Bleibt die lokale Anmeldung trotz SSO möglich?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Ja. SSO ist in Notory ein zusätzlicher Anmeldeweg, kein Ersatz: Die lokale Anmeldung mit E-Mail und Passwort bleibt immer verfügbar. Es gibt bewusst keinen „SSO-Zwang”-Schalter, der sie abschalten würde. Fällt der Identity-Provider aus, kommen Benutzer mit lokalem Passwort weiterhin hinein. JIT-provisionierte SSO-Konten haben allerdings zunächst kein brauchbares Passwort. Sie sind faktisch SSO-only, bis ein Administrator eines setzt.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Wie die beiden Wege zusammenspielen
Abschnitt betitelt „Wie die beiden Wege zusammenspielen“-
Beide Optionen auf einer Maske. Die Login-Maske zeigt immer E-Mail- und Passwortfeld. Erkennt die E-Mail-Discovery einen Provider, erscheint zusätzlich der Button „Anmelden mit …”. Das Passwortfeld verschwindet nicht.
-
IdP-Ausfall überbrücken. Ist der IdP nicht erreichbar, schlägt nur der SSO-Weg fehl. Benutzer mit lokalem Passwort melden sich normal an. Administratoren sollten für sich selbst daher immer ein lokales Passwort besitzen (Notfall-Zugang).
-
SSO-only-Konto nachträglich für lokale Anmeldung freischalten. Öffne als Administrator die Benutzer-Detailseite und setze ein Passwort („Passwort setzen” oder „Reset-Link senden”). Danach funktioniert zusätzlich die lokale Anmeldung.
Die lokale Anmeldung nutzt unverändert den Standard-Login-Endpunkt, unabhängig davon, ob SSO konfiguriert ist:
curl -X POST https://demo.notory.io/api/v1/auth/login \ -H "Content-Type: application/json" \ -d '{ "email": "lena.vogt@acme.example", "password": "ihr-lokales-passwort" }'Einem SSO-only-Konto verhilft der Admin-Endpunkt zu einem lokalen Passwort:
curl -X POST https://demo.notory.io/api/v1/users/{user_id}/password \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "new_password": "Neues-Kennwort-2026", "send_email": true }'Mögliche Fehler: 401 (falsches Passwort, bei JIT-Konten praktisch immer, solange
kein Passwort gesetzt wurde), 428 (Konto hat 2FA aktiv, TOTP-Code fehlt), 403
(deaktiviertes Konto).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Kein Erzwingungs-Schalter. Es existiert keine Einstellung wie „nur SSO erlauben”. Der lokale Login-Endpunkt prüft ausschließlich Konto, Passwort, Sperren und 2FA. Eine SSO-Konfiguration beeinflusst ihn nicht. Das ist eine bewusste Ausfallsicherung gegen IdP-Störungen und Fehlkonfigurationen.
- SSO-only durch unbrauchbares Passwort. Bei der JIT-Provisionierung erzeugt Notory ein zufälliges, niemandem bekanntes Passwort (Argon2id-gehasht). Lokal anmelden kann sich so ein Konto erst, wenn ein Administrator ein echtes Passwort setzt oder (bei aktiviertem Self-Service-Reset) der Benutzer über „Passwort vergessen?” selbst eines wählt.
- Schutzmechanismen gelten für beide Wege. Kontosperre nach 5 Fehlversuchen (15 Minuten), Deaktivierungs-Check und erzwungene 2FA-Einrichtung wirken unabhängig vom Anmeldeweg. Beim SSO-Login übernimmt der IdP die Mehrfaktor-Prüfung; ein lokaler TOTP-Code wird dort nicht abgefragt.
- Self-Service-Reset als Fallback-Weg. Ob Benutzer selbst einen Reset-Link anfordern können, steuert die Instanz-Einstellung „Self-Service-Passwort-Reset” (benötigt SMTP); das ist relevant, wenn SSO-Benutzer auf lokale Anmeldung umsteigen sollen.