logo
Entwicklung
ÜbersichtEntwicklungsbereichAPI-ReferenzBest PracticeArbeitsbereichÄnderungsprotokoll
Suchen
Deutsch
Entwicklungsbereich / Persönlicher Bereich / Einmalanmeldung / SSO Configuration
Single Sign-On (SSO)
Zuletzt aktualisiert:30.07.2025 12:24:00

Single Sign-On (SSO)

Single Sign-On (SSO) ist ein Authentifizierungsmechanismus, der es Nutzer:innen ermöglicht, mit einem einzigen Satz von Zugangsdaten auf mehrere vertrauenswürdige Systeme und Anwendungen zuzugreifen, wodurch wiederholte Anmeldungen entfallen. SSO wird in der Regel über Protokolle zwischen einem Identity Provider (IdP) und einem Service Provider (SP) implementiert. Die wichtigsten Vorteile von SSO sind:

  • Reduzierung der Passwortmüdigkeit, Verbesserung der Nutzererfahrung sowie Steigerung der Produktivität
  • Erhöhung der Sicherheit und zentrale Verwaltung von Benutzeridentitäten und Zugriffsrechten für Unternehmen
  • Senkung der IT-Kosten und Minimierung des Aufwands für Passwortwiederherstellung und -verwaltung

Der grundlegende Anmeldeprozess für den GPTBots SSO: Beim Aufruf des GPTBots SSO-Anmeldelinks werden Nutzer:innen zur Anmeldung an ein internes oder externes SSO-System weitergeleitet. Nach erfolgreicher Authentifizierung werden sie automatisch zur GPTBots-Plattform zurückgeleitet und angemeldet.

Wichtige Begriffe

Begriff Beschreibung
Identity Provider (IdP) Ein Drittanbieterdienst, der für die Identitätsüberprüfung zuständig ist. Nach der Anmeldung über den IdP können Nutzer:innen auf mehrere verbundene Systeme zugreifen, ohne das Passwort erneut eingeben zu müssen.
Service Provider (SP) Ein System, das als Anwendung beim IdP registriert ist, Authentifizierungsergebnisse vom IdP erhält und Nutzer:innen spezifische Geschäftsdienste bereitstellt.
Security Assertion Markup Language (SAML) Ein offener Standard auf XML-Basis zur sicheren Übertragung von Identitäts- und Autorisierungsdaten zwischen IdPs und SPs. Die Plattform unterstützt SAML 2.0.
Anmeldemethoden Authentifizierungsmethoden für den Systemzugriff, einschließlich regulärer Anmeldung und SSO-Anmeldung.
* Reguläre Anmeldung: Das native Konten-Authentifizierungssystem der Plattform, z. B. Benutzername-Passwort-Authentifizierung; Drittanbieter-Logins wie Google OAuth, Facebook, Apple, GitHub usw.
* SSO-Anmeldung: Anmeldung über verschiedene Identity Provider (IdPs).
Organisationstypen * Reguläre Organisation: Organisationen ohne aktiviertes SSO, Zugriff erfolgt über reguläre Anmeldung.
* SSO-Organisation: Organisationen mit aktiviertem SSO, Zugriff nur über den konfigurierten SSO-Dienst.

Hinweise:

  • Der SSO-Dienst verwendet die E-Mail-Adresse als eindeutigen Identifikator. Achten Sie darauf, dass die im Unternehmens-IdP hinterlegte E-Mail-Adresse mit der E-Mail-Adresse Ihres GPTBots-Kontos übereinstimmt.
  • Organisationstypen und Anmeldemethoden beeinflussen direkt die Zugriffsrechte und Betriebsfunktionen. Administrator:innen sollten die Konfiguration entsprechend dem tatsächlichen Bedarf anpassen.
  • Zur SSO-Konfiguration muss zunächst die IdP-Protokollkonfiguration auf Kontoebene abgeschlossen werden. Anschließend ist der IdP für die Zielorganisation zu autorisieren und die SSO-Anmeldung auf Organisationsebene zu aktivieren.

Zugriffsregeln für Nutzer:innen

  • Reguläre Organisationen: Unterstützen nur reguläre Anmeldemethoden, gültig für alle Mitglieder und Organisationsgründer:innen.
  • SSO-Organisationen: Alle Mitglieder müssen sich über SSO anmelden. Organisationsgründer:innen können sich sowohl über reguläre Anmeldung als auch über SSO anmelden.
  • SSO-Login-Bindung: Bei Anmeldung über einen SSO-Dienst speichert das System die Bindung zwischen Konto und SSO-Dienst. Diese Bindung kann hergestellt werden durch:
    • Anmeldung über den SSO-Link in der „Einladung zur Organisation“-E-Mail
    • Anmeldung über einen dedizierten Link für einen bestimmten SSO-Dienst
    • Anmeldung über den SSO-Link in der Benachrichtigung „Organisation hat SSO-Dienst erfolgreich aktiviert“
  • E-Mail-Abgleich: Der SSO-Dienst verwendet die E-Mail-Adresse als eindeutigen Nutzer:innen-Identifikator und gleicht diese automatisch mit dem Plattformkonto ab:
    • Allgemeine SSO-Anmeldeseite: Existiert die E-Mail-Adresse nicht, wird die Anmeldung verweigert.
    • Dedizierter SSO-Anmeldelink: Existiert die E-Mail-Adresse nicht, wird automatisch ein neues Konto erstellt.
  • Kontoerstellung: Konten, die sich regulär anmelden, können Organisationen erstellen und SSO-Dienste für diese konfigurieren. Konten, die sich über SSO anmelden, können keine neuen Organisationen erstellen.

SSO-Konfigurationsanleitung

GPTBots unterstützt die SSO-Integration mit jedem Identity Provider, basierend auf dem SAML 2.0-Protokoll, einschließlich, aber nicht beschränkt auf Microsoft Azure, Okta, One Login und Google.

GPTBots im IdP konfigurieren

Um Single Sign-On (SSO) einzurichten, fügen Sie GPTBots als Anwendung im Identity Provider (IdP) hinzu. Kontaktieren Sie die IdP-Administrator:innen Ihrer Organisation, damit die von GPTBots generierten SP-Informationen in die IdP-Anwendung übernommen werden.

  1. Melden Sie sich bei GPTBots an, bewegen Sie den Mauszeiger über das Benutzer:innen-Avatar unten links und klicken Sie im Pop-up-Menü auf „Konto“. Im „Persönlichen Bereich“ klicken Sie auf „SSO“, um zur SSO-Seite zu gelangen.
    alt text

  2. Klicken Sie auf der SSO-Seite auf die Schaltfläche „SSO konfigurieren“.
    alt text

  3. Kopieren Sie die von GPTBots (SP) bereitgestellten Konfigurationsinformationen und leiten Sie diese an die IdP-Administrator:innen weiter. Bitten Sie diese, die Informationen im Unternehmens-IdP zu konfigurieren. Nach Abschluss der Konfiguration markieren Sie das Bestätigungsfeld auf der Seite und fahren mit dem nächsten Schritt fort.
    alt text

    Nutzen Sie die Kopier-Schaltfläche rechts zum schnellen Kopieren.

  4. Konfigurationsinformationen:

    • Vom SP generierte Konfiguration:
      • Entity ID: Eindeutige Kennung des SP-Dienstanbieters im IdP
      • ACS URL: Assertion Consumer Service-Adresse, empfängt SAML-Assertionsdaten vom IdP
      • Login-URL: SSO-Anmeldeadresse
      • Logout-URL: SSO-Abmeldeadresse
    • Vom IdP zurückgegebene Konfiguration:
      • X.509-Zertifikat (base64): Zertifikat des Identity Providers (Zertifikate haben ein Ablaufdatum; bei Ablauf bitte rechtzeitig aktualisieren)
      • Login-URL: IdP-Anmeldeadresse
      • Logout-URL: IdP-Abmeldeadresse

  5. Konfigurationsanleitungen für verschiedene IdP-Plattformen:

IdP-Konfigurationsdaten eingeben

Geben Sie das Zertifikat, die Login-URL und die Logout-URL ein, die Sie vom IdP erhalten haben, und klicken Sie auf Weiter.

  • Vergeben Sie einen eindeutigen Namen für den SSO-Dienst zur besseren Identifikation.
    alt text

Organisationen autorisieren

  1. Wählen Sie auf der Seite „Organisation autorisieren“ die Organisation aus, der Sie den SSO-Dienst zuweisen möchten, und klicken Sie auf „Speichern“, um die Änderungen zu speichern.

    • Sie können einen SSO-Dienst für mehrere Organisationen autorisieren oder mehrere SSO-Dienste für eine Organisation konfigurieren.
    • Erscheint die Meldung „Keine Berechtigung“ oder „Autorisierungslimit erreicht“, wenden Sie sich bitte an den Vertrieb.
      alt text

  2. Nach Aktivierung der Konfiguration müssen sich die Mitglieder der Organisation über SSO anmelden.
    alt text

SSO-Dienst überprüfen

Testen Sie nach der Konfiguration, ob der SSO-Dienst über die SSO-Anmelde-URL ordnungsgemäß funktioniert.

  • Stellen Sie sicher, dass das Testkonto der SSO-berechtigten Organisation in GPTBots beigetreten ist und auf der IdP-Plattform Zugriff auf die SSO-Anwendung hat.
    alt text

SSO-Liste

Die SSO-Dienstliste zeigt alle konfigurierten SSO-Dienste an. Wichtige Felder sind:

Feld Beschreibung
SSO-Dienstname Individueller Name des SSO-Dienstes
Typ SSO-Protokolltyp
Anmeldelink SSO-Anmeldeeinstieg
Autorisierte Organisationen Anzahl der aktuell vom SSO-Dienst autorisierten Organisationen
Aktionen Unterstützt „Bearbeiten“, „Autorisieren“ und „Löschen“

alt text

Ein Klick auf eine Zeile öffnet automatisch den Dialog „SSO-Dienst-Details“.

alt text

Beim Überfahren des Feldes „Autorisierte Organisationen“ wird eine detaillierte Liste der autorisierten Organisationen angezeigt.

Bearbeiten

Klicken Sie auf die Schaltfläche „Bearbeiten“ oder auf eine beliebige Zeile, um die Detailansicht des SSO-Dienstes zu öffnen, in der Sie die SSO-Konfigurationsparameter einsehen und bearbeiten können.

  • Mit der Schaltfläche rechts können Sie den jeweiligen Feldinhalt kopieren. Die Seite ermöglicht nur die Bearbeitung der IdP-Konfigurationsdaten; andere Felder sind schreibgeschützt.
    alt text

Vom SP generierte Konfigurationsdaten

  • Entity ID: Eindeutige Kennung des SP (Service Provider) im IdP.
  • ACS URL: Assertion Consumer Service-Adresse, empfängt SAML-Assertionsdaten vom IdP.
  • Login-URL: Einstiegspunkt für die SSO-Anmeldung.
  • Logout-URL: Einstiegspunkt für die SSO-Abmeldung.

Vom IdP zurückgegebene Konfigurationsdaten

  • X.509-Zertifikat (base64): Zertifikat des Identity Providers. Zertifikate haben ein Ablaufdatum; bitte rechtzeitig aktualisieren.
  • Login-URL: Vom IdP bereitgestellte Anmeldeadresse.
  • Logout-URL: Vom IdP bereitgestellte Abmeldeadresse.

Autorisierte Organisationen

Klicken Sie auf die Schaltfläche „Autorisieren“, um die Seitenleiste für autorisierte Organisationen zu öffnen:

  • Im linken Bereich sehen Sie die verfügbaren Organisationen, im rechten die autorisierten Organisationen.
  • Nur Organisationen mit SSO-Berechtigung können autorisiert werden. Sollte die gewünschte Organisation keine SSO-Berechtigung haben oder das Limit erreicht sein, wenden Sie sich bitte an den Vertrieb.
  • Nach der Autorisierung oder dem Entzug der Autorisierung erhalten die betroffenen Mitglieder eine E-Mail-Benachrichtigung und müssen sich erneut authentifizieren.

alt text

SSO-Dienst löschen

Klicken Sie auf die Schaltfläche „Löschen“, um die aktuelle SSO-Dienstkonfiguration zu entfernen. Bitte beachten Sie, dass der SSO-Dienst nach dem Löschen nicht mehr verfügbar ist und betroffene Mitglieder sich nicht mehr über diesen Dienst anmelden können.
alt text

Anmeldung über die offizielle SSO-Seite

  1. Öffnen Sie die GPTBots-Anmeldeseite und klicken Sie auf die Schaltfläche „SSO-Anmeldung“.
    alt text

  2. Geben Sie die bei GPTBots registrierte E-Mail-Adresse ein. Das System ermittelt die zuletzt verwendete SSO-Organisation und leitet den Anmeldeprozess entsprechend dem für diese Organisation konfigurierten SSO-Dienst weiter.

    • Falls für die Organisation mehrere SSO-Dienste konfiguriert sind und Ihr Konto mit mehreren SSO-Diensten verknüpft ist, werden Sie aufgefordert, den gewünschten SSO-Dienst für die Anmeldung auszuwählen.
      alt text
    • Ist nur ein SSO-Dienst vorhanden, erfolgt die Weiterleitung automatisch.

  3. Das System leitet Sie zur IdP-Anmeldeseite weiter, auf der Sie Ihre Zugangsdaten eingeben. Nach erfolgreicher Authentifizierung werden Sie zu GPTBots zurückgeleitet, um die SSO-Anmeldung abzuschließen.
    IdP Login Page

Häufige Anmeldefehler

  1. Konto existiert nicht
    Überprüfen Sie, ob die eingegebene E-Mail-Adresse bei GPTBots registriert ist oder ob Sie sich bereits über einen SSO-Link angemeldet haben. Falls Sie nicht registriert sind, können Sie sich über den SSO-Link anmelden; das System erstellt dann automatisch ein Konto für Sie.

    alt text

  2. E-Mail-Adresse stimmt nicht überein
    Wenn die eingegebene E-Mail-Adresse nicht mit der im IdP-Konto hinterlegten E-Mail-Adresse übereinstimmt, zeigt das System einen Fehler zur E-Mail-Adressabweichung an.
    Email Mismatch Error
    Bitte überprüfen Sie die im IdP-Konto hinterlegte E-Mail-Adresse. Bei Problemen wenden Sie sich an Ihre Administrator:innen.

  3. Organisation hat SSO-Anmeldung nicht aktiviert
    Die Organisation, der Sie beigetreten sind oder die Sie erstellt haben, hat SSO nicht aktiviert. Bitte wenden Sie sich an die Administrator:innen, damit der SSO-Dienst für die Organisation aktiviert wird.

Wenn Sie Organisationsgründer:in sind, melden Sie sich bei GPTBots an, navigieren Sie zu „Persönlicher Bereich > SSO“, wählen Sie beim gewünschten SSO-Dienst die Zielorganisation aus, kopieren Sie den SSO-Anmeldelink und teilen Sie diesen mit den Mitgliedern der Organisation.
alt text

Anmeldeprozess

  1. Mitglieder klicken auf den SSO-Anmeldelink und werden zur IdP-Anmeldeseite weitergeleitet.
    IdP Login Page

  2. Nach erfolgreicher Anmeldung beim IdP werden die Mitglieder zur GPTBots-Konsole weitergeleitet, wo die E-Mail-Adresse des IdP-Kontos mit der E-Mail-Adresse des GPTBots-Kontos abgeglichen wird.

  3. In der Regel gelangen Mitglieder mit den entsprechenden SSO-Berechtigungen automatisch in die zuletzt verwendete SSO-Organisation.

  4. In folgenden Sonderfällen kann es zu Abweichungen kommen:

    • Ist die im IdP-Konto hinterlegte E-Mail-Adresse nicht auf der GPTBots-Plattform registriert, wird automatisch ein Konto erstellt, zur Konfigurationsseite für persönliche Daten weitergeleitet und folgende Meldung angezeigt:
      „Ihr Konto hat keine Berechtigung für eine SSO-Organisation. Bitte wenden Sie sich an die Administrator:innen zur Autorisierung.“
    • Ist das Konto registriert, aber keiner Organisation beigetreten oder hat keine erstellt, erscheint die Meldung:
      „Ihr Konto hat keine Berechtigung für eine SSO-Organisation. Bitte wenden Sie sich an die Administrator:innen zur Autorisierung.“
    • Ist das Konto registriert und hat eine Organisation erstellt oder ist einer beigetreten, aber besitzt keine Berechtigung für die vom SSO-Dienst autorisierte Organisation, wird zur Organisationsliste des Kontos weitergeleitet. Sie müssen die gewünschte Organisation auswählen und die entsprechende Anmeldemethode wechseln.

Hinweis:
Um über den SSO-Anmeldelink auf eine Organisation zugreifen zu können, lassen Sie Ihre E-Mail-Adresse bitte von den Administrator:innen der Organisation zu den SSO-Organisationsmitgliedern hinzufügen.

Häufige Anmeldefehler

  1. Anmeldung beim IdP nicht erfolgreich
    Wenn Ihr IdP-Konto keine Zugriffsberechtigung für die IdP-SSO-Anwendung hat, tritt beim Login über den SSO-Link ein Fehler auf. Bitte wenden Sie sich an die IdP-Administrator:innen, um die Berechtigung zu erhalten.

Abmelden eines Kontos

Der Abmeldevorgang eines Kontos im SSO-Status unterscheidet sich vom regulären Abmeldevorgang:

  1. Nach dem Klick auf „Abmelden“ ruft das System automatisch die Logout-URL des IdP auf, um ein globales Logout beim IdP durchzuführen.
    alt text
    alt text

  2. Nach dem Logout ist eine erneute Authentifizierung auf der IdP-Plattform erforderlich, um sich erneut anzumelden.