SSO ist eine Top-3-Checkbox auf jeder Enterprise-Evaluierungs-Scorecard. Und auf den meisten Plattformen bedeutet es, ein Support-Ticket einzureichen, einen Anruf mit einem Solutions Engineer zu planen und 3-5 Werktage zu warten, bis jemand einen Schalter in Ihrem Namen umlegt.
Enterprise-IT-Teams wollen nicht warten. Sie wollen eine Einstellungsseite öffnen, eine Metadaten-URL einfügen, die Verbindung testen und weitermachen. Das macht JieGous Self-Service-SSO-Konfiguration.
7 Identity Provider, 2 Protokolle
JieGou unterstützt 7 Identity-Provider-Presets von Haus aus:
| Anbieter | Protokolle |
|---|---|
| Okta | SAML 2.0, OIDC |
| Azure AD (Entra ID) | SAML 2.0, OIDC |
| Google Workspace | SAML 2.0, OIDC |
| OneLogin | SAML 2.0, OIDC |
| Auth0 | SAML 2.0, OIDC |
| Ping Identity | SAML 2.0, OIDC |
| Benutzerdefinierter Anbieter | SAML 2.0, OIDC |
Die Option Benutzerdefinierter Anbieter funktioniert mit jedem SAML 2.0- oder OIDC-kompatiblen Identity Provider. Wenn Ihr IdP eines dieser Protokolle spricht, funktioniert er mit JieGou.
Protokolldetails
SAML 2.0
Geben Sie eine Metadaten-URL ein und JieGou ruft automatisch das XML-Dokument ab, extrahiert die Entity-ID, SSO-URL und das X.509-Zertifikat automatisch. Kein manuelles Kopieren und Einfügen von Zertifikaten.
Konfigurationsoptionen:
- 4 Name-ID-Formate — E-Mail, Persistent, Transient, Unspezifiziert
- Auth-Request-Signierung — SAML-Authentifizierungsanfragen signieren für Anbieter, die es erfordern
- Zertifikat-Fingerabdruck — SHA-256-Fingerabdruck-Validierung für das Signierzertifikat des IdP
OpenID Connect (OIDC)
Geben Sie eine Discovery-URL ein und JieGou normalisiert sie automatisch — fügt /.well-known/openid-configuration hinzu, wenn nötig — und ruft dann das Discovery-Dokument ab, um Endpunkte automatisch zu befüllen.
Konfigurationsoptionen:
- Client-ID + verschlüsseltes Client-Secret — das Client-Secret wird vor der Speicherung über Key-Vault verschlüsselt
- Konfigurierbare Scopes — Standard:
openid profile email groups - 3 Token-Endpunkt-Auth-Methoden —
client_secret_basic,client_secret_post,private_key_jwt
Der Setup-Flow
Die Konfiguration erfolgt in 9 Schritten:
- Zu Kontoeinstellungen navigieren — SSO-Konfiguration lebt unter den Sicherheitseinstellungen Ihres Kontos
- Protokoll wählen — SAML 2.0 oder OIDC
- Anbieter-Preset wählen — aus den 7 Presets wählen oder Benutzerdefiniert auswählen
- E-Mail-Domain eingeben — Einzigartigkeit wird über alle Konten erzwungen, sodass keine zwei Organisationen dieselbe Domain beanspruchen können
- Anbieterspezifische Felder ausfüllen — Metadaten-URL für SAML, Discovery-URL für OIDC, plus anbieterspezifische Konfiguration
- Provisioning konfigurieren — Auto-Provisioning ein- oder ausschalten, Standardrolle für neue Benutzer festlegen
- Gruppen-zu-Rollen-Mappings einrichten — IdP-Gruppen auf JieGou-Rollen abbilden
- Konfiguration speichern — validiert alle Felder vor dem Speichern
- Verbindung testen — Diagnose ausführen, Ergebnisse prüfen, dann aktivieren
Schritte 1-8 sind Konfiguration. Schritt 9 ist, wo Sie alles verifizieren, bevor Sie live gehen.
Verbindungstest mit Diagnose
Der Test-Button führt eine vollständige Diagnose-Suite gegen Ihre IdP-Konfiguration aus. Ein Klick, und Sie sehen Pro-Prüfung Pass/Fail-Indikatoren mit farbkodierten Ergebnissen.
SAML-Diagnose:
- Metadaten-Dokument erfolgreich abgerufen?
- SSO-URL erreichbar?
- X.509-Zertifikat gültig und nicht abgelaufen?
OIDC-Diagnose:
- Discovery-Dokument erfolgreich abgerufen?
- Token-Endpunkt erreichbar?
- Gruppen-Claim in Token-Antwort gefunden?
Jede Prüfung zeigt ein klares Bestanden oder Fehlgeschlagen. Wenn etwas bricht, sehen Sie genau, welcher Schritt fehlgeschlagen ist — nicht eine generische “SSO-Konfigurationsfehler”-Meldung. Testergebnisse werden für Ihren Audit-Trail gespeichert, sodass Sie protokolliert haben, wann die Verbindung validiert wurde und von wem.
Gruppen-zu-Rollen-Mapping
JieGou hat eine 6-Rollen-Hierarchie: Owner, Admin, Dept Lead, Member, Auditor und Viewer. SSO-Gruppen-zu-Rollen-Mapping verbindet die Gruppenstruktur Ihres IdP direkt mit diesen Rollen.
Das Mapping funktioniert so:
| IdP-Gruppe | JieGou-Rolle |
|---|---|
engineering-leads | Dept Lead |
engineering | Member |
finance-auditors | Auditor |
executives | Admin |
contractors | Viewer |
Sie können auch Abteilungen aus Gruppen zuweisen. Wenn Ihr IdP Gruppen wie dept-engineering oder dept-marketing hat, bilden Sie diese auf JieGou-Abteilungen ab, damit Benutzer automatisch im richtigen organisatorischen Kontext landen.
Benutzer ohne passende Gruppe bekommen die Standardrolle — typischerweise Member. Das bedeutet, jeder SSO-Benutzer bekommt Zugang, auch wenn Ihre IdP-Gruppenstruktur nicht perfekt JieGous Rollenmodell widerspiegelt.
Just-in-Time-Provisioning
Wenn JIT (Just-in-Time) Provisioning aktiviert ist, brauchen neue Benutzer keine separate Einladung. So funktioniert es:
- Ein Benutzer authentifiziert sich per SSO
- Seine E-Mail-Domain stimmt mit Ihrer konfigurierten SSO-Domain überein
- JieGou erstellt automatisch seine Kontomitgliedschaft mit der konfigurierten Standardrolle
- Gruppen-zu-Rollen-Mappings greifen und upgraden oder spezifizieren die Rolle, wenn ein Match gefunden wird
- Abteilungszuweisungen aus Gruppen-Mappings werden angewendet
- Der Benutzer wird durch den Onboarding-Flow geleitet
Keine Admin-Aktion erforderlich. Keine Einladungslinks zu verwalten. Ein neuer Mitarbeiter meldet sich am ersten Tag an, und sein Zugang wird durch die Gruppen konfiguriert, zu denen er in Ihrem IdP gehört.
Login-Flow
Aus Benutzerperspektive sind SSO-Login 3 Klicks:
- Klicken Sie auf “Mit SSO anmelden” auf der Login-Seite
- E-Mail-Adresse eingeben
- Das System führt eine Domain-Suche durch — ein öffentlicher, unauthentifizierter Endpunkt, der prüft, ob die E-Mail-Domain einen SSO-Anbieter konfiguriert hat
- Wenn ein Anbieter gefunden wird, erscheint ein “Mit [Anbietername] anmelden”-Button
- Klicken, mit dem IdP über
signInWithPopupauthentifizieren und in JieGou landen
Der Domain-Suche-Endpunkt ist absichtlich öffentlich. Er verrät nicht, ob eine bestimmte E-Mail-Adresse existiert — nur ob eine Domain SSO konfiguriert hat. Das ist das Standardmuster, das von den meisten SSO-Implementierungen verwendet wird, um Benutzer zum richtigen IdP zu routen.
Sicherheit
Domain-Einzigartigkeit — Jede E-Mail-Domain kann nur von einem Konto beansprucht werden. Das verhindert, dass ein bösartiges Konto SSO für eine Domain konfiguriert, die es nicht besitzt, und Authentifizierungsflüsse abfängt.
Audit-Logging — Jede Konfigurationsänderung wird protokolliert: wer was geändert hat, wann und die Vorher/Nachher-Werte. SSO-Setup, Modifikation, Testing, Aktivierung und Deaktivierung werden alle verfolgt.
Nur-Admin-Zugriff — SSO-Konfiguration erfordert die account:admin-Berechtigung. Normale Benutzer können sich per SSO authentifizieren, aber die Konfiguration nicht einsehen oder ändern.
Verschlüsselte Secrets — OIDC-Client-Secrets werden über Key-Vault verschlüsselt, bevor sie in die Datenbank geschrieben werden. Sie werden nur im Speicher entschlüsselt, wenn sie für den Token-Austausch benötigt werden.
Verfügbarkeit
Self-Service SSO/SAML-Konfiguration ist in Enterprise-Plänen verfügbar. Enthält alle 7 Identity-Provider-Presets, SAML 2.0- und OIDC-Support, Gruppen-zu-Rollen-Mapping, JIT-Provisioning, Verbindungsdiagnose und vollständiges Audit-Logging. Erfahren Sie mehr über Enterprise-Features oder starten Sie eine Testversion.