Zum Inhalt springen

Wie funktioniert die E-Mail-Discovery beim Login?

Ab Tarif Pro

Sobald jemand auf der Login-Maske seine E-Mail-Adresse eingibt, fragt Notory im Hintergrund an, ob für genau diese Adresse SSO verfügbar ist. Wenn ja, erscheint automatisch der Button „Anmelden mit …” des passenden Providers. Entscheidend ist die exakte Adresse, nicht die Domain: Notory schaut nach, zu welchem Mandanten das Konto gehört, und zeigt dessen aktivierte OIDC-Provider.

Das Konto muss bereits existieren: Die Discovery findet den Mandanten über das Benutzerkonto zur E-Mail. Für völlig neue Benutzer zeigt die Maske daher keinen SSO-Button (Details unter „Was passiert dabei?”).

  1. E-Mail eingeben. Auf der Login-Maske die E-Mail-Adresse eintragen und das Feld verlassen. Notory prüft im Hintergrund, ob SSO für dieses Konto verfügbar ist.

  2. SSO-Button erscheint. Ist für den Mandanten des Kontos ein aktivierter OIDC-Provider hinterlegt, blendet die Maske „Anmelden mit <Provider>” ein. Ein Klick startet den Login beim Identity-Provider; das Passwortfeld bleibt als Alternative sichtbar.

    E-Mail-Discovery: Nach Eingabe der Adresse erscheint der passende SSO-Button automatisch.
  • Exakte Adresse statt Domain (Home-Realm-Discovery). Notory sucht das Benutzerkonto zur exakten E-Mail und liefert die aktivierten OIDC-Provider seines Mandanten. So können zwei Postfächer derselben Domain (z. B. a@firma.de bei Mandant A, b@firma.de bei Mandant B) problemlos zu unterschiedlichen Mandanten mit unterschiedlichen IdPs gehören. Ein Domain-Mapping hätte hier keine eindeutige Antwort.
  • Keine Konten-Enumeration mit Mehrwert. Die Antwort verrät nur, ob SSO angeboten wird. Für unbekannte Adressen ist sie leer und unterscheidet sich nicht von „Konto ohne SSO”. Passwort-Anmeldung bleibt unabhängig davon möglich.
  • Konsequenz für neue Benutzer: Da die Discovery ein bestehendes Konto voraussetzt, sehen brandneue Benutzer ohne Konto keinen SSO-Button. Übliche Wege: Der Administrator legt das Konto vorab an (Benutzer anlegen), danach greift die Discovery, oder er teilt den direkten SSO-Start-Link des Providers, über den mit aktivierter JIT-Provisionierung das Konto beim ersten Login automatisch entsteht.
  • Nur aktivierte OIDC-Provider. Deaktivierte Provider und reine SAML-Einträge tauchen in der Discovery nicht auf.