deskbird unterstützt Single Sign-On (SSO) über Keycloak – eine Open-Source-Lösung für Identitäts- und Zugriffsmanagement. Damit kannst du die Benutzeranmeldung zentral steuern und Nutzerdaten sowie Gruppen automatisch mit deskbird synchronisieren.
In diesem Artikel zeigen wir dir, wie du die SAML-Integration mit Keycloak einrichtest.
- SAML-Client in Keycloak erstellen
- Redirect- und Assertion-URLs konfigurieren
- Mapper hinzufügen
- Public-Key-Zertifikat an uns übermitteln
1. 🛠️ SAML-Client in Keycloak erstellen
Gehe in Keycloak zu Clients > Create und gib folgende Einstellungen ein:
| Feld | Wert |
|---|---|
| Client ID | https://api.deskbird.app/saml/metadata |
| Name | deskbird |
| Client Protocol | saml |
| Login Theme | keycloak |
| Enabled | ON |
| Include AuthnStatement | ON |
| Sign Documents | ON |
| Sign Assertions | ON |
| Signature Algorithm | RSA_SHA256 |
| SAML Signature Key Name | KEY_ID |
| Canonicalization Method | EXCLUSIVE |
| Encrypt Assertions | OFF |
2. 🔁 Redirect- und Assertion-URLs konfigurieren
Trage diese Werte in deinem Keycloak-Client ein:
| Feld | Wert |
|---|---|
| Name ID Format | |
| Root URL | https://app.deskbird.com |
| Valid Redirect URIs | https://app.deskbird.com/__auth/handler |
| Assertion Consumer Service POST Binding URL | https://app.deskbird.com/__auth/handler |
| Assertion Consumer Service Redirect Binding URL | https://app.deskbird.com/__auth/handler |
| Logout Service POST Binding URL | https://app.deskbird.com/__auth/handler |
3. 🧩 Mapper hinzufügen
Öffne in Keycloak den Bereich Clients > https://api.deskbird.app/saml/metadata > Mappers und füge folgende Einträge hinzu:
Name
Für Vor- und Nachname die gleiche Struktur verwenden:
| Feld | Wert |
|---|---|
| Mapper Type | User Property |
| Property | firstName / lastName |
| Friendly Name | first_name / last_name |
| SAML Attribute Name | first_name / last_name |
| NameFormat | Basic |
E-Mail (für NameID)
| Feld | Wert |
|---|---|
| Mapper Type | User Attribute Mapper For NameID |
| Name ID Format | urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified |
| User Attribute |
(Optional) E-Mail Mapper
| Feld | Wert |
|---|---|
| Mapper Type | User Property |
| Property | |
| Friendly Name | |
| SAML Attribute Name | |
| NameFormat | Basic |
💡 Wenn SSO als einzige Anmeldemethode für deine Organisation konfiguriert ist, gilt diese Einschränkung nur für interne Benutzer. Externe Benutzer (z. B. Auftragnehmer) können weiterhin zu deskbird hinzugefügt werden und sich mit E-Mail und Passwort anmelden, da sie nicht in den Geltungsbereich deines Identity Providers fallen.
4. 📩 Public-Key-Zertifikat an uns übermitteln
Fast fertig: Bitte schick uns nach dem Setup dein Public-Key-Zertifikat. Einfach per E-Mail an support@deskbird.com oder direkt an deine Ansprechperson im Customer Success Team.