Zum Hauptinhalt springen

Single Sign-On (SSO) Modi in Falcon – Einstellungen, Verwaltung und Best Practices

Im Folgenden erfahren Sie, welche Modi für die SSO-Einstellungen es gibt, welche Rechte Owner, IT-Admins und User jeweils haben und wie Sie im Falle von Problemen vorgehen können.

Jonas Steeger avatar
Verfasst von Jonas Steeger
Vor über 2 Wochen aktualisiert

Die drei Modi von SSO in Falcon

Falcon bietet Ihnen drei unterschiedliche Modi, die festlegen, wie strikt die Anmeldung über den Provider gehandhabt wird: Optional, Individuell und Verpflichtend.

1. Optional

Im Modus Optional können alle Nutzer frei wählen, ob sie den Hub mit oder ohne Provider betreten.

  • Owner und IT-Admins haben die Möglichkeit, neue User sowohl mit als auch ohne Provider einzuladen. In der Userverwaltung können sie zudem über das Rechtsklick-Menü jederzeit einen Provider zuordnen oder zurücksetzen.

  • User können sich ebenfalls flexibel bewegen: Sie können sich über die Lobby mit einem Rechtsklick auf den Hub und der Auswahl „Einmalige Anmeldung zurücksetzen“ eigenständig vom Provider entkoppeln.

Dieser Modus ist besonders flexibel und eignet sich zum Einstieg, wenn Sie SSO in Ihrem Unternehmen noch testen oder schrittweise einführen möchten.

2. Individuell (empfohlen)

Der Modus Individuell stellt einen Mittelweg dar und ist die von Falcon empfohlene Einstellung.

  • Owner müssen beim Einladen neuer Nutzer festlegen, welchem Provider die eingeladenen Personen zugeordnet werden. Eine Rücksetzung dieser Zuordnung ist später nicht mehr möglich. Auch das Zurücksetzen der einmaligen Anmeldung in der Lobby steht Ownern nicht mehr zur Verfügung.

  • IT-Admins behalten hingegen ihre volle Flexibilität. Sie können weiterhin Ausnahmen verwalten, etwa für externe Berater oder eigene Testzugänge, die auch ohne Provider-Authentifizierung Zugang erhalten. Außerdem können IT-Admins ihre eigene Anmeldung jederzeit zurücksetzen, falls es Probleme mit der Konfiguration gibt.

  • User müssen sich mit dem zugeordneten Provider anmelden und können ihre Anmeldung nicht mehr selbstständig zurücksetzen.

Dieser Modus bietet Ihnen Sicherheit und Kontrolle, ohne dass Sie die Tür für notwendige Ausnahmen komplett verschließen. Deshalb ist er die beste Wahl für die meisten Organisationen.

3. Verpflichtend

Im Modus Verpflichtend wird der Zugang für alle Nutzer ausschließlich über den Provider erzwungen. Es gibt keinerlei Ausnahmen mehr.

  • Owner verhalten sich hier weitgehend wie im Modus „Individuell“.

  • IT-Admins müssen jedem neuen User zwingend einen Provider zuordnen. Ein Zurücksetzen der Provider-Zuordnung ist nicht mehr möglich – auch nicht für sie selbst. Sie müssen sich also ebenfalls immer über den Provider anmelden. Das birgt ein Risiko: Ist die Konfiguration beim Provider fehlerhaft, sperren sich IT-Admins schnell selbst aus.

  • User müssen in diesem Modus ausnahmslos den ihnen zugeordneten Provider nutzen.

Da es keinerlei Rückfallebene gibt, warnt Falcon beim Umschalten auf diesen Modus ausdrücklich vor den Risiken. Vor allem die sogenannte „Testfunktion“ ist hier heikel: Wer über die Option „Mit diesem Identitätsprovider anmelden“ einen Login ausführt, löst einen echten Login mit allen Konsequenzen aus. Ist der Provider falsch konfiguriert und der Modus steht bereits auf „Verpflichtend“, gibt es keinen Weg zurück ohne Support.

Dieser Modus eignet sich nur dann, wenn Sie eine sehr klare, dauerhaft stabile Provider-Konfiguration haben und keinerlei externe Ausnahmen notwendig sind.

Provider-Zuordnung und Zurücksetzen

Provider können auf zwei Arten zurückgesetzt werden:

  1. Zurücksetzen auf Benutzerebene

    • Hierbei wird die Benutzeridentität des Users zurückgesetzt, die Provider-Zuordnung bleibt jedoch bestehen.

    • Der User muss seine Identität erneut bestätigen und weiterhin den ihm zugeordneten Provider für den Zugang nutzen.

  2. Zurücksetzen auf Hub-Ebene (Lobby)

    • Hier wird die Zuordnung des Hubs zu einem Provider aufgehoben.

    • Der Hub kann anschließend wieder ohne Provider-Authentifizierung betreten werden.

    • Die Benutzeridentität selbst bleibt davon unberührt.

Das Zurücksetzen auf Hub-Ebene erfolgt über das Rechtsklick-Menü in der Lobby auf den jeweiligen Hub mit der Auswahl „Einmalige Anmeldung zurücksetzen“.

Typische Szenarien und Konsequenzen

  • Ein Nutzer ohne Provider-Zuordnung
    kann den Hub ohne Provider betreten. Sobald er den Hub jedoch über einen Provider-Link betritt, wird er automatisch zugeordnet – unabhängig von seiner Rolle oder der gewählten SSO-Einstellung.

  • Ein Nutzer mit Provider-Zuordnung
    muss sich immer über diesen Provider authentifizieren. Sollte die Provider-Konfiguration fehlerhaft sein, bleibt der Nutzer ausgesperrt.

Wenn ein IT-Admin ausgesperrt ist

Falls sich ein IT-Admin durch eine falsche Provider-Einstellung ausgesperrt hat, gibt es einen klaren Rettungsweg:

  1. Der Hub wird über die Adminconsole betreten (dies erfordert, dass der Support Zugriff auf den Hub hat).

  2. Dort kann die SSO-Einstellung von „Verpflichtend“ auf „Individuell“ zurückgesetzt werden.

  3. Der IT-Admin hat nun wieder Zugang und kann in der Lobby die Anmeldung per Rechtsklick-Menü zurücksetzen.

  4. Danach ist der Hub wieder regulär zugänglich und die Konfiguration kann korrigiert werden.

Wichtig: Alle anderen User bleiben weiterhin ausgesperrt, solange deren Provider fehlerhaft ist, da sie keine Möglichkeit haben, den Provider selbst zu entkoppeln.

Best Practices für den Einsatz von SSO in Falcon

  • Nutzen Sie vorzugsweise den Modus Individuell. Er vereint Sicherheit mit Flexibilität und verhindert, dass sich Admins selbst aussperren.

  • Vermeiden Sie es, Änderungen im Modus Verpflichtend vorzunehmen, solange Sie nicht absolut sicher sind, dass der Provider korrekt konfiguriert ist.

  • Dokumentieren Sie genau, welcher Provider welchem User zugeordnet ist, und halten Sie einen klaren Eskalationsprozess für den Notfall bereit.

  • Schulen Sie Owner und IT-Admins im Umgang mit den Funktionen „Identitätsprovider zuordnen“ und „Einmalige Anmeldung zurücksetzen“.

Hat dies deine Frage beantwortet?