Ausgangssituation
Bei einer nachträglichen Einführung von SSO existieren in der Regel bereits:
aktive Nutzerkonten in Falcon
Anmeldungen per Benutzername und Passwort oder Social Login
gegebenenfalls externe Nutzer oder Testzugänge
SSO wird somit nicht bei der Erstkonfiguration, sondern im laufenden Betrieb aktiviert.
Schritt 1: Identity Provider vorbereiten
Bevor SSO in Falcon aktiviert wird, muss der gewünschte Identity Provider korrekt eingerichtet sein (z. B. Microsoft Entra, Google Identity, Okta).
Dazu gehören unter anderem:
Anlegen von Falcon als Anwendung im IdP
Zuweisung von Benutzern oder Gruppen
Konfiguration von Sicherheitsrichtlinien wie MFA
Wichtig: Der IdP entscheidet, wer sich per SSO anmelden darf. Falcon steuert ausschließlich, wie sich Nutzer anmelden.
Eine detaillierte Übersicht zur Vorbereitung des IdP findet sich im Helpcenter.
Schritt 2: SSO in Falcon aktivieren
Nach der Vorbereitung des IdPs kann SSO in Falcon aktiviert werden. Für den Einstieg empfiehlt es sich, nicht sofort den verpflichtenden Modus zu wählen.
Empfohlener Start: Modus „Optional“
Im Modus „Optional“ bleibt die Anmeldung flexibel:
Bestehende Nutzer können sich weiterhin klassisch anmelden
SSO kann parallel getestet werden
Provider-Zuordnungen lassen sich jederzeit ändern oder zurücksetzen
Dieser Modus eignet sich besonders, um die technische Konfiguration zu validieren und erste Nutzer kontrolliert umzustellen.
Schritt 3: Bestehende Nutzer nachträglich zuordnen
SSO funktioniert in Falcon nutzerbezogen. Bestehende Nutzer müssen daher einem Identity Provider explizit zugeordnet werden.
Die Zuordnung erfolgt direkt in der Userverwaltung von Falcon:
Owner und IT-Admins können per Rechtsklick auf einen bestehenden Nutzer einen Identity Provider auswählen und zuweisen. Ab diesem Zeitpunkt ist das Nutzerkonto mit dem gewählten Provider verknüpft und der nächste Login erfolgt über SSO.
Wechseln Sie dazu in die Benutzerübersicht, wählen Sie die User an (per Setzen des Hakens links außen), die Sie einem IdP zuordnen wollen. Per Rechtsklick und dem Menü-Punkt Identitätsprovider bearbeiten lässt sich nun der gewünschte IdP zuordnen.
Dieses Vorgehen erlaubt eine schrittweise Migration:
einzelne Nutzer oder Pilotgruppen können zuerst umgestellt werden
mögliche Probleme mit der IdP-Konfiguration werden frühzeitig erkannt
der laufende Betrieb bleibt stabil
Schritt 4: Wechsel in den Modus „Individuell“ (empfohlen)
Sobald klar ist, dass:
die IdP-Konfiguration stabil funktioniert
der Großteil der Nutzer erfolgreich per SSO arbeitet
empfiehlt Falcon den Wechsel in den Modus „Individuell“.
In diesem Modus:
müssen neue Nutzer beim Einladen einem Provider zugeordnet werden
können Nutzer ihre Anmeldung nicht mehr selbstständig zurücksetzen
behalten IT-Admins eine kontrollierte Rückfallebene für Ausnahmen
können IT-Admin ausgewählten Users (z.B. externe User) Zugang ohne SSO gewähren
Damit bietet dieser Modus die beste Balance aus Sicherheit, Kontrolle und Flexibilität – insbesondere bei einer nachträglichen Einführung von SSO.
Schritt 5: Verpflichtend – nur mit klarer Stabilität
Der Modus „Verpflichtend“ erzwingt SSO für alle Nutzer ohne Ausnahme. Er sollte erst aktiviert werden, wenn:
alle produktiven Nutzer zuverlässig per SSO arbeiten
keine externen oder temporären Zugänge mehr erforderlich sind
die IdP-Konfiguration langfristig stabil ist
⚠️ Achtung:
Auch IT-Admins müssen sich in diesem Modus immer über den Provider anmelden. Eine fehlerhafte Konfiguration kann zu einer vollständigen Aussperrung führen. Es gibt keine technische Rückfallebene ohne Support.
Sonderfall: Just-in-Time-Provisioning (JIT)
Just-in-Time-Provisioning spielt bei der nachträglichen Einführung meist eine untergeordnete Rolle, da Nutzer bereits existieren.
JIT greift nur, wenn:
ein Nutzer noch nicht in Falcon angelegt ist
keine Einladung vorliegt
der erste Login direkt über SSO erfolgt
Hinweis: Wenn JIT aktiv ist, sollten Programme als geschützt konfiguriert sein. Andernfalls sehen neu angelegte Nutzer nach dem Login alle öffentlichen Inhalte.