Zum Hauptinhalt springen

Identity Provider (IdP) – Die Grundlage für SSO in Falcon

Lernen Sie, was ein IdP ist und wie diese mit SSO zusammenhängen

Jonas Steeger avatar
Verfasst von Jonas Steeger
Vor über 2 Wochen aktualisiert

Was ist ein Identity Provider?

Ein Identity Provider (IdP) ist ein zentraler Dienst, der die digitale Identität von Personen verwaltet und die Anmeldung bei verschiedenen Anwendungen ermöglicht – darunter auch Falcon. Sobald Falcon mit einem IdP verbunden ist, kann der Zugriff per Single Sign-On (SSO) erfolgen.

➡️ Beispiele für verbreitete Identity Provider:

  • Microsoft Entra ID (ehemals Azure AD)

  • Okta

  • Google Workspace Identity

  • Auth0, JumpCloud, Ping Identity und weitere

Wie funktioniert ein Identity Provider im Zusammenspiel mit Falcon?

Ein Identity Provider übernimmt die Authentifizierung der Person, also die Bestätigung:

"Ja, diese Person ist, wer sie vorgibt zu sein – und darf auf Falcon zugreifen."

Falcon selbst speichert keine Zugangsdaten, sondern verlässt sich auf die Bestätigung des IdP über das OpenID Connect (OIDC)-Protokoll. Wird die Anmeldung erfolgreich abgeschlossen, erhält Falcon die Information:

✔ Zugriff erlaubt – Login erfolgt.

Wann wird ein Identity Provider benötigt?

Ein IdP wird benötigt, wenn:

  • SSO für den Falcon-Hub aktiviert werden soll.

  • Benutzerzugänge zentral (z.B. von der IT) verwaltet werden sollen.

Was wird für die Einrichtung des Identity Providers in Falcon benötigt?

Die Einrichtung erfolgt typischerweise durch die eigene IT oder in Zusammenarbeit mit dem Nordantech-Support. Grundlegend sind:

Wo und wie wird der Indentity Provider in Falcon eingerichtet?

Schritt 1: Identitätsprovider anlegen

Die Einrichtung des Indentity Providers in Falcon erfolgt über die Einstellung im Bereich Sicherheit und Datenschutz. Sie finden diesen Bereich links in der Sidebar über das Hub-Symbol (Planeten-Symbol). Dort wählen Sie den Bereich Authentifizierung. Navigieren Sie über den Button zum Bereich Identitätsprovider verwalten.

Authentication Settings Falcon

Legen Sie nun über das Plus-Symbol einen neuen Provider an.

Schritt 2: Identitätsprovider konfigurieren

Nachdem Sie einen neuen Identity Provider angelegt haben, werden Sie direkt gebeten dies Konfiguration vorzunehmen. Dazu müssen Sie folgende Aspekte bereithalten.

  • Name: frei wählbar (z.B. OCTA)

  • Emittent: Der Begriff wird oft als „Issuer URL“ oder „Emittent-URI“ angegeben (z. B. https://login.microsoftonline.com/{tenant-id}/v2.0).

  • Client ID: Eindeutige Kennung für die Anwendung (Service Provider), die beim Identitätsanbieter registriert ist.

  • Client Secret: Ihr geheimer Schlüssel, der zusammen mit der Client ID genutzt wird, um die Anwendung beim Identity Provider zu authentifizieren

Optional JIT: Entscheiden Sie, ob Sie Just-in-Time-Bereitstellung (JIT) aktivieren wollen. Die Just-in-Time-Bereitstellung (JIT) erstellt Benutzerkonten automatisch, wenn sich ein neuer Nutzer erstmals via SSO anmeldet. Dies spart manuelle Anlage, ist aber nur sinnvoll, wenn keine strikte, manuelle Benutzerkontrolle genutzt wird.

Schritt 3 [Optional]: Autokonfiguration ausschalten und Konfiguration individualisieren

Autokonfiguration: Nachdem Sie den Provider angelegt und die wesentliche Konfiguration durchgeführt haben, legt Falcon den Provider an und geht dabei davon aus, das alle weiteren Eistellungsmöglichkeiten (Auth-, Token-, Benutzerinfo-Endpunkt und JWK-URI) direkt über den von Ihnen gewählten Anbieter bezogen werden können. Sollten Sie dies nicht wollen, können Sie die Autokonfiguration deaktivieren und die Konfiguration selber vornehmen.

Benutzerauswahl: Diese Option bestimmt, ob Nutzern beim Anmeldeprozess ein Auswahlfenster angezeigt wird, in dem sie den gewünschten Identitätsprovider auswählen können. Im Rahmen der nachträglichen Einstellung können Sie die Benutzerauswahl deaktivieren. Falcon nimmt per se an, dass diese Option aktiviert ist. Dies ist besonders nützlich, wenn in Falcon mehrere SSO-Provider gleichzeitig aktiviert sind (z. B. Azure AD und Okta) und Benutzer selbst entscheiden sollen, über welchen Provider sie sich anmelden möchten. Wenn die Funktion deaktiviert ist, wird automatisch der Standardprovider verwendet, ohne dass eine Auswahl angezeigt wird.

Kann Falcon mehrere Provider unterstützen?

Ja. Falcon unterstützt mehrere Identitätsprovider parallel, was bedeutet, dass verschiedene Benutzergruppen sich über unterschiedliche SSO-Anbieter (z. B. Azure AD, Okta, Google) anmelden können. Dies erleichtert die Integration mit mehreren Organisationen oder Mandanten und ermöglicht flexiblere Zugriffs- und Authentifizierungsstrategien.

Sicherheitsrisiko: Achtung bei der Konfiguration

Da die Konfiguration des Identity Providers (IdP) vollständig auf Seiten des Falcon-Kunden liegt, ist auf ein potenzielles Sicherheitsrisiko hinzuweisen: Falsch konfigurierte Sicherheitseinstellungen innerhalb des OAuth-Flows können Schwachstellen verursachen, die alle Nutzer betreffen.
Ein typisches Beispiel ist eine fehlerhaft definierte Redirect-URI. Diese kann es Angreifern ermöglichen, den Autorisierungscode abzufangen, indem sie die Weiterleitung auf ein manipuliertes Ziel umleiten. Es wird daher empfohlen, bei der Einrichtung des Identity Providers besonders auf eine korrekte und sichere Konfiguration aller OAuth-Parameter zu achten.

Verwandte Artikel
Nutzerverwaltung mit und ohne SSO in Falcon sowie Social Login
Wie erkenne ich, ob eine Person SSO nutzt?
Konfigurationsmöglichkeiten für SSO
Hat dies deine Frage beantwortet?