Zum Hauptinhalt springen

Single Sign-On (SSO) einrichten

Aktualisiert am 08.07.2026

Mit Single Sign-On melden sich deine Mitarbeitenden mit ihrem bestehenden Firmen-Konto an – ganz ohne zusätzliches Passwort. MyIdeas unterstützt Microsoft Entra ID, Google Workspace, Okta, JumpCloud, cidaas und Keycloak über den offenen Standard OpenID Connect.

Deine Weiterleitungs-URL (Redirect URI)

Diese Adresse musst du bei deinem Identity-Provider als erlaubte Weiterleitungs-URL hinterlegen. Ersetze „deinestadt“ durch deine tatsächliche Subdomain:

Redirect URIhttps://deinestadt.my-ideas.de/api/auth/sso/callback

Nutzt du eine eigene Domain, verwende stattdessen https://deine-domain.de/api/auth/sso/callback.

App bei deinem Identity-Provider registrieren

Lege bei deinem Anbieter (z. B. Microsoft Entra ID, Google Cloud Console oder Okta) eine neue OAuth-/OIDC-Anwendung an, trage die obige Redirect URI ein und notiere dir die Client-ID sowie das Client-Secret.

Provider in MyIdeas hinterlegen

Öffne in deiner Instanz Moderation → SSO, wähle deinen Anbieter aus und trage Client-ID und Client-Secret ein. Je nach Anbieter ist eine zusätzliche Angabe nötig:

AnbieterZusätzliche Angabe
Microsoft Entra IDVerzeichnis-/Tenant-ID (optional, sonst „common“)
Google Workspace
OktaIssuer-URL (z. B. https://firma.okta.com)
JumpCloudOrg-ID
cidaasBasis-URL (z. B. https://firma.cidaas.de)
KeycloakBasis-URL + Realm

Optional: auf E-Mail-Domains beschränken

Möchtest du SSO nur für bestimmte E-Mail-Domains erlauben, trage sie kommagetrennt im Feld „Erlaubte Domains“ ein. Leer lassen bedeutet: alle Domains sind erlaubt.

Erlaubte Domainsstadt-xyz.de, verwaltung.de

Aktivieren, testen und anmelden

Aktiviere den Provider und speichere. Auf der Anmeldeseite erscheint nun zusätzlich zum SMS-Login eine Schaltfläche „Mit … anmelden“. Beim ersten Login wird das Nutzerkonto automatisch anhand der E-Mail-Adresse angelegt oder verknüpft.

Häufige Fragen & Problemlösung

Fehler „redirect_uri mismatch“

Die beim Anbieter hinterlegte Weiterleitungs-URL stimmt nicht exakt mit deiner Adresse überein. Sie muss inklusive https:// und ohne abschließenden Schrägstrich exakt auf …/api/auth/sso/callback enden.

Meldung „Deine E-Mail-Domain ist nicht erlaubt“

Die E-Mail-Domain des anmeldenden Kontos steht nicht in der Liste der erlaubten Domains. Ergänze die Domain unter Moderation → SSO oder lasse das Feld leer.

Ich sehe keine SSO-Einstellungen

Der SSO-Bereich ist im Organisation-Paket verfügbar. Prüfe dein Paket unter Moderation → Paket oder melde dich bei uns für ein Upgrade.

Kostenlos testen

Starter für immer gratis

Jetzt starten