SSO / OIDC
Ab Tarif Pro
Mit Single Sign-on (SSO) melden sich Benutzer über euren zentralen Identity-Provider (IdP) an (etwa Entra ID, Keycloak oder Okta) statt mit einem lokalen Notory-Passwort. Notory spricht OIDC (OpenID Connect mit Authorization Code + PKCE); die Provider werden pro Mandant konfiguriert. Auf der Login-Maske erkennt Notory per E-Mail-Discovery automatisch, ob für ein Konto SSO verfügbar ist.
In diesem Bereich
Abschnitt betitelt „In diesem Bereich“- Wie richte ich SSO/OIDC für einen Mandanten ein?: Provider anlegen, Redirect-URI, JIT-Provisionierung und Gruppen-Rollen-Mapping
- Wie funktioniert die E-Mail-Discovery?: warum die Login-Maske den SSO-Button automatisch einblendet
- Bleibt die lokale Anmeldung möglich?: Fallback, Notfall-Zugang und SSO-only-Konten
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“SSO ist Teil des Tarifs Pro (Feature sso). Ohne passende Lizenz antworten die
SSO-Endpunkte mit 403 und die Oberfläche zeigt einen Upgrade-Hinweis. Die Konfiguration
erfordert Administrator-Rechte im jeweiligen Mandanten; der IdP muss vom Server aus
erreichbar sein (Discovery-Dokument).
Verwandte Themen
Abschnitt betitelt „Verwandte Themen“- Mandanten: SSO-Provider gelten je Mandant
- Benutzer & Rollen: Rollen für JIT-provisionierte Konten
- Erste Schritte: Anmelden: die Login-Maske aus Benutzersicht