Die Identity Provider Anbindung ist der zentrale Konfigurationsschritt im SSO-Integrationsprozess. Als Service Provider nutzt simple system die Authentifizierungsdaten des Kunden-IdP, um Benutzer kennwortlos zu authentifizieren.

Im Schritt 2 des Setup-Projekts wird der IdP konfiguriert, um SAML-Assertions an simple system zu senden. Dies umfasst die Einstellung der Assertion-Signierung (Zertifikate und Keys), die Konfiguration der Redirect-URLs (ACS/Assertion Consumer Service) und das Mapping der Benutzer-Identity (z.B. Email-Adresse als Unique Identifier). Das simple system Support Team führt durch den Konfigurationsprozess und stellt alle erforderlichen Metadaten-URLs zur Verfügung. Nach erfolgreicher Konfiguration vertraut simple system automatisch den SAML-Assertions des IdP und authentifiziert Benutzer basierend auf deren IdP-Credentials.

Unterstützte Identity Provider sind: Microsoft Azure AD, Okta, Google Workspace, Ping Identity, Keycloak und weitere SAML 2.0-kompatible Systeme.

• Unterstützung für Microsoft Azure AD (Microsoft Entra ID)
• Unterstützung für Okta Universal Directory
• Unterstützung für Google Workspace Identity
• Unterstützung für Ping Identity, OneLogin, Keycloak
• SAML 2.0 Metadata Exchange (XML-basiert)
• Assertion-Signierung und Verschlüsselung (X.509 Zertifikate)
• User Identity Mapping (Email, Username, EmployeeID)

• Zentralisierte Identity-Verwaltung: ein Identity Provider für alle Systeme
• Terminierung von Benutzer-Accounts im IdP = automatische Deaktivierung in simple system
• Konsistente Sicherheitsrichtlinien über alle SaaS-Anwendungen
• Keine Passwort-Duplikation über mehrere Systeme hinweg
• Vereinfachte Audit-Trails: alle Login-Events im IdP nachvollziehbar
• Schnellere M&A-Integrationen durch Fehler-tolerante Identitätsföderation

Die automatische Benutzerbereitstellung vereinfacht das User Lifecycle Management erheblich. Wenn ein Benutzer sich zum ersten Mal über den SSO-Login-Link anmeldet, wird sein Account in simple system automatisch erstellt, basierend auf den SAML-Attributen, die der IdP übermittelt (typischerweise E-Mail-Adresse, Vorname, Nachname, Abteilung).

Der Benutzer kann sofort nach dem ersten SSO-Login mit simple system arbeiten, ohne dass ein Administrator den Account manuell angelegt hat. Die Benutzerattribute (Name, E-Mail-Adresse, Abteilung) können optional mit dem IdP synchronisiert werden.

Wichtig hierbei: Wenn ein Benutzer im IdP deaktiviert wird, wird der Login automatisch blockiert – bestehende Bestelldaten und Audit-Trail-Dateien bleiben im System erhalten, der Zugriff ist jedoch sofort beendet. Dies reduziert den administrativen Aufwand für die Benutzerverwaltung um bis zu 90% im Vergleich zu manuellen Prozessen.

• Automatische Account-Erstellung beim ersten SSO-Login
• SAML-Attribut-Mapping (E-Mail, Name, Abteilung etc.)
• Keine manuellen User-Management-Aktivitäten erforderlich
• Automatische Synchronisierung von Benutzerattributen
• Automatische Deaktivierung bei IdP-Benutzer-Deaktivierung
• Sofortiger Zugriff nach Onboarding im IdP
• Vollständige Audit-Trail für alle Benutzer-Lifecycle-Events

• Personalkosten-Einsparung: 0,5-1 FTE für Benutzerverwaltung pro 500 Mitarbeiter
• Schnelleres Onboarding: Mitarbeiter erhalten Zugriff in <5 Min statt <1 Tag
• Reduktion von Access-Request-Tickets um 90%
• Automatisches Offboarding bei Austritt (kein vergessener Account)
• Fehlerreduktion durch Automatisierung: -99% falsche Berechtigungen
• Einsparung pro Mitarbeiter: ~200€/Jahr für Management-Overhead

SSO bietet erhebliche Sicherheitsvorteile gegenüber kennwortbasierten Systemen. Die Authentifizierung erfolgt ausschließlich über den IdP (z.B. Azure AD mit MFA), nicht direkt in der Plattform. Da keine Passwörter gespeichert werden, bleiben Benutzer-Credentials auch im Fall eines Datenlecks geschützt.

Der Sicherheitsstandard wird zentral durch den IdP gesteuert: Ist dieser mit Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) konfiguriert, greift dieser Schutz automatisch auch für alle Logins. Das ermöglicht Compliance mit ITGC, ISO 27001 und weiteren Standards. Das Session-Management erfolgt über SAML-Tokens mit konfigurierbaren Ablaufzeiten.

Wird ein Benutzer-Account kompromittiert, kann der IdP-Administrator ihn sofort deaktivieren. Der Login ist dann unmittelbar blockiert, ohne dass zusätzliche Konfigurationsschritte erforderlich sind. Das verkürzt die Zeit zwischen der Detektion und der Mitigation von Sicherheitsrisiken erheblich.

• Keine Passwort-Speicherung in simple system (Passwörter im IdP)
• Zwei-Faktor-Authentifizierung (2FA) / Multi-Faktor (MFA) via IdP
• SAML-Assertion-Signierung mit X.509-Zertifikaten (Verschlüsselung)
• Session-Timeout und Token-Ablauf konfigurierbar
• Zentrale Deaktivierung im IdP = sofortige Sperrung in simple system
• Audit-Logging: Alle Login-Versuche im IdP und simple system protokolliert
• Schutz vor Phishing und Credential-Leaks durch fehlende Passwort-Duplikation

• Sicherheitsrisiken: Keine Passwort-Breaches in simple system möglich
• Sicherheitsincident-Response: <5 Min statt <30 Min durch zentrale Kontrolle
• Compliance: ISO 27001, ITGC, GDPR-ready durch IdP-Kontrolle
• Reduktion Security-Incidents um 80% durch Eliminierung von Passwort-Problemen
• Eliminierung von Credential-Leaks durch Passwort-Reuse (häufig 30-40% aller Accounts)
• MFA-Sicherheit für alle Benutzer ohne zusätzliche Konfiguration in simple system

Die SSO-Administration wird vom IT-Team verwaltet. Nach erfolgreichem Setup erhält jeder SSO-Benutzer einen Login-Link zur kennwortlosen Anmeldung.  Dieser Link ist kein Konfigurationselement der Plattform, sondern ein Integrationsendpunkt, der vom simple system-Team bereitgestellt wird.

Für das Monitoring stehen umfangreiche Audit-Logs zur Verfügung: Alle Login-Versuche werden protokolliert (erfolgreich/fehlgeschlagen), einschließlich Benutzer, Zeitstempel und IdP-Informationen. Das ermöglicht IT-Administratoren, verdächtige Login-Muster auf Nachfrage zu erkennen. Sessions werden nach konfigurierbarer Dauer automatisch beendet.

• Dedizierte SSO-Login-Links für jeden Benutzer
• Zentrale Audit-Logs für alle SSO-Login-Versuche (erfolg/fehlgeschlagen)
• Session-Management mit konfigurierbarem Timeout
• Monitoring-Dashboards: Login-Trends, Failed Logins, Benutzer-Aktivität
• Alerts bei verdächtigen Login-Mustern (z.B. Multiple Failed Attempts)
• Integration mit SIEM/Log-Management (via einfacher Log-Export)
• Regelmäßige Support-Reviews der SSO-Integration

• Vollständige Audit-Trails für Compliance-Anforderungen (< 1 Minute Abfrage)
• Frühe Erkennung von Security-Incidents durch Login-Pattern-Anomalien
• Reduktion von Support-Tickets für "Passwort vergessen" um 95%
• Proaktives Monitoring: Automatische Alerts statt reaktives Troubleshooting
• Transparenz: IT-Teams sehen, wer wann auf simple system zugreift
• Rechtzeitige Eskalation bei Problemen statt versteckter Ausfallzeiten