Okta SSO & SCIM Integration für eine Enterprise Health & Wellness Plattform
Eine Enterprise Health & Wellness SaaS-Plattform musste große Unternehmenskunden unterstützen, die Single Sign-On (SSO) für einen nahtlosen Mitarbeiterzugang und die automatisierte Benutzerbereitstellung/-entfernung über SCIM benötigten – eine nicht verhandelbare Anforderung für den Enterprise-Vertrieb.
Ihr Projekt besprechen
Die Herausforderung
Unternehmenskunden weigerten sich, die Plattform ohne Identitätsföderation und automatisiertes Lebenszyklusmanagement einzuführen:
- SSO-Anforderung — IT-Abteilungen forderten, dass Mitarbeiter sich über ihren Unternehmens-Identity Provider anmelden und nicht mit separaten Anmeldeinformationen
- Manueller Onboarding-Aufwand — Das manuelle Hinzufügen von Hunderten von Mitarbeitern bei der Anmeldung einer neuen Organisation dauerte Tage an Administrationsarbeit
- Offboarding-Risiko — Wenn Mitarbeiter das Unternehmen verließen, blieben ihre Plattformkonten wochenlang aktiv, was Compliance- und Datenzugriffsbedenken hervorrief
- Gruppenbasierter Zugriff — Verschiedene Mitarbeitergruppen benötigten unterschiedliche Feature-Stufen und Programmzugriffe
- Multi-Tenant-Komplexität — Jeder Unternehmenskunde hatte seinen eigenen Identity Provider-Tenant mit unterschiedlichen Konfigurationen, Attributzuordnungen und Gruppenstrukturen
- Koexistenz bestehender Authentifizierung — Die Plattform verfügte bereits über E-Mail-/Passwort- und OAuth-basierte Authentifizierung; SSO musste koexistieren, ohne bestehende Abläufe zu beeinträchtigen
Unsere Lösung
Wir haben Okta SSO über SAML 2.0/OIDC für die Authentifizierung und SCIM 2.0 für die automatisierte Benutzerbereitstellung, -entfernung und Gruppensynchronisierung implementiert – integriert in das bestehende Multi-Tenant-Backend.
Architektur
- Identity Provider: Okta (kundenverwaltete Mandanten)
- SSO-Protokoll: SAML 2.0 (primär) + OIDC (alternativ)
- Provisionierung: SCIM 2.0-Server, der in das Plattform-Backend integriert ist
- Backend: NestJS mit PostgreSQL und Redis
- Auth-Schicht: JWT-basierte Sitzungen mit SSO-gerechter Token-Ausstellung
- Admin-Dashboard: React-basierte Mandantenkonfiguration für die SSO-Einrichtung
- Bestehende Authentifizierung: E-Mail/Passwort + Google OAuth neben SSO beibehalten
---
SSO-Implementierung (SAML 2.0 / OIDC)
SAML 2.0-Ablauf
Der SP-initiierte SAML-Ablauf funktioniert wie folgt: Der Benutzer besucht die Anmeldeseite und wählt SSO, gibt seine Firmen-E-Mail-Domain ein, die Plattform identifiziert die Okta-Konfiguration des Mandanten anhand der Domain, sendet eine AuthnRequest an Okta, der Benutzer authentifiziert sich, Okta gibt eine signierte SAML-Assertion zurück, die Plattform validiert die Assertion und erstellt eine Sitzung mit JWT-Tokens.
Mandantenweise Konfiguration
Das SSO jedes Mandanten wird mit der SSO URL seines Identity Providers, der Entity ID, dem X.509-Zertifikat zur Signaturvalidierung sowie der SP Entity ID der Plattform, der Assertion Consumer Service URL und Attributzuordnungen von Identity Provider-Profilfeldern zu Plattform-Benutzerfeldern konfiguriert.
OIDC-Alternative
Für Kunden, die OIDC gegenüber SAML bevorzugen, unterstützt die Plattform den Authorization Code flow mit PKCE, wobei dieselbe Attributzuordnung über OIDC-Claims und die ID token-Validierung mit JWKS verwendet wird.
Multi-Tenant SSO-Routing
Die Plattform leitet Benutzer basierend auf ihrer E-Mail-Domain an den richtigen Identity Provider weiter. Wenn ein Benutzer seine E-Mail-Adresse eingibt, prüft die Plattform die Domain anhand der SSO-Konfigurationen des Mandanten. Wenn SSO konfiguriert ist, wird der Benutzer zum Okta-Mandanten seiner Organisation weitergeleitet. Andernfalls greifen sie auf E-Mail/Passwort oder Google OAuth zurück. Vanity URLs werden ebenfalls für den direkten SSO-Zugriff unterstützt. ---
SCIM 2.0-Implementierung
SCIM-Server
Die Plattform stellt eine SCIM 2.0-konforme API bereit, die Okta aufruft, um Benutzer und Gruppen zu verwalten. Die API unterstützt vollständige Benutzerlebenszyklusoperationen (Erstellen, Lesen, Aktualisieren, Deaktivieren, Löschen), Gruppen-CRUD mit Mitgliedschaftsverwaltung und Standard-SCIM-Discovery-Endpunkte für Funktionen, Schemata und Ressourcentypen.
Benutzerlebenszyklus über SCIM
Bereitstellung:Wenn ein Administrator einen Benutzer der Plattform-App in Okta zuweist, sendet Okta eine Erstellungsanfrage an die SCIM API. Die Plattform erstellt das Benutzerkonto mit Mandantenzuordnung, markiert es als aktiv und SSO-provisioniert, und der Benutzer kann sich sofort über SSO anmelden.
Profilaktualisierungen:Wenn ein Administrator das Profil eines Benutzers in Okta aktualisiert, werden die Änderungen über SCIM an die Plattform übertragen. Bei Abteilungsänderungen wird die Gruppenmitgliedschaft automatisch neu bewertet.
Entfernung:Wenn ein Benutzer aus der App in Okta entfernt wird, deaktiviert die Plattform das Konto – widerruft alle aktiven Sitzungen sofort, verhindert weitere Anmeldungen, behält Daten gemäß der Aufbewahrungsrichtlinie bei und gibt den Lizenzplatz frei.
Reaktivierung:Das erneute Zuweisen eines Benutzers in Okta reaktiviert dessen Konto mit allen historischen Daten intakt.
Gruppensynchronisierung
Okta-Gruppen werden Plattformrollen und Programm-Tiers zugeordnet – sie steuern den Zugriff auf verschiedene Feature-Levels, Admin-Funktionen, spezialisierte Dashboards und exklusive Programmteilnahmen. Änderungen der Gruppenmitgliedschaft in Okta werden über SCIM übertragen und in Echtzeit reflektiert, ohne dass eine erneute Anmeldung erforderlich ist. ---
Sicherheit & Authentifizierung
Token-Ausstellung nach SSO
Nach der Validierung der SAML-Assertion stellt die Plattform mandantenbezogene JWTs mit Claims für Benutzeridentität, Organisation, Rollen (abgeleitet aus der SCIM-Gruppenmitgliedschaft), Authentifizierungsmethode und Identity Provider aus – dies ermöglicht eine Audit-Differenzierung zwischen SSO und anderen Authentifizierungsmethoden.
Sitzungsverwaltung
- SSO-Sitzungen respektieren die Sitzungslebensdauer von Okta
- Single Logout (SLO) wird zur Sitzungsbeendigung unterstützt, wenn der Benutzer sich von Okta abmeldet
- Back-Channel Logout Webhook für sofortigen Sitzungswiderruf
- SCIM-Deaktivierung widerruft alle aktiven Sitzungen innerhalb von 60 Sekunden
Sicherheitskontrollen
- SAML-Antwortsignaturvalidierung gegen das X.509-Zertifikat des Mandanten
- Verhinderung von Assertion Replay durch Einmalnutzungsverfolgung
- Uhrzeitversatz-Toleranz für die Validierung des Assertion-Zeitstempels
- Validierung der Audience-Einschränkung
- Verschlüsselte Assertions werden für sensible Bereitstellungen unterstützt
- SCIM-Endpunkt-Authentifizierung über mandantenbezogene Bearer tokens
- Rate Limiting auf SCIM-Endpunkten
---
Admin-Konfigurations-Dashboard
Mandanten-SSO-Einrichtung
Das Admin-Dashboard bietet einen Self-Service-Einrichtungsablauf:
- Protokollauswahl — Wählen Sie SAML 2.0 oder OIDC
- Metadaten-Upload — Laden Sie IdP-Metadaten-XML hoch (automatische Konfigurationsbefüllung)
- Attributzuordnung — Ordnen Sie Identity Provider-Profilfelder Plattform-Benutzerfeldern zu
- Domain-Verifizierung — Bestätigen Sie den Besitz der E-Mail-Domain(s) für das SSO-Routing
- Testverbindung — Leiten Sie einen Test-SSO-Login ein, bevor Sie ihn für alle Benutzer aktivieren
- SCIM-Einrichtung — Generieren Sie einen Bearer token für die SCIM-Bereitstellungskonfiguration
- Gruppenzuordnung — Ordnen Sie Identity Provider-Gruppen den Plattformrollen und -tiers zu
Das Dashboard bietet auch herunterladbare SP-Metadaten für eine einfache Identity Provider-App-Konfiguration. ---
Hauptmerkmale
- SAML 2.0 + OIDC-Unterstützung — Flexible Protokollwahl pro Mandant
- SCIM 2.0-Provisionierung — Automatisierte Benutzererstellung, -aktualisierung und -deaktivierung
- Gruppen-zu-Rollen-Zuordnung — Identity Provider-Gruppen steuern Plattformzugriffs-Tiers und -Programme
- Sofortige Entfernung — SCIM-Deaktivierung widerruft den Zugriff innerhalb von 60 Sekunden
- Multi-Tenant SSO-Routing — E-Mail-Domain-basierte IdP-Erkennung über Mandanten hinweg
- Koexistierende Authentifizierungsmethoden — SSO neben E-Mail/Passwort und Google OAuth
- Self-Service-Einrichtung — Admin-Dashboard für die SSO-Konfiguration ohne technischen Support
- Single Logout — Plattform-Sitzung wird beendet, wenn sich der Benutzer vom Identity Provider abmeldet
- Audit Trail — Jede SCIM-Operation und jedes SSO-Ereignis wird zur Compliance protokolliert
- SCIM-Gruppensynchronisierung — Echtzeit-Rollen- und Programmänderungen aus der Identity Provider-Gruppenmitgliedschaft
Ergebnisse
Technologie-Stack
caseStudyDetail.more Fallstudien
Entdecken Sie mehr unserer technischen Implementierungen
KI-gestützte Rechnungsverarbeitung mit OCR und QuickBooks-Integration
Ein mittelständisches Unternehmen, das monatlich Hunderte von Lieferantenrechnungen verarbeitete, musste die manuelle Dateneingabe eliminieren, indem es Rechnungsdaten automatisch mithilfe von AI/OCR extrahierte und diese direkt mit QuickBooks für die Buchhaltung und Zahlungsverfolgung synchronisierte.
Clientseitige Anzeigeninsertion (CSAI) mit SCTE-35 Marker-Parsing & Multi-Plattform-Player-Integration
Eine Video-Streaming-Plattform musste die Clientseitige Anzeigeninsertion (CSAI) über Web-, Mobil- und Connected TV-Apps hinweg implementieren – was personalisierte, gerätespezifische Anzeigenerlebnisse mit vollständiger Unterstützung der Anzeigeninteraktion (anklickbare Overlays, Companion-Banner, Skip-Buttons) ermöglicht, die serverseitige Insertion nicht bieten kann.
Bereit, Ihr Unternehmen zu transformieren?
Lassen Sie uns besprechen, wie wir ähnliche Lösungen für Ihre Herausforderungen anwenden können.