Wie funktioniert die E-Mail-Discovery beim Login?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Sobald jemand auf der Login-Maske seine E-Mail-Adresse eingibt, fragt Notory im Hintergrund an, ob für genau diese Adresse SSO verfügbar ist. Wenn ja, erscheint automatisch der Button „Anmelden mit …” des passenden Providers. Entscheidend ist die exakte Adresse, nicht die Domain: Notory schaut nach, zu welchem Mandanten das Konto gehört, und zeigt dessen aktivierte OIDC-Provider.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Das Konto muss bereits existieren: Die Discovery findet den Mandanten über das Benutzerkonto zur E-Mail. Für völlig neue Benutzer zeigt die Maske daher keinen SSO-Button (Details unter „Was passiert dabei?”).
So sieht es aus
Abschnitt betitelt „So sieht es aus“-
E-Mail eingeben. Auf der Login-Maske die E-Mail-Adresse eintragen und das Feld verlassen. Notory prüft im Hintergrund, ob SSO für dieses Konto verfügbar ist.
-
SSO-Button erscheint. Ist für den Mandanten des Kontos ein aktivierter OIDC-Provider hinterlegt, blendet die Maske „Anmelden mit <Provider>” ein. Ein Klick startet den Login beim Identity-Provider; das Passwortfeld bleibt als Alternative sichtbar.
Screenshot ausstehendadmin-sso-03Login-Maske mit eingegebener E-Mail und automatisch eingeblendetem Button 'Anmelden mit' des SSO-ProvidersE-Mail-Discovery: Nach Eingabe der Adresse erscheint der passende SSO-Button automatisch.
Die Discovery ist ein öffentlicher Endpunkt (keine Authentifizierung, er läuft ja vor dem Login):
curl -X POST https://demo.notory.io/api/v1/auth/sso/discover \ -H "Content-Type: application/json" \ -d '{ "email": "lena.vogt@acme.example" }'{ "providers": [ { "id": "018f9d22-3c4d-7e55-9f60-7a8b9c0d1e2f", "provider_name": "Firmen-Login (Entra ID)", "protocol": "oidc", "start_url": "/api/v1/auth/sso/018f9d22-3c4d-7e55-9f60-7a8b9c0d1e2f/start" } ]}Gibt es kein Konto zu der Adresse oder keinen aktivierten OIDC-Provider im Mandanten,
kommt schlicht { "providers": [] } zurück (bewusst ohne Fehlermeldung). Der eigentliche
Login startet dann per GET auf die start_url, die zur Autorisierungsseite des IdP
weiterleitet.
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Exakte Adresse statt Domain (Home-Realm-Discovery). Notory sucht das Benutzerkonto
zur exakten E-Mail und liefert die aktivierten OIDC-Provider seines Mandanten. So
können zwei Postfächer derselben Domain (z. B.
a@firma.debei Mandant A,b@firma.debei Mandant B) problemlos zu unterschiedlichen Mandanten mit unterschiedlichen IdPs gehören. Ein Domain-Mapping hätte hier keine eindeutige Antwort. - Keine Konten-Enumeration mit Mehrwert. Die Antwort verrät nur, ob SSO angeboten wird. Für unbekannte Adressen ist sie leer und unterscheidet sich nicht von „Konto ohne SSO”. Passwort-Anmeldung bleibt unabhängig davon möglich.
- Konsequenz für neue Benutzer: Da die Discovery ein bestehendes Konto voraussetzt, sehen brandneue Benutzer ohne Konto keinen SSO-Button. Übliche Wege: Der Administrator legt das Konto vorab an (Benutzer anlegen), danach greift die Discovery, oder er teilt den direkten SSO-Start-Link des Providers, über den mit aktivierter JIT-Provisionierung das Konto beim ersten Login automatisch entsteht.
- Nur aktivierte OIDC-Provider. Deaktivierte Provider und reine SAML-Einträge tauchen in der Discovery nicht auf.