Single Sign-On (SSO) mit SAML 2.0 ermöglicht es deinen Nutzer, sich mit ihrem bestehenden Identity Provider (IdP) bei deskbird anzumelden. Unten findest du Schnellstart-Optionen für Okta und Keycloak sowie eine vollständige Anleitung zur Föderationseinrichtung (SP-initiierte SSO).
- SAML mit Okta
- SAML mit Keycloak
- Einrichtung der SAML 2.0-Federation
- Erneuerung des SAML-Zertifikats
- Wann SAML, wann OAuth / OIDC?
1. SAML mit Okta
Nutze unsere Okta-Anleitung, um eine Okta-SAML-App zu konfigurieren, die benötigten Attribute zuzuordnen und SP-initiierte SSO zu deskbird zu testen. Enthält Screenshots, Attributzuordnungen und Troubleshooting-Tipps.
👉 Schritt für Schritt: SAML-SSO mit Okta konfigurieren
2. SAML mit Keycloak
Du verwendest lieber Keycloak? Folge der Keycloak-Anleitung, um SSO zu deskbird einzurichten.
👉 Schritt für Schritt: SAML-SSO mit Keycloak konfigurieren
3. Einrichtung der SAML 2.0-Federation
SAML 2.0 (Security Assertion Markup Language) ist ein XML-basiertes Protokoll zum sicheren Austausch von Authentifizierungs-/Autorisierungsdaten zwischen einem Identity Provider (IdP) und einem Service Provider (SP). deskbird unterstützt SP-initiierte SSO (die Anmeldung muss von deskbird aus gestartet werden).
Möchtest du in deinem IAM-Launcher (z. B. OneLogin, JumpCloud) eine anklickbare Kachel für Nutzer:innen bereitstellen, füge eine Bookmark-Applikation hinzu, die den SP-initiierten Flow in deskbird startet:https://app.deskbird.com/saml?providerName={saml-provider-ID}
Die SAML-Provider-ID folgt dem Schema saml.{company-name}. Beispiel für „Polaroid": https://app.deskbird.com/saml?providerName=saml.polaroid.
Lege in deinem IdP zusätzlich eine separate, versteckte Föderations-Applikation für die eigentliche SAML-Verbindung an (nicht für Nutzer:innen sichtbar).
3.1 Allgemeine Einrichtung
Konfiguriere deinen IdP mit den folgenden Service-Provider-Details von deskbird:
| Service-Provider-ID (Entity ID) | https://api.deskbird.app/saml/metadata |
| ACS-URL (Callback) | https://app.deskbird.com/__/auth/handler |
💡 Für eine erfolgreiche SAML-2.0-Authentifizierung setze NameID auf die E-Mail-Adresse des/der Nutzer:in mit dem Format urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.
Beispiel-Assertion-Snippet
<saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="<IdP Entity ID>" SPNameQualifier="https://api.deskbird.app/saml/metadata" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> email </saml2:NameID> <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> </saml2:Subject> Für die Konfiguration an deskbird senden
| IdP Entity ID | |
| IdP SSO URL | |
| IdP-Zertifikat | Muss mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden (ohne zusätzliche Zeichen/Zeilenumbrüche einfügen). |
Wenn du eine Metadata-Datei deines IdP hast, kannst du sie uns einfach an support@deskbird.com zusenden.
3.2 Benutzerattribute
Erforderliche Attribute (genaue Schreibweise verwenden):
| Attribut | Beschreibung |
| UPN-E-Mail-Adresse für Anmeldung, Benachrichtigungen und Buchungsinformationen | |
| first_name | Vorname (Anzeige in der Plattform) |
| last_name | Nachname (Anzeige in der Plattform) |
Empfohlene Attribute:
| Attribut | Beschreibung |
| avatar_url | URL zum Profilbild; Initialen werden verwendet, wenn weggelassen |
| external_id | IdP-Benutzer-ID für Matching |
| manager_id | IdP-ID der vorgesetzten Person (für Genehmigungen) |
| locale | Bevorzugte Sprache (Standard: Unternehmenssprache, wenn weggelassen) |
| office | Hauptstandort des/der Nutzer:in |
| job_title | Jobtitel |
| department | Abteilung (für Zugriffsverwaltung) |
| company_entity | Juristische Einheit (Standard: Unternehmenseinheit, wenn weggelassen) |
3.3 Metadata-Datei
Sende uns nach dem Anlegen der SAML-Applikation in deinem IdP die Metadata-Datei mit den u.g. Angaben an support@deskbird.com:
- Zertifikat
- Entity ID
- SSO-URL
4. Erneuerung des SAML-Zertifikats
SAML-Zertifikate haben ein Ablaufdatum (typischerweise 1–3 Jahre nach der Erstellung). Wenn ein Zertifikat kurz vor dem Ablauf steht, wirst du von deinem Identity Provider benachrichtigt. Es ist wichtig, das Zertifikat rechtzeitig zu erneuern, um Anmeldeausfälle zu vermeiden.
Starte den Erneuerungsprozess mindestens 2–3 Wochen vor dem Ablaufdatum, um ausreichend Zeit für die Koordination zu haben.
Schritt-für-Schritt-Anleitung zur Erneuerung (Microsoft Entra ID):
- Gehe im Microsoft Entra ID-Portal zu deiner deskbird Enterprise Application.
- Navigiere zu Single sign-on > SAML-Zertifikate.
- Klicke auf das Bearbeiten-Symbol (Stift).
- Klicke auf Neues Zertifikat.
- Lege das Ablaufdatum fest (Standard: 3 Jahre).
- Klicke auf Speichern. Das neue Zertifikat erscheint mit dem Status Inaktiv.
- Lade das neue Zertifikat herunter (Base64-Format).
- Sende das Zertifikat über ein Support-Ticket an deskbird. Gib deinen Firmennamen an und weise darauf hin, dass es sich um eine SAML-Zertifikatserneuerung handelt.
- deskbird Support ersetzt das Zertifikat auf unserer Seite und bestätigt, sobald es fertig ist.
- Sobald deskbird die Bestätigung gegeben hat, gehe zurück zu Entra ID und aktiviere das neue Zertifikat (auf Aktiv setzen).
Ausfallzeit
Bei der Zertifikatsrotation entstehen in der Regel keine Ausfallzeiten, solange der Aktivierungszeitpunkt mit deskbird Support abgestimmt wird. Das alte Zertifikat funktioniert weiterhin, bis du zum neuen wechselst.
5. Wann SAML, wann OAuth / OIDC?
Wenn du zwischen SAML und OAuth (Microsoft SSO) abwägst, können die folgenden Punkte helfen:
| Merkmal | SAML 2.0 | OAuth / Microsoft SSO / Google SSO |
|---|---|---|
| Zertifikatsverwaltung | Regelmäßige Erneuerung erforderlich | Keine Zertifikatsverwaltung nötig |
| Nutzererfahrung | Nutzer:innen klicken auf „Mit Unternehmenskonto anmelden (SSO)" | Nutzer:innen klicken auf „Mit Microsoft anmelden" |
| Attributzuordnung |
Unterstützt benutzerdefinierte Attribute (manager_id,
department usw.)
|
Eingeschränkte Attributzuordnung |
| IdP-Flexibilität | Funktioniert mit jedem SAML-2.0-IdP (Okta, Keycloak, ADFS usw.) | Nur Microsoft und Google |
| Planvoraussetzung | User and Data Management Plus | In allen Plänen verfügbar |