In bestimmten Organisationen ist es gewünscht oder vorgeschrieben, dass der Zugriff auf Falcon ausschließlich über Single Sign-On (SSO) erfolgt. Falcon bietet dafür passende Steuerungsmöglichkeiten auch direkt innerhalb von Falcon.
Steuerung innerhalb von Falcon
Innerhalb von Falcon kann festgelegt werden, dass ausschließlich die Anmeldung per SSO erlaubt ist – also keine klassischen Logins mit Benutzername und Passwort mehr möglich sind. Ist diese Einstellung gewählt, können User die eingeladen wurden, die Authentifizierung nur mittels SSO durchführen.
Konfigurationsmöglichkeiten
Falcon bietet drei mögliche Einstellungsmöglichkeiten für SSO.
Optional:
Individuell (empfohlen):
Verpflichtend:
Just-In-Time-Provisioning (JIT)
JIT in Bezug auf SSO (Single Sign-On) steht für "Just-in-Time" und bezeichnet eine Methode, bei der Benutzerkonten für Anwendungen automatisch erstellt oder aktualisiert werden, wenn ein Benutzer sich zum ersten Mal über SSO bei der Anwendung anmeldet. Dies bedeutet, dass IT-Administratoren keine Benutzerkonten manuell in jeder Anwendung erstellen müssen, sondern dass diese dynamisch erstellt werden, sobald ein Benutzer versucht, sich bei der Anwendung anzumelden
Falcon erlaubt JIT. Voraussetzung dafür ist zunächst, dass der entsprechende User nicht bereits in Falcon angelegt und noch nicht eingeladen/aktiviert ist. Dieser Zustand verlangt, dass der originären Einladung gefolgt wird.
⚠️Hinweis: Rechtesetting beachten! Sofern JIT als Setting gewünscht ist, empfiehlt es sich, die Programme als geschützt zu konfigurieren. Andernfalls - also wenn der Zugang zu den Programmen öffentlich ist - sehen User nach Login alle öffentlichen Inhalte.
Zusammenspiel von Falcon und IdP
Mittels der Userverwaltung von Falcon können User eingeladen werden - und sichergestellt werden, dass ausschließlich SSO genutzt werden kann (siehe oben).
Jedoch können Sie in Falcon nicht festlegen, wer eine Einladung erhalten und akzeptieren darf. Allerdings kann diese Einstellung oftmals auf Seiten des gewählten Identity Provider (IdP) vorgenommen werden.
👉 Die Einstellung in Falcon beeinflusst nicht, wer sich anmelden darf – sondern wie.
👉 Der Identity Provider entscheidet darüber, wer Zugriff auf Falcon per SSO erhält.
Einstellung | Ort der Konfiguration | Was wird gesteuert? |
Wer darf sich per SSO anmelden? | Im IdP | Zugriffskontrolle durch Gruppen, Richtlinien etc. |
Wie darf man sich anmelden (z.B. ohne/mit SSO)? | In Falcon | Erlaubt oder verbietet klassischen Login |
Steuerung über den Identity Provider (IdP)
Beispiele: Microsoft Entra ID, Okta, Google Workspace
Der IdP ist die zentrale Instanz, die verwaltet, wer sich überhaupt per SSO bei Falcon anmelden darf. Die Einrichtung erfolgt außerhalb von Falcon – in der Administrationsoberfläche des jeweiligen IdPs.
Gängige Möglichkeiten zur Einschränkung:
Zuweisung der Falcon-Anwendung nur an bestimmte Gruppen oder Personen
Konfiguration von Sicherheitsrichtlinien (z. B. nur Geräte mit Unternehmenszertifikat)
Blockieren von externen Accounts
Aktivieren von Multifaktor-Authentifizierung (MFA)
👉 Wichtig: Nur wer im IdP für die Nutzung von Falcon freigegeben ist, kann sich überhaupt per SSO anmelden – unabhängig von den Einstellungen in Falcon selbst.