. Der Nutzer wird über seinen Organisations-Account verwaltet.

Häufige Fragen

Was passiert, wenn ein Nutzer die Organisation verlässt?
Sobald der Account beim Identity Provider deaktiviert oder gelöscht wird, kann sich der Nutzer nicht mehr bei Lukify anmelden.

Können bestehende Lukify-Nutzer auf SSO umgestellt werden?
Nein, nur neue Nutzer die sich nach der erfolgreichen Konfiguration anmelden, werden mit deiner Organisation verbunden.

Support

Bei Fragen zur SSO-Einrichtung wende dich an unser Support-Team oder konsultiere die Dokumentation deines Identity Providers.