Zum Hauptinhalt springen

Konfigurationsmöglichkeiten für SSO

Lernen Sie, wie Sie SSO verpflichtend einstellen können und welche Rolle ihr Just-In-Time und der gewählte IdP spielen

Jonas Steeger avatar
Verfasst von Jonas Steeger
Diese Woche aktualisiert

In bestimmten Organisationen ist es gewünscht oder vorgeschrieben, dass der Zugriff auf Falcon ausschließlich über Single Sign-On (SSO) erfolgt. Falcon bietet dafür passende Steuerungsmöglichkeiten auch direkt innerhalb von Falcon.


Steuerung innerhalb von Falcon

Innerhalb von Falcon kann festgelegt werden, dass ausschließlich die Anmeldung per SSO erlaubt ist – also keine klassischen Logins mit Benutzername und Passwort mehr möglich sind. Ist diese Einstellung gewählt, können User die eingeladen wurden, die Authentifizierung nur mittels SSO durchführen.


Konfigurationsmöglichkeiten

Falcon bietet drei mögliche Einstellungsmöglichkeiten für SSO.

  1. Optional:

  2. Individuell (empfohlen):

  3. Verpflichtend:


Just-In-Time-Provisioning (JIT)

JIT in Bezug auf SSO (Single Sign-On) steht für "Just-in-Time" und bezeichnet eine Methode, bei der Benutzerkonten für Anwendungen automatisch erstellt oder aktualisiert werden, wenn ein Benutzer sich zum ersten Mal über SSO bei der Anwendung anmeldet. Dies bedeutet, dass IT-Administratoren keine Benutzerkonten manuell in jeder Anwendung erstellen müssen, sondern dass diese dynamisch erstellt werden, sobald ein Benutzer versucht, sich bei der Anwendung anzumelden

Falcon erlaubt JIT. Voraussetzung dafür ist zunächst, dass der entsprechende User nicht bereits in Falcon angelegt und noch nicht eingeladen/aktiviert ist. Dieser Zustand verlangt, dass der originären Einladung gefolgt wird.

⚠️Hinweis: Rechtesetting beachten! Sofern JIT als Setting gewünscht ist, empfiehlt es sich, die Programme als geschützt zu konfigurieren. Andernfalls - also wenn der Zugang zu den Programmen öffentlich ist - sehen User nach Login alle öffentlichen Inhalte.


Zusammenspiel von Falcon und IdP

Mittels der Userverwaltung von Falcon können User eingeladen werden - und sichergestellt werden, dass ausschließlich SSO genutzt werden kann (siehe oben).

Jedoch können Sie in Falcon nicht festlegen, wer eine Einladung erhalten und akzeptieren darf. Allerdings kann diese Einstellung oftmals auf Seiten des gewählten Identity Provider (IdP) vorgenommen werden.

👉 Die Einstellung in Falcon beeinflusst nicht, wer sich anmelden darf – sondern wie.
👉 Der Identity Provider entscheidet darüber, wer Zugriff auf Falcon per SSO erhält.

Einstellung

Ort der Konfiguration

Was wird gesteuert?

Wer darf sich per SSO anmelden?

Im IdP

Zugriffskontrolle durch Gruppen, Richtlinien etc.

Wie darf man sich anmelden (z.B. ohne/mit SSO)?

In Falcon

Erlaubt oder verbietet klassischen Login


Steuerung über den Identity Provider (IdP)

Beispiele: Microsoft Entra ID, Okta, Google Workspace

Der IdP ist die zentrale Instanz, die verwaltet, wer sich überhaupt per SSO bei Falcon anmelden darf. Die Einrichtung erfolgt außerhalb von Falcon – in der Administrationsoberfläche des jeweiligen IdPs.

Gängige Möglichkeiten zur Einschränkung:

  • Zuweisung der Falcon-Anwendung nur an bestimmte Gruppen oder Personen

  • Konfiguration von Sicherheitsrichtlinien (z. B. nur Geräte mit Unternehmenszertifikat)

  • Blockieren von externen Accounts

  • Aktivieren von Multifaktor-Authentifizierung (MFA)

👉 Wichtig: Nur wer im IdP für die Nutzung von Falcon freigegeben ist, kann sich überhaupt per SSO anmelden – unabhängig von den Einstellungen in Falcon selbst.


Hat dies deine Frage beantwortet?