Single Sign-On (SSO) mit SAML 2.0 ermöglicht es deinen Nutzer, sich mit ihrem bestehenden Identity Provider (IdP) bei deskbird anzumelden. Unten findest du Schnellstart-Optionen für Okta und Keycloak sowie eine vollständige Anleitung zur Föderationseinrichtung (SP-initiierte SSO).
1. SAML mit Okta
Nutze unsere Okta-Anleitung, um eine Okta-SAML-App zu konfigurieren, die benötigten Attribute zuzuordnen und SP-initiierte SSO zu deskbird zu testen. Enthält Screenshots, Attributzuordnungen und Troubleshooting-Tipps.
👉 Schritt für Schritt: SAML-SSO mit Okta konfigurieren
2. SAML mit Keycloak
Du verwendest lieber Keycloak? Folge der Keycloak-Anleitung, um SSO zu deskbird einzurichten.
👉 Schritt für Schritt: SAML-SSO mit Keycloak konfigurieren
3. Einrichtung der SAML 2.0-Federation
SAML 2.0 (Security Assertion Markup Language) ist ein XML-basiertes Protokoll zum sicheren Austausch von Authentifizierungs-/Autorisierungsdaten zwischen einem Identity Provider (IdP) und einem Service Provider (SP). deskbird unterstützt SP-initiierte SSO (die Anmeldung muss von deskbird aus gestartet werden).
Möchtest du in deinem IAM-Launcher (z. B. OneLogin, JumpCloud) eine anklickbare Kachel für Nutzer:innen bereitstellen, füge eine Bookmark-Applikation hinzu, die den SP-initiierten Flow in deskbird startet:https://app.deskbird.com/saml?providerName={saml-provider-ID}
Die SAML-Provider-ID folgt dem Schema saml.{company-name}. Beispiel für „Polaroid“: https://app.deskbird.com/saml?providerName=saml.polaroid.
Lege in deinem IdP zusätzlich eine separate, versteckte Föderations-Applikation für die eigentliche SAML-Verbindung an (nicht für Nutzer:innen sichtbar).
3.1 Allgemeine Einrichtung
Konfiguriere deinen IdP mit den folgenden Service-Provider-Details von deskbird:
| Service-Provider-ID (Entity ID) | https://api.deskbird.app/saml/metadata |
| ACS-URL (Callback) | https://app.deskbird.com/__/auth/handler |
💡 Für eine erfolgreiche SAML-2.0-Authentifizierung setze NameID auf die E-Mail-Adresse des/der Nutzer:in mit dem Format urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.
Beispiel-Assertion-Snippet
<saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="<IdP Entity ID>" SPNameQualifier="https://api.deskbird.app/saml/metadata" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> email </saml2:NameID> <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> </saml2:Subject>
Für die Konfiguration an deskbird senden
| IdP Entity ID | |
| IdP SSO URL | |
| IdP-Zertifikat | Muss mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden (ohne zusätzliche Zeichen/Zeilenumbrüche einfügen). |
Wenn du eine Metadata-Datei deines IdP hast, kannst du uns diese einfach zusenden.
3.2 Benutzerattribute
Erforderliche Attribute (genaue Schreibweise verwenden):
| Attribut | Beschreibung |
| UPN-E-Mail-Adresse für Anmeldung, Benachrichtigungen und Buchungsinformationen | |
| first_name | Vorname (Anzeige in der Plattform) |
| last_name | Nachname (Anzeige in der Plattform) |
Empfohlene Attribute:
| Attribut | Beschreibung |
| avatar_url | URL zum Profilbild; Initialen werden verwendet, wenn weggelassen |
| external_id | IdP-Benutzer-ID für Matching |
| manager_id | IdP-ID der vorgesetzten Person (für Genehmigungen) |
| locale | Bevorzugte Sprache (Standard: Unternehmenssprache, wenn weggelassen) |
| office | Hauptstandort des/der Nutzer:in |
| job_title | Jobtitel |
| department | Abteilung (für Zugriffsverwaltung) |
| company_entity | Juristische Einheit (Standard: Unternehmenseinheit, wenn weggelassen) |
3.3 Metadata-Datei
Sende uns nach dem Anlegen der SAML-Applikation in deinem IdP die Metadata-Datei mit:
- Zertifikat
- Entity ID
- SSO-URL