Zum Inhalt springen

Bleibt die lokale Anmeldung trotz SSO möglich?

Ab Tarif Pro

Ja. SSO ist in Notory ein zusätzlicher Anmeldeweg, kein Ersatz: Die lokale Anmeldung mit E-Mail und Passwort bleibt immer verfügbar. Es gibt bewusst keinen „SSO-Zwang”-Schalter, der sie abschalten würde. Fällt der Identity-Provider aus, kommen Benutzer mit lokalem Passwort weiterhin hinein. JIT-provisionierte SSO-Konten haben allerdings zunächst kein brauchbares Passwort. Sie sind faktisch SSO-only, bis ein Administrator eines setzt.

  1. Beide Optionen auf einer Maske. Die Login-Maske zeigt immer E-Mail- und Passwortfeld. Erkennt die E-Mail-Discovery einen Provider, erscheint zusätzlich der Button „Anmelden mit …”. Das Passwortfeld verschwindet nicht.

  2. IdP-Ausfall überbrücken. Ist der IdP nicht erreichbar, schlägt nur der SSO-Weg fehl. Benutzer mit lokalem Passwort melden sich normal an. Administratoren sollten für sich selbst daher immer ein lokales Passwort besitzen (Notfall-Zugang).

  3. SSO-only-Konto nachträglich für lokale Anmeldung freischalten. Öffne als Administrator die Benutzer-Detailseite und setze ein Passwort („Passwort setzen” oder „Reset-Link senden”). Danach funktioniert zusätzlich die lokale Anmeldung.

  • Kein Erzwingungs-Schalter. Es existiert keine Einstellung wie „nur SSO erlauben”. Der lokale Login-Endpunkt prüft ausschließlich Konto, Passwort, Sperren und 2FA. Eine SSO-Konfiguration beeinflusst ihn nicht. Das ist eine bewusste Ausfallsicherung gegen IdP-Störungen und Fehlkonfigurationen.
  • SSO-only durch unbrauchbares Passwort. Bei der JIT-Provisionierung erzeugt Notory ein zufälliges, niemandem bekanntes Passwort (Argon2id-gehasht). Lokal anmelden kann sich so ein Konto erst, wenn ein Administrator ein echtes Passwort setzt oder (bei aktiviertem Self-Service-Reset) der Benutzer über „Passwort vergessen?” selbst eines wählt.
  • Schutzmechanismen gelten für beide Wege. Kontosperre nach 5 Fehlversuchen (15 Minuten), Deaktivierungs-Check und erzwungene 2FA-Einrichtung wirken unabhängig vom Anmeldeweg. Beim SSO-Login übernimmt der IdP die Mehrfaktor-Prüfung; ein lokaler TOTP-Code wird dort nicht abgefragt.
  • Self-Service-Reset als Fallback-Weg. Ob Benutzer selbst einen Reset-Link anfordern können, steuert die Instanz-Einstellung „Self-Service-Passwort-Reset” (benötigt SMTP); das ist relevant, wenn SSO-Benutzer auf lokale Anmeldung umsteigen sollen.