Definition
Single Sign-On (SSO) ist ein Login-System, das es Nutzer:innen ermöglicht, mit nur einem Satz von Zugangsdaten (z. B. ein Benutzername und ein Passwort) auf mehrere Anwendungen oder Dienste zuzugreifen.
Man meldet sich einmal mit dem Firmenkonto an und erhält danach Zugriff auf:
E-Mail (z. B. Outlook, Gmail)
Dateispeicher (z. B. Google Drive oder OneDrive)
Projekttools (z. B. Prewave, Jira, Slack)
ohne sich bei jedem Dienst erneut anmelden zu müssen.
Vorteile
Schnellere Anmeldung
Weniger Passwörter zu merken
Bessere Sicherheit durch zentrale Zugriffskontrolle (IT verwaltet alles an einem Ort)
Ablauf
Wir tauschen die Metadata-XML (als Datei oder URL) aus, damit beide Seiten die benötigten Informationen haben.
Wir erstellen eine Registrierungs-ID für Ihre Kundennummer und speichern diese in unserer Datenbank. Dabei wird auch unsere eigene Metadata erzeugt.
Wir senden Ihnen unsere Metadata-XML-Datei und erhalten im Gegenzug Ihre. In der Regel benötigen wir zunächst Ihre Datei, um unsere zu generieren.
Wir importieren Ihre Metadata in unseren SAML-Dienst, und Sie importieren unsere in Ihren.
Sie testen den Login.
Wir deaktivieren die Passwort-Anmeldung für Ihre Organisation.
SSO-Informationen für Ihre IT-Abteilung:
Prewaves SSO-Lösung basiert auf SAMLv2.
Sie dient ausschließlich der Authentifizierung (ersetzt das Passwort). Benutzerkonten müssen separat durch das Customer Success Team oder über die Benutzerverwaltung innerhalb von Prewave erstellt werden.
SSO kann nur organisationsweit aktiviert werden - nicht für einzelne Benutzer:innen.
Deaktivierte Funktionen für SSO-Nutzer:innen:
Passwort zurücksetzen (Funktion „Passwort vergessen“)
Anmeldung mit Passwort (Umgehung von SSO)
Benutzerrollen können nicht über SSO verändert werden – Rollen- und Berechtigungseinstellungen werden weiterhin durch Prewave verwaltet (entweder durch das Customer Success Team oder die Benutzerverwaltung in der Anwendung).
Aktuell unterstützen wir nur E-Mail-Adressen als “NameID”-Format.
SAML-Identifier:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressPrewave stellt eine SAML-Metadata-XML-Spezifikation bereit und benötigt eine entsprechende Datei oder eine URL (bevorzugt) vom Kunden.
Beispiel für eine solche Spezifikationsdatei:
https://docs.oracle.com/cd/E19636-01/819-7664/6n9ji525r/index.html
Alle Informationen zu EntityID, Claims, Formaten etc. sind in der XML enthalten.
Bitte verwenden Sie die entsprechende Importfunktion Ihres SSO-Systems.
(Getestet mit Azure AD, ADFS on premise, Keycloak, Okta.)Manche Implementierungen (z. B. Azure Entra ID) benötigen eine “Sign-on URL”. Diese lautet:
https://www.prewave.com/login
Im ersten Schritt testen wir die SSO-Integration in unserer Staging-Umgebung.
Dazu benötigen wir Ihre XML-Datei mit SAML-Metadata, um den Initialprozess zu starten.
Bitte wenden Sie sich an Ihre:n zuständige:n Customer Success Manager:in, wenn Sie SSO implementieren möchten.
Häufig gestellte Fragen (FAQ)
Unterstützen Sie andere SSO-Protokolle außer SAML2?
Unterstützen Sie andere SSO-Protokolle außer SAML2?
Derzeit unterstützt Prewave ausschließlich SAML 2.0. Die Unterstützung weiterer Protokolle (z. B. OpenID Connect oder OAuth 2.0) könnte in Zukunft je nach Nachfrage in Betracht gezogen werden.
Können wir SSO vor dem Live-Gang testen?
Können wir SSO vor dem Live-Gang testen?
Ja. Wir testen die SSO-Integration zunächst in unserer Staging-Umgebung, unter Verwendung Ihrer SAML-Metadata, bevor sie in der Produktionsumgebung aktiviert wird.
Kann SSO nur für bestimmte Benutzer:innen aktiviert werden?
Kann SSO nur für bestimmte Benutzer:innen aktiviert werden?
Nein. SSO muss für die gesamte Organisation aktiviert werden. Ein teilweiser Rollout wird derzeit nicht unterstützt.
Was passiert, wenn unsere Benutzer:innen ihr Firmenpasswort vergessen?
Was passiert, wenn unsere Benutzer:innen ihr Firmenpasswort vergessen?
Da SSO die Prewave Passwörter ersetzt, müssen Benutzer:innen den internen IT-Prozess zur Passwortwiederherstellung bei Ihrem Identitätsanbieter (z. B. Azure AD, Okta) nutzen.
Können Benutzer:innen sich weiterhin mit einem Prewave Passwort anmelden, nachdem SSO aktiviert wurde?
Können Benutzer:innen sich weiterhin mit einem Prewave Passwort anmelden, nachdem SSO aktiviert wurde?
Nein. Nach der Aktivierung von SSO wird die Passwort-Anmeldung für alle Benutzer:innen deaktiviert. Die Anmeldung erfolgt ausschließlich über den SSO-Zugang Ihrer Organisation.
Können wir SSO zur Konto-Erstellung (Provisioning) nutzen?
Können wir SSO zur Konto-Erstellung (Provisioning) nutzen?
Nein. SSO dient ausschließlich der Authentifizierung. Benutzerkonten müssen weiterhin entweder vom Customer Success Team oder über die Benutzerverwaltungsfunktionen in der Anwendung erstellt werden.
Unterstützen Sie Just-In-Time (JIT) Provisioning?
Unterstützen Sie Just-In-Time (JIT) Provisioning?
Aktuell unterstützt Prewave kein Just-In-Time (JIT) Provisioning. Alle Benutzer:innen müssen vorab im System angelegt werden.
Was passiert, wenn unser SSO-Anbieter nicht verfügbar ist?
Was passiert, wenn unser SSO-Anbieter nicht verfügbar ist?
Wenn Ihr Identitätsanbieter ausfällt, können sich Benutzer:innen nicht anmelden. Wir empfehlen eine hohe Verfügbarkeit Ihres IdP sicherzustellen und einen internen Notfallplan zu definieren.