Zum Hauptinhalt springen

SSO-Schnellstartanleitung

Kompakte, herstellerneutrale Schnellstartanleitung für Single Sign-On (SSO) mit Falcon, fokussiert auf die wesentlichen Schritte und unabhängig vom verwendeten Identity Provider (z. B. Microsoft Entra ID, Okta, Auth0).

Jonas Steeger avatar
Verfasst von Jonas Steeger
Vor über 3 Wochen aktualisiert

1. Das SSO-Modell in Falcon verstehen (vor dem Start)

Falcon verwendet OpenID Connect (OIDC) für SSO.

  • Falcon = Relying Party (Client)

  • Ihr Identity Provider (IdP) = Authentifizierungsinstanz

  • Falcon authentifiziert Benutzer nicht selbst, wenn SSO aktiviert ist

  • Benutzer werden über ihre E-Mail-Adresse identifiziert

  • Die Zugriffskontrolle (wer sich anmelden darf) erfolgt im IdP, nicht in Falcon

2. Voraussetzungen

Stellen Sie sicher, dass Folgendes erfüllt ist:

  • SSO ist für Ihren Falcon Hub aktiviert

  • Sie verfügen mindestens über technische Administratorrechte in:

    • Falcon (Bereiche Sicherheit & Datenschutz / Authentifizierung)

    • Ihrem Identity Provider

  • Ein OIDC-fähiger Identity Provider (z. B. Microsoft Entra ID, Okta, Auth0)

  • Eine klare Entscheidung zum SSO-Modus (siehe Schritt 6)

3. Falcon als Anwendung im Identity Provider registrieren

In Ihrem Identity Provider:

  1. Erstellen Sie eine neue Anwendung / einen neuen Client

  2. Wählen Sie OpenID Connect (OIDC) als Protokoll

  3. Konfigurieren Sie:

    • Client ID

    • Client Secret

  4. Notieren Sie sich folgende Werte (werden später in Falcon benötigt):

    • Client ID

    • Client Secret

    • Tenant- bzw. Issuer-Identifier (falls zutreffend)

⚠️ Noch keine Redirect-URLs konfigurieren – diese stellt Falcon später bereit.

4. Identity Provider in Falcon anlegen

In Falcon:

  1. Navigieren Sie zu Sicherheit & Datenschutz

  2. Öffnen Sie Authentifizierung

  3. Wählen Sie Identitätsprovider verwalten

  4. Legen Sie einen neuen Identitätsprovider an

  5. Tragen Sie ein:

    • Emittent (Issuer) – OIDC-Issuer-URL Ihres IdP

    • Client ID

    • Client Secret

  6. Speichern Sie die Konfiguration

Nach dem Speichern erzeugt Falcon eine Callback-URL (Redirect URI).

➡️ Kopieren Sie diese URL

5. Konfiguration im Identity Provider abschließen

Zurück in Ihrem Identity Provider:

  1. Öffnen Sie die Falcon-Anwendung

  2. Fügen Sie die von Falcon generierte Callback-URL als Redirect URI hinzu

  3. Speichern Sie die Konfiguration

(Optional, aber empfohlen)

  • Zugriff über Benutzer oder Gruppen einschränken

  • Multi-Faktor-Authentifizierung (MFA) gemäß Ihrer Sicherheitsrichtlinien aktivieren

6. SSO-Modus in Falcon festlegen

Legen Sie in Falcon fest, wie strikt SSO erzwungen wird:

Empfohlen: Individuell

  • Benutzer müssen sich über SSO anmelden

  • Administratoren steuern die Zuweisung des Identitätsproviders

  • Reduziert das Risiko von Admin-Lockouts

  • Beste Balance aus Sicherheit und Flexibilität

Weitere Optionen:

  • Optional – SSO und klassischer Login parallel (geeignet für Tests)

  • Verpflichtend – ausschließlich SSO, kein Fallback (mit Vorsicht einsetzen)

7. SSO-Anmeldung testen

  1. Verwenden Sie in Falcon „Mit diesem Identitätsprovider anmelden“

  2. Sie werden zu Ihrem IdP weitergeleitet

  3. Authentifizieren Sie sich erfolgreich

  4. Bestätigen Sie die Falcon-Anmeldung per E-Mail (bei erstmaliger Verknüpfung)

  5. Schließen Sie die Einrichtung ab

Falls aktiviert, erstellt Just-in-Time (JIT)-Provisioning den Falcon-Benutzer automatisch bei der ersten Anmeldung.

8. Grundlagen der Benutzerverwaltung

  • Falcon-Benutzer werden über ihre E-Mail-Adresse zugeordnet

  • Bestehende Benutzer können automatisch mit SSO verknüpft werden

  • Der Zugriff wird im Identity Provider gesteuert

  • Falcon bestimmt wie sich Benutzer anmelden – nicht wer sich anmelden darf

Verwandte Artikel
Identity Provider (IdP) – Die Grundlage für SSO in Falcon
Schritt-für-Schritt-Anleitung der Integration von Falcon mit Microsoft Entra für SSO via OpenID Connect (OIDC)
Identity Provider (IdP) - Konfiguration: Standards und Legacy-Support
SSO nachträglich aktivieren – Best Practices für eine sichere Umstellung
Hat dies deine Frage beantwortet?