Kontakt
Kontakt aufnehmen
zurück

STACKIT SSO Integration: Single Sign-On mit Entra ID, OIDC und SAML einfach umsetzen.

Warum mehrere Identitäten verwalten, wenn Single Sign-On alles vereinfacht?

STACKIT setzt bewusst auf einen föderierten Ansatz für Identitäten. Statt Benutzerkonten neu anzulegen, werden bestehende Identitäten sicher angebunden. Genau hier kommt eine Identity Provider Federation mit Single Sign-On (SSO) ins Spiel. Sie reduziert den administrativen Aufwand und stärkt gleichzeitig Security, Compliance und Governance. Wir zeigen, wie die STACKIT SSO Integration funktioniert und geben ein Praxisbeispiel für die Integration mit Entra ID.

Die 3 wichtigsten Vorteile von STACKIT SSO und Identity Federation

1. Bestehende Sicherheitsrichtlinien weiterverwenden

Mit einer föderierten Anmeldung lassen sich vorhandene Conditional Access Policies übernehmen, zum Beispiel für Geofilter oder Multi-Faktor-Authentifizierung (MFA).

2. Einheitliche Sicherheitsbewertung für Benutzer

Risikosignale wie Risky User oder Risky Sign-In können zentral bewertet und genutzt werden. Das erhöht die Sicherheit und sorgt für konsistente Entscheidungen.

3. Bessere User Experience

Mitarbeitende müssen nicht mehrere Konten und Passwörter verwalten. Ein zentraler Login über den eigenen Identity Provider macht den Zugang einfacher und komfortabler.

Warum STACKIT kein eigenes Benutzerverzeichnis betreibt

STACKIT ist kein klassischer Identity Provider (IdP). Stattdessen agiert STACKIT als Relying Party und vertraut für die Authentifizierung auf einen externen Identity Provider.

Diese Entscheidung ist bewusst getroffen und bringt klare Vorteile:

  • keine doppelte Benutzerpflege
  • keine aufwendige Identity-Migration
  • klare Trennung von Authentifizierung und Autorisierung

Die Authentifizierung erfolgt extern, während STACKIT die Autorisierung übernimmt.

Welche Identity Provider unterstützt STACKIT?

Durch die Identity Provider Federation können bestehende Verzeichnisdienste direkt genutzt werden, zum Beispiel:

  • Microsoft Entra ID
  • Google Workspace
  • eigene IAM-Systeme
  • Open-Source-IdPs wie Keycloak

Welche Standards unterstützt STACKIT?

STACKIT setzt auf etablierte Protokolle für die föderierte Anmeldung:

  • OpenID Connect (OIDC)
  • SAML 2.0

Mehr Informationen finden Sie hier: STACKIT IdP verstehen

Implementierung von STACKIT SSO am Beispiel von Microsoft Entra ID

In vielen Organisationen ist Microsoft Entra ID bereits die zentrale Identitätsplattform. Die Integration mit STACKIT erfolgt über OpenID Connect und folgt immer dem gleichen Prinzip:

Grafik STACKIT SSO

Technische Umsetzung von SSO mit STACKIT im Überblick

Die Entra-ID-Integration folgt einem klaren, kontrollierten Ablauf:

  1. Registrierung einer Anwendung in Microsoft Entra ID
    Erstellung App Registration
  2. Erstellen Sie ein Client Secret für die App Registration
  3. Konfiguration von Redirect-URLs, Claims und Scopes
    Redirect URL für STACKIT SSO
    Token Konfiguration für STACKIT SSO
    API Permissions für STACKIT SSO
  4. In dem Enterprise-Application-Objekt der App-Registration werden nun die gewünschten User/Gruppen hinzugefügt, die sich per SSO einloggen dürfen.
    Hinweis: Standardmäßig mappt der STACKIT Username auf das E-Mail Adress Attribut des Entra ID Users. Das heißt, wenn ein Benutzer keine Lizenz im Exchange hat, klappt die Anmeldung nicht. In der Übermittlung der Tokens Claims kann man jedoch Alternativ als Workaround den User Principal Name auf die E-Mail Adresse mappen.
    Empfehlung: Aktivieren Sie die Option „Assignment Required“ in den Einstellungen des Enterprise-Application-Objekts, um sicherzustellen, dass nur die der Enterprise Application zugewiesenen User und Gruppen erfolgreich über Entra ID authentifiziert werden können.
  5. Zwischenspeicherung der App-Registration-Parameter für den STACKIT Support
    Azure Informationen der App Registration / Service Principal
  6. Basierend auf den Informationen aus Schritt 4 wird nun ein Support Ticket bei STACKIT eröffnet, welches die Gegenstellenkonfiguration durch STACKIT einleitet. Die hier erwarteten Informationen sind den Unterseiten des oben verlinkten STACKIT Docs Artikels zu entnehmen. Man kann optional beim STACKIT Support auch eine sichere Ablage für die Zugangsdaten verlangen, sodass diese nicht frei lesbar im Supportticket hinterlegt sind. Dafür ist eine initiale Information an den Support notwendig.
    Support Ticket STACKIT
  7. Durchführung der STACKIT Konfiguration durch den STACKIT Support
    Support Antwort STACKIT
  8. Funktionstest & Bestätigung des STACKIT Tickets
    Hinweis: Es bietet sich an, das Ablaufdatum des Client Secrets aus Schritt 2 zu monitoren. Sobald das Secret abläuft, entfällt auch die Möglichkeit der SSO Nutzung. Eine Erneuerung des Secrets muss rechtzeitig mit dem Support abgestimmt werden.

Ansprechpartner

Buchen Sie einen Termin mit unseren Experten oder schreiben Sie uns eine Nachricht um mehr zu erfahren.
Tim-Szostakowski-Close-up_Shot_Rounded_Web.webp

Tim Szostakowski

Termin buchen

Ihr Partner für IT-Beratung und Services.

Wir sind für Sie da

Deutschland

+49 7144 160 980

Schweiz

+41 43 883 08 70

E-Mail

[email protected]

Downloads

Unternehmensportfolio

Erfolgreiche Projekte mit Rewion als Trusted Advisor
DHBW
stack it
Dr. Frontheim
IKK Kliniken
Landes Krankenhaus
AWO
Röchling
TÜV Rheinland
thyssenkrupp
SWR
Siemens
Schwarz Gruppe
Die Stuttgarter
LVM
FEIN
Kärcher
HSD
HITACHI
Frankfurt Airport
EF Eugster Frismag
dm Tech
dataport
Carthago
Bucher
DHBW
stack it
Dr. Frontheim
IKK Kliniken
Landes Krankenhaus
AWO
Röchling
TÜV Rheinland
thyssenkrupp
SWR
Siemens
Schwarz Gruppe
Die Stuttgarter
LVM
FEIN
Kärcher
HSD
HITACHI
Frankfurt Airport
EF Eugster Frismag
dm Tech
dataport
Carthago
Bucher
Deichmann
Bauwerk
Ritter Sport
Dürr
Ilm-Kreis-Kliniken
Robert-Bosch Krankenhaus
ARD
Fritz
RAPS
Bayrisches Staatsministerium
coop
BALLUFF
hr
NDR
MDR
Universitätsklinikum Freiburg
Konstruktionsgruppe Bauen
BIM Cluster
Bayern Tourismus
Bürger
Pflugfelder
GSG Neuwied
VRR
VOSS
Deichmann
Bauwerk
Ritter Sport
Dürr
Ilm-Kreis-Kliniken
Robert-Bosch Krankenhaus
ARD
Fritz
RAPS
Bayrisches Staatsministerium
coop
BALLUFF
hr
NDR
MDR
Universitätsklinikum Freiburg
Konstruktionsgruppe Bauen
BIM Cluster
Bayern Tourismus
Bürger
Pflugfelder
GSG Neuwied
VRR
VOSS

Technischer Support

Willkommen bei unserem exklusiven Support für Bestandskunden. Hier finden Sie alle nötigen Informationen, um schnell und unkompliziert Hilfe bei technischen Anfragen zu erhalten.

Support-Hotline

Für dringende Anfragen erreichen Sie uns telefonisch unter:

+49 7144 160 9800

Support E-Mail

Senden Sie uns Ihr Anliegen mit allen relevanten Details an:

[email protected]

Fernwartung via TeamViewer

Für eine direkte Unterstützung per Fernwartung, laden Sie bitte unser TeamViewer-Modul herunter:

TeamViewer starten

Bitte beachten Sie: Dieser Kanal ist speziell für technische Anfragen unserer Bestandskunden vorgesehen. Für allgemeine Anfragen, Informationen zu unseren Dienstleistungen oder eine Erstberatung nutzen Sie bitte unser Kontaktformular oder schreiben Sie eine E-Mail an [email protected].