Wie melde ich mich an?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Öffne die Anmeldeseite, gib E-Mail-Adresse und Passwort ein und klicke auf „Anmelden”. Ist für dein Konto die Zwei-Faktor-Authentifizierung aktiv, wirst du zusätzlich nach dem 6-stelligen Authenticator-Code gefragt. Ist für deine E-Mail-Adresse Single Sign-On (SSO) hinterlegt, erscheint nach Eingabe der Adresse automatisch eine Schaltfläche „Anmelden mit …”.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Du brauchst ein aktives Benutzerkonto, entweder von einem Administrator angelegt (du bekommst dann eine Einladungs-E-Mail) oder selbst registriert. Verlangt deine Organisation 2FA, benötigst du außerdem ein eingerichtetes Authenticator-Gerät (siehe 2FA einrichten).
Anleitung
Abschnitt betitelt „Anleitung“-
Anmeldeseite öffnen. Rufe Notory im Browser auf. Du siehst die Überschrift „Willkommen zurück” und darunter zwei Felder für E-Mail-Adresse und Passwort.
Screenshot ausstehenderste-schritte-login-01Leere Anmeldemaske mit den Feldern E-Mail-Adresse und Passwort und der Schaltfläche 'Anmelden'Die Anmeldemaske im Ausgangszustand. -
E-Mail-Adresse eingeben. Sobald du das Feld verlässt, prüft Notory im Hintergrund, ob für diese Adresse ein SSO-Anbieter hinterlegt ist. Falls ja, erscheint unter dem Formular ein Trenner „Oder weiter mit” und darunter eine Schaltfläche „Anmelden mit …” (z. B. deinem Firmen-Login). Ein Klick darauf leitet dich zum Identity-Provider. Passwortfeld und der nächste Schritt entfallen dann.
Screenshot ausstehenderste-schritte-login-02Anmeldemaske mit E-Mail-Adresse und einer zusätzlichen Schaltfläche 'Anmelden mit' nach SSO-ErkennungIst für die E-Mail-Adresse SSO konfiguriert, erscheint automatisch eine 'Anmelden mit'-Schaltfläche. -
Passwort eingeben und anmelden. Trage dein Passwort ein. Optional kannst du „Angemeldet bleiben” aktivieren, um auf diesem Gerät angemeldet zu bleiben. Ist der Self-Service-Reset freigeschaltet, findest du hier auch den Link „Passwort vergessen?”. Klicke auf „Anmelden”.
-
Zwei-Faktor-Code (falls aktiv). Hat dein Konto 2FA, erscheint jetzt das Feld „Authenticator-Code”. Gib den aktuellen 6-stelligen Code aus deiner Authenticator-App ein und klicke erneut auf „Anmelden”. Danach landest du im Dashboard.
Screenshot ausstehenderste-schritte-login-03Anmeldemaske mit zusätzlichem Feld 'Authenticator-Code' für die Zwei-Faktor-AbfrageBei aktiver 2FA fragt Notory nach dem 6-stelligen Code aus der Authenticator-App.
Die Anmeldung erfolgt per POST auf /api/v1/auth/login. Bei Erfolg setzt der Server die
Session als HttpOnly-Cookies (it_access, it_refresh) plus ein lesbares
CSRF-Cookie (it_csrf) und antwortet mit dem angemeldeten Benutzer. Für rein
programmatischen Zugriff verwendest du besser einen API-Token (Bearer) statt der
Cookie-Session, siehe API-Tokens.
curl -X POST https://demo.notory.io/api/v1/auth/login \ -H "Content-Type: application/json" \ -c cookies.txt \ -d '{ "email": "max.mustermann@example.com", "password": "dein-passwort", "totp_code": "123456" }'totp_code gibst du nur an, wenn dein Konto 2FA nutzt. Bei Erfolg antwortet die API mit
HTTP 200 und dem Benutzerobjekt:
{ "id": "b7c3a1e2-4f5d-4a90-8c11-2d6e9f0a1b23", "email": "max.mustermann@example.com", "first_name": "Max", "last_name": "Mustermann", "role": "asset_manager", "tenant_id": "3d9b0c12-4e5a-4f88-b1c7-2a9e6d4f0011", "is_active": true, "totp_enabled": true, "must_setup_2fa": false, "must_change_password": false, "language": "de", "last_login": "2026-07-08T09:14:22Z"}Mögliche Fehler: 428 (Precondition Required, weil 2FA aktiv ist, aber totp_code
fehlt; Code nachreichen und erneut senden), 401 (falsche E-Mail/Passwort oder falscher Code),
403 (Konto deaktiviert oder nach zu vielen Fehlversuchen vorübergehend gesperrt),
429 (Rate-Limit erreicht).
Welche SSO-Anbieter für eine E-Mail-Adresse gelten, ermittelt die E-Mail-Discovery:
curl -X POST https://demo.notory.io/api/v1/auth/sso/discover \ -H "Content-Type: application/json" \ -d '{ "email": "max.mustermann@example.com" }'{ "providers": [ { "id": "1a2b3c4d", "provider_name": "Firmen-Login (Azure AD)", "protocol": "oidc", "start_url": "/api/v1/auth/sso/1a2b3c4d/start" } ]}Der Browser folgt anschließend der start_url; der Server leitet zum Identity-Provider
weiter und setzt nach erfolgreichem Login dieselben Session-Cookies.
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Session über HttpOnly-Cookies: Nach dem Login hält Notory die Sitzung in
HttpOnly-Cookies (
it_access, standardmäßig ~15 Minuten;it_refresh, ~7 Tage), die per Refresh automatisch erneuert werden. Die Tokens sind für JavaScript nicht lesbar (Schutz vor XSS). Schreibende Aktionen tragen zusätzlich das CSRF-Cookieit_csrfalsX-CSRF-Token-Header (Double-Submit). - Rate-Limit: Die Anmelde-Endpunkte sind pro IP-Adresse begrenzt (Standard 60 Anfragen pro Minute), um Brute-Force zu bremsen.
- Kontosperre: Nach 5 Fehlversuchen wird das Konto 15 Minuten gesperrt.
- Audit-Log: Jede erfolgreiche und jede fehlgeschlagene Anmeldung wird protokolliert
(mit IP-Adresse);
last_loginwird aktualisiert. - Erzwungene 2FA: Verlangt deine Instanz oder dein Mandant 2FA und du hast noch keins eingerichtet, kannst du dich anmelden, wirst aber sofort zur 2FA-Einrichtung geführt, bevor du die App nutzt.
- Kennwort festlegen: Hat ein Administrator dein Kennwort gesetzt (Onboarding), fordert Notory dich beim ersten Login auf, ein eigenes Kennwort zu wählen.
- SSO: Die E-Mail-Discovery ermittelt den passenden Mandanten serverseitig; der eigentliche Login läuft beim Identity-Provider, Notory setzt danach die Session.
Verwandte Themen
Abschnitt betitelt „Verwandte Themen“- Passwort zurücksetzen
- 2FA einrichten
- Profil verwalten
- SSO / OIDC: Single Sign-On pro Mandant, E-Mail-Discovery
- Benutzer & Rollen: wer legt Konten an?
- API-Einstieg: Authentifizierung, Basis-URL, Fehlercodes