SSO mit einem dedizierten OIDC-Client

Erfahre, wie du Single Sign-On (SSO) für findIQ über deinen Identity Provider mit dem OIDC-Protokoll einrichtest.

Geschrieben von Tommy Giesbrecht

Zuletzt aktualisiert Vor 21 Tagen

Dieser Artikel beschreibt, wie du Single Sign-On (SSO) für findIQ über deinen Identity Provider (IdP) mithilfe eines dedizierten OIDC-Clients einrichtest. Nach dem Lesen weißt du, welche Konfigurationsschritte erforderlich sind und welche Informationen du an das findIQ-Team weitergeben musst.

Du kannst auf diesen Bereich mit der Rolle Administrator zugreifen.

Was ist SSO via OIDC?

Begriff

Erklärung

SSO (Single Sign-On)

Ein Anmeldeverfahren, bei dem sich Nutzer einmal anmelden und auf mehrere Anwendungen zugreifen können.

OIDC (OpenID Connect)

Ein Authentifizierungsprotokoll, das auf OAuth 2.0 basiert. findIQ nutzt OIDC, um Nutzer über einen externen Identity Provider zu authentifizieren.

Identity Provider (IdP)

Ein Dienst, der Nutzeridentitäten verwaltet und überprüft — zum Beispiel Microsoft Entra ID / Azure AD, Okta, Keycloak, Auth0, ADFS oder Google Workspace.

Claim Mapper

Eine Konfiguration im Identity Provider, die dem Access Token benutzerdefinierte Felder (Claims) hinzufügt. findIQ nutzt die Werte im roles-Claim, um Nutzer der richtigen Organisation und Rolle zuzuordnen.

Artikelziel: Nach dem Lesen dieses Artikels weißt du, wie du einen OIDC-Client in deinem Identity Provider erstellst, den passenden Claim Mapper konfigurierst und die Verbindung zu findIQ aktivierst.

Wie richte ich SSO via OIDC ein?

Für die Einrichtung benötigst du Administratorzugriff auf deinen Identity Provider sowie Kontakt zum findIQ-Team.

1. OIDC-Client im Identity Provider erstellen

Erstelle in deinem Identity Provider einen neuen OIDC-Client mit folgenden Einstellungen:

  • Client Authentication aktivieren (Typ: confidential)

  • Root URL (optional, je nach IdP): https://app.findiq.de

  • Redirect URL: https://app.findiq.de/auth/realms/api_main/broker/oidc/endpoint

2. Claim Mapper konfigurieren

Erstelle eine neue Rolle für den Token-roles-Claim (je nach IdP auch „Dedicated Client Role“ genannt).

  • Rollenname (Token-Wert): {organisation}/{rolle}

Den Namen deiner Organisation findest du in der URL der findIQ-App. Beispiel: Ein gültiger Token-Wert für die Organisation unter https://app.findiq.de/app/MeineFirma/machines wäre MeineFirma/Operator.

Stelle sicher, dass der Claim im Access Token im rolesAttribut enthalten ist.

Verfügbare Rollen

Rolle

Beschreibung

Operator

Kann Troubleshooting und Routinen durchführen

Editor

Kann zusätzlich Inhalte bearbeiten, zum Beispiel die Heatmap, Routinen und Templates

Administrator

Vollzugriff inklusive Nutzerverwaltung und Einstellungen

3. Informationen an findIQ senden

Sende folgende Informationen an das findIQ-Team:

  • Den Discovery Endpoint deines Identity Providers (endet mit /.well-known/openid-configuration)

  • Die generierte Client-ID

  • Das generierte Client-Secret

  • Den verwendeten Typ der Client-Authentifizierung (Standard: „Client Secret send as POST“)

4. IdP-Hint in der URL setzen

Damit Nutzer direkt zu deinem Identity Provider weitergeleitet werden (ohne die findIQ-Loginseite), füge den Query-Parameter idp_hint an die URL an:

https://app.findiq.de/standalone/{organisation}/{machine_uid}/diagnose/?idp_hint={idp_alias}

Den Wert für {idp_alias} erhältst du vom findIQ-Team nach Abschluss der Konfiguration.

Wichtige Hinweise

  • Die gesamte Einrichtung erfordert eine Abstimmung mit dem findIQ-Team. Plane hierfür ausreichend Zeit ein.

  • Teste die SSO-Anmeldung mit einem Testnutzer, bevor du den Zugang für alle Nutzer freigibst.

  • Stelle sicher, dass der roles-Claim im Access Token enthalten ist.

Häufige Fragen