Einloggen via SSO/Einrichtung

Vorteile der Realisierung eines Single Sign-On (SSO)

Single Sign-On (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich einmalig anzumelden und auf mehrere Anwendungen und Systeme zuzugreifen, ohne für jede Anwendung separate Anmeldeinformationen eingeben zu müssen.

  • Grundelemente des Single Sign-On (SSO)
  • Service Provider (Anmeldeserver zum concludis Portal, oder zu concludis) 
  • Identity Provider (Der Dienst, der die Identität der Benutzers überprüft. Häufig wird hierfür Microsoft Entra-ID, ehem. MS-AD verwendet.)

Dies bietet zahlreiche Vorteile:

  • Vereinfachte Benutzererfahrung: Benutzer melden sich nur einmal an und haben Zugriff auf alle autorisierten Systeme, was Zeit spart und die Verwaltung von Anmeldeinformationen erleichtert.
  • Zentrale Verwaltung der Benutzerdaten: Adressen, Telefonnummern und andere Informationen können zentral aktualisiert und verwaltet werden.
  • Erhöhte Sicherheit: Da Benutzer nur ein einziges Passwort verwenden, können stärkere und komplexere Passwörter genutzt werden. Dies reduziert das Risiko von Passwort-Diebstahl und Phishing-Angriffen.
  • Zeit- und Kostenersparnis: IT-Administratoren verwalten nur ein zentrales System anstelle mehrerer Benutzerkonten in verschiedenen Anwendungen.
  • Reduziertes Support-Aufkommen: Weniger vergessene Passwörter führen zu weniger Support-Anfragen an die IT-Abteilung.

Möglichkeiten/Optionen via Anbindung an einen Federation Service (ADFS, Azure AD, DFN, etc.)

SSO Basics

Grundlegende Authentifizierung:

Concludis unterstützt SSO, erfordert jedoch eine eindeutige, permanente Benutzer-ID, die mit dem System synchronisiert wird (SSO-ID in der Benutzerverwaltung). Diese ID sorgt dafür, dass Änderungen des Anmeldenutzers, wie z.B. eine neue E-Mail-Adresse, die Anmeldung und Zuordnung zum bestehenden Benutzer weiterhin ermöglichen.

Zusätzliche Attribute (SAML-Protokoll):

Es können zusätzliche Attribute aus der AD (z. B. Name, E-Mail, Abteilung) bei jedem Login übertragen werden.

Achtung: Attribute werden nur beim Login übertragen. Benutzer, die sich nicht anmelden, werden nicht synchronisiert.

Synchronisation personenbezogener Daten:

Synchronisation von Name, E-Mail, Telefon usw. ist möglich.

Neue Benutzer können automatisch basierend auf einem definierten Benutzer-Template angelegt werden.

Der HR-Admin kann nachträglich Benutzerrollen und Berechtigungen in Concludis zuweisen.

Synchrones Rechtemanagement:

Benutzergruppen aus der AD können bestimmten Berechtigungsprofilen in Concludis zugeordnet werden.

Wichtig: Die Verwaltung der Benutzergruppen in der AD muss diszipliniert erfolgen, da eine nachträgliche Anpassung in Concludis nur eingeschränkt möglich ist.

Synchronisation von Benutzergruppen/Companies:

Zuständigkeiten für verschiedene Companies können ebenfalls über die AD verwaltet werden.

Mapping über eine Namenskonvention: z. B. Benutzergruppe company_[concludisIDderCompany] wird automatisch der richtigen Company in Concludis zugeordnet.

Wichtige Hinweise zur Synchronisation:

Änderungen in der AD (z. B. Deaktivierung eines Benutzers) werden nur bei Login in Concludis berücksichtigt.

Schritte zum Verlinken des SSO mit Azure AD

Enterprise-Applikation in Microsoft Entra ID (Azure AD) anlegen

    • Melden Sie sich unter https://entra.microsoft.com/ an.

    • Erstellen Sie eine neue Enterprise-Applikation (Non-Gallery) und benennen Sie diese beispielsweise „concludis Connector“.

      concludis App konfigurieren

    • Navigieren Sie zu Applications -> Enterprise Applications.

    • Suchen und öffnen Sie die erstellte concludis App.

      SSO-Konfiguration vornehmen

    • Gehen Sie im Reiter Single Sign-On auf SAML und klicken Sie auf Upload Metadata.

    • Metadaten von uns befinden sich unter: https://sso.concludis.de/metadata man kann sie aber auch von https://sso.concludis.de als Datei herunterladen und in der erstellten Entra-Id-App hochladen

      Benutzerzuweisung und Berechtigungen

    • Wechseln Sie zum Reiter Users and Groups.

    • Fügen Sie alle Benutzer hinzu, die SSO nutzen sollen.

      APP-Federation-Metadata URL übermitteln

    • Senden Sie die APP-Federation-Metadata URL an den Concludis-Support zur finalen Integration.

Zusätzliche Hinweise:

  • Stellen Sie sicher, dass SAML-Attribute korrekt konfiguriert sind (z. B. Name, E-Mail, Gruppen).
  • Falls benötigt, richten Sie ein Signing-Zertifikat für verschlüsselte Kommunikation ein.
  • Änderungen in der AD (z. B. Deaktivierung eines Benutzers) werden nur bei Login in Concludis berücksichtigt.
  • Änderungen in der AD (z. B. Anpassung eines Attributes) werden erst nach einem Login zu Concludis über SSO berücksichtigt.

  • Eine automatische Deaktivierung eines concludis Benutzers durch nicht mehr vorhandene AD-Benutzer erfolgt nicht standardmäßig. Anmeldungen über Passwort sind weiterhin möglich.


Nach Abschluss dieser Schritte ist SSO in Concludis aktiv und Benutzer können sich mit ihren Unternehmensanmeldeinformationen authentifizieren.


Wenn Sie sich für ein LogIn-Verfahren via SSO entschieden haben kommen Sie gern auf uns zu. Die Kolleg:innen aus dem Helpdesk vereinbaren gern ein online Gespräch mit Ihnen und unserer IT.

Hat das Ihre Frage beantwortet? Vielen Dank für Ihr Feedback Ihr Feedback konnte leider nicht gespeichert werden. Bitte versuchen Sie es später nocheinmal.