Wie richte ich Single Sign-On (SSO) mit Monta ein?
Erklärt, wie du OpenID Connect (OIDC) Single Sign-On für Monta Hub konfigurierst. Verwende diesen Artikel, um deinen Identitätsanbieter zu verbinden und die Nutzerauthentifizierung zu zentralisieren.
Monta unterstützt Single Sign-On über OpenID Connect (OIDC) und ermöglicht es Betreibern, Nutzer über ihre bestehenden OAuth 2.0 Identity Provider (IdPs) zu authentifizieren – z. B. Microsoft Azure AD, Google, Auth0 und andere Anbieter, die dem OIDC-Standard folgen.
Warum SSO mit Monta verwenden?
SSO verbessert die Sicherheit deiner Organisation und vereinfacht die Nutzerverwaltung durch eine zentrale Authentifizierung.
Zu den wichtigsten Vorteilen gehören:
- Erhöhte Sicherheit – Zentrale Kontrolle und MFA-Durchsetzung.
- Vereinfachter Nutzerzugang – Nutzer melden sich einmalig an, um auf Monta und andere Unternehmens-Apps zuzugreifen.
- Vereinfachte Administration – Nutzer direkt über deinen IdP hinzufügen oder entfernen.
- Enterprise-Bereitschaft – SSO ist eine grundlegende Anforderung für größere Teams und Partner.
Unterstützte Anbieter
Monta unterstützt derzeit OIDC-basierte IdPs, darunter:
- Microsoft Entra ID (Azure AD)
- Okta
- Google Workspace
- OneLogin
- Auth0
OIDC SSO in Monta einrichten
1. OpenID Connect-Anbieter konfigurieren
Füge die folgende Redirect-URI zu deiner IdP-Konfiguration hinzu:
Redirect-URI:
Ersetze {PROVIDER_ID} durch deine Betreiberkennung.
2. Konfigurationsdetails an Monta übermitteln
Um die Einrichtung abzuschließen, sende die folgenden Informationen an deinen Monta-Ansprechpartner:
| Feld | Beschreibung |
|---|---|
| Anbietertyp | Microsoft, Google, Auth0 oder ein beliebiger OIDC-konformer Anbieter |
| Aussteller-URL | Basis-URL zur Auflösung der IdP-Metadaten |
| Tenant-ID | Nur für Microsoft Azure AD erforderlich |
| Client-ID | Öffentliche Kennung der Anwendung |
| Client-Geheimnis | Gemeinsames Geheimnis zwischen dem IdP und Monta |
| E-Mail-Domains | Domains, die dieser IdP-Konfiguration zugeordnet sind. Nutzer aus diesen Domains: • Können den richtigen IdP auf der Anmeldeseite automatisch auswählen • Sind standardmäßig auf SSO-only-Anmeldung beschränkt. Kontaktiere Monta, wenn eine duale Anmeldung (SSO + E-Mail/Passwort) erforderlich ist |
Erstmalige SSO-Anmeldung
Wenn ein Nutzer bereits ein Monta-Konto mit einer geschäftlichen E-Mail-Adresse besitzt, muss er sich einmalig mit seiner bisherigen Anmeldemethode (E-Mail/Passwort, SMS usw.) anmelden.
Monta verknüpft die neue OIDC-Identität mit dem bestehenden Konto.
Sitzungslaufzeiten
Standardwerte:
- Sitzungslaufzeit: 30 Tage
- Timeout bei inaktiver Sitzung: 1 Tag
Diese können pro Betreiber individuell angepasst werden, indem Monta kontaktiert wird.
Rollenzuordnung (Just-in-time-Rollensynchronisierung)
Monta kann Rolleninformationen aus dem vom IdP ausgestellten ID-Token auslesen und Monta-Rollen bei jeder SSO-Anmeldung automatisch zuweisen.
- Rollen werden bei jeder Anmeldung eines Nutzers über SSO aktualisiert
- Erfordert die Abstimmung mit Monta zur Konfiguration von Rollenansprüchen und -zuordnungen
Kontaktiere Monta, um diese Funktion zu aktivieren und zu konfigurieren.
Fehlerbehebung
| Problem | Mögliche Ursache | Lösung |
|---|---|---|
| MFA-Aufforderungen werden nicht angezeigt | Nicht im IdP erzwungen | Aktiviere MFA-Richtlinien direkt in deinem IdP. |
| Rollen-Konflikt | Falsche Claims-Zuordnung | Stelle sicher, dass Rollen-Claims (z. B. groups oder role) im IdP korrekt konfiguriert sind. |
| Token-Fehler | Ungültiges oder abgelaufenes Client-Geheimnis | Generiere das Client-Geheimnis in deinem IdP neu und aktualisiere Monta. |