SSO (Single Sign On)

Mit Single Sign-On (SSO) verbindest du deine Mentortools-Akademie mit deinem bestehenden Benutzerverwaltungssystem — dem sogenannten Identity-Provider.

Zuletzt aktualisiert Vor etwa 19 Stunden

Was ist SSO und wann brauchst du es?

Mit Single Sign-On (SSO) verbindest du deine Mentortools-Akademie mit deinem bestehenden Benutzerverwaltungssystem — dem sogenannten Identity-Provider.

Das ist zum Beispiel dann sinnvoll, wenn du eine eigene Plattform betreibst oder Mitarbeiter deines Unternehmens ausbilden möchtest: Deine Nutzer haben bereits einen Account in deinem Hauptsystem — mit eigenem Benutzernamen und Passwort. Statt in der Akademie einen zweiten Account anlegen zu müssen, melden sie sich einfach mit ihren bestehenden Zugangsdaten ein.

Wichtig: Sobald SSO aktiviert ist, können sich Nutzer in deiner Akademie nicht mehr selbst registrieren und kein eigenes Passwort einrichten. Der Login läuft ausschließlich über dein Hauptsystem. Du steuerst damit zentral, wer Zugang zur Akademie hat.

Diese Anleitung beschreibt die Einrichtung mit OpenID Connect (OIDC).

Voraussetzung: In deinem Identity-Provider (z. B. Keycloak, Auth0, Okta, Microsoft Entra ID) muss bereits eine OIDC-Anwendung/Client angelegt sein. Halte Client-ID, Client-Secret und die Well-known URL bereit.

Schritt 1: SSO-Einstellungen öffnen

Gehe zu Einstellungen → SSO (Single Sign-On).

Schritt 2: Plan prüfen

SSO ist nur in bestimmten Tarifen verfügbar. Wenn der Button „+ Provider hinzufügen" aktiv ist, kannst du direkt weitermachen. Ist er deaktiviert oder erscheint ein Hinweis auf ein Upgrade, musst du zuerst deinen Plan upgraden.

Schritt 3: Identity-Provider hinzufügen

Klicke auf „+ Provider hinzufügen" und wähle OpenID Connect (OIDC) aus dem Dropdown.

Es öffnet sich das Formular „Identity-Provider hinzufügen" mit folgenden Feldern:

	FeldWas du eingibst
Name	Ein lesbarer Anzeigename, z. B. „Firmen-SSO" oder der Name deines Unternehmens
Provider-Typ	OIDC (bereits vorausgewählt)
Externer Origin	Die Domain deiner Website, z. B. `https://meine-firma.de`
Client-ID	Die Client-ID aus deinem Identity-Provider
Client-Secret	Das Client-Secret aus deinem Identity-Provider — vertraulich behandeln!
Well-known URL	Die OIDC-Discovery-URL, z. B. `https://provider-domain/.well-known/openid-configuration`
PKCE aktivieren	Nur aktivieren, wenn dein Identity-Provider PKCE für diesen Client vorschreibt

Schritt 4: Speichern

Klicke auf „Speichern". Der Provider erscheint danach in der Liste der Identity-Provider.

Schritt 5: Provider aktivieren

Aktiviere den Provider in der Liste. Solange kein aktiver Provider konfiguriert ist, kann SSO nicht eingeschaltet werden.

Schritt 6: SSO aktivieren

Schalte den Toggle „SSO aktivieren" ein. In der Zusammenfassung der Login-Richtlinien siehst du dann:

Passwort-Login: Deaktiviert
Registrierung: Deaktiviert
SSO: Aktiviert

Wichtig: Sobald SSO aktiviert ist, können sich Nutzer nicht mehr per Passwort anmelden oder registrieren. Die Anmeldung läuft ausschließlich über deinen Identity-Provider.

Schritt 7: Test-Login durchführen

Teste den Login mit einem Testnutzer aus deinem Identity-Provider. Prüfe, ob der Nutzer korrekt zu deinem Identity-Provider weitergeleitet wird, sich dort anmeldet und anschließend in der Akademie landet.

Häufige Probleme

	ProblemLösung
„+ Provider hinzufügen" ist deaktiviert	Dein aktueller Tarif unterstützt SSO nicht — zuerst upgraden
„SSO aktivieren" bleibt ausgegraut	Mindestens einen Provider hinzufügen und aktivieren
Fehler bei der Well-known URL	URL im Browser öffnen — sie muss ein gültiges JSON-Dokument zurückgeben
Login wird weitergeleitet, schlägt aber fehl	Redirect-URL, Client-ID, Client-Secret und erlaubte Domains im Identity-Provider prüfen
PKCE-Fehler	PKCE-Einstellung an die Konfiguration des Identity-Providers anpassen

Sicherheitshinweise

Das Client-Secret niemals in Screenshots, Tickets oder Chat-Nachrichten teilen
Nur HTTPS-URLs für Origin und Provider verwenden
Die OIDC-Anwendung auf die benötigten Redirect-URLs beschränken