Enterprise
Single Sign-On über SAML und OIDC
Bring Ciao unter die Identitätskontrollen, die du bereits betreibst — SAML oder OIDC, optionale MFA, Just-in-Time-Provisionierung und Sitzungsrichtlinien, durchgesetzt dort, wo sie hingehören: an deinem IdP.
Ciao unterstützt Single Sign-On über SAML und OIDC, mit optionaler MFA und rollenbasierter Zugriffskontrolle. Anders als passwortbasierte Tools, die ein paralleles Identitäts-Silo schaffen, stellt SSO Ciao hinter deinen bestehenden Identitätsanbieter — sodass neue Mitarbeitende Zugriff über dein Verzeichnis erhalten, Sitzungs- und Reauthentifizierungsrichtlinien den Regeln deines IdP folgen, und ausscheidende Mitarbeitende den Zugriff verlieren, sobald dein IdP sie deaktiviert.
Veröffentlicht 2026-07-03 · Zuletzt aktualisiert 2026-07-03
Warum SSO meist die erste Enterprise-Anforderung ist
Jedes Tool, das seine eigenen Passwörter verwaltet, ist ein Tool, das dein Offboarding-Prozess übersehen kann. Für eine Plattform, bei der ein angemeldeter Nutzer Änderungen an Produktionssoftware anstoßen kann, ist dieses Risiko schärfer als bei einem Dashboard-Produkt: Ein verwaistes Konto ist nicht nur eine Frage der Datenexposition, sondern auch eine Frage der Änderungskontrolle. Sicherheitsprüfungen tun recht daran, SSO ganz oben auf die Anforderungsliste zu setzen.
SSO verschiebt die Authentifizierung für Ciao hinter den Identitätsanbieter, den du bereits regelst. Zugriffsprüfungen finden an einem Ort statt, MFA-Richtlinien werden konsistent durchgesetzt, und der Ein-, Wechsel- und Austrittsprozess, den deine Prüfer bereits akzeptieren, erstreckt sich auf KI-gestützte Entwicklung, ohne einen parallelen Kontospeicher abgleichen zu müssen.
Es gibt auch einen leiseren Vorteil für die Menschen, die die Arbeit erledigen: ein Passwort weniger, ein Anmelderitual weniger, und Zugriff, der am ersten Tag erscheint, weil das Verzeichnis — nicht eine Ticket-Warteschlange — die maßgebliche Quelle ist. Kontrollen, die den sicheren Weg zum bequemen Weg machen, sind die Kontrollen, denen Menschen tatsächlich folgen, und SSO ist das klarste Beispiel im Identitäts-Stack.
Was Ciao bereitstellt
Die Identitätsfähigkeiten unten sind Teil der Enterprise-Plattform, und jede ist während Onboarding oder Evaluierung verifizierbar:
- SAML und OIDC — SSO über beide großen Protokolle, sodass Ciao mit dem IdP funktioniert, den du heute betreibst, statt einen bestimmten Anbieter zu verlangen.
- Optionale MFA — MFA kann über die Richtlinie deines IdP durchgesetzt werden, mit optionaler MFA auf der Ciao-Seite als Teil der Identitätseinrichtung verfügbar.
- Rollenbasierte Zugriffskontrolle — SSO kombiniert sich mit RBAC, sodass Authentifizierung beantwortet, wer du bist, und Rollen beantworten, was du tun darfst — über Workspaces und Projekte hinweg.
- Just-in-Time-Provisionierung — Konten können bei der ersten erfolgreichen Anmeldung über deinen IdP erstellt werden, sodass Onboarding nicht von manueller Kontoerstellung abhängt.
- Auditierte administrative Aktionen — Identitäts- und Zugriffsänderungen sind administrative Aktionen, und administrative Aktionen werden im unveränderlichen Audit-Protokoll erfasst.
Wie die Einrichtung funktioniert
1. Das Protokoll wählen
SAML oder OIDC, basierend darauf, was dein IdP-Team bevorzugt. Keines ist die „geringere“ Option — wähle das, das dein Identitäts-Tooling am besten verwaltet.
2. Die Anwendung in deinem IdP erstellen
Registriere Ciao in deinem Identitätsanbieter so, wie du jede SSO-Anwendung registrierst, und weise die Nutzer oder Gruppen zu, die Zugriff haben sollen.
3. Konfiguration austauschen
Metadaten, Endpunkte und Zertifikate werden während des Onboardings zwischen deinem IdP und Ciao ausgetauscht, wobei das Enterprise-Team gemeinsam mit deinen Identitätsingenieuren durchgeht.
4. Mit einer Pilotgruppe testen
Verifiziere Anmeldung, Just-in-Time-Kontoerstellung und Rollenzuweisung mit einer kleinen Gruppe, bevor du den Zugriff breiter öffnest.
5. Ausrollen und prüfen
Erweitere die Zuweisung auf die gesamte Population, und bestätige dann im Audit-Protokoll, dass Zugriffsereignisse und administrative Aktionen so erfasst werden, wie es deine Prüfung erwartet.
Just-in-Time-Provisionierung und was sie nicht löst
Just-in-Time-Provisionierung erstellt ein Ciao-Konto beim ersten Anmelden eines Nutzers über deinen IdP. Das entfernt den manuellen Schritt beim Onboarding und verhindert, dass vorab erstellte Konten ungenutzt herumliegen. Was JIT nicht tut, ist Deprovisionierung: Ein Nutzer, der sich nie wieder anmeldet, braucht trotzdem Zugriffsentzug am IdP, und Lebenszyklus-Automatisierung wird besser durch SCIM gehandhabt. Die meisten Enterprise-Deployments betreiben SSO mit JIT für die Ankunft und SCIM für den vollständigen Lebenszyklus — die SCIM-Seite deckt diese Hälfte ab.
Teste während der Evaluierung den JIT-Pfad explizit: Weise einen Testnutzer im IdP zu, melde dich einmal an, und bestätige, dass das Konto mit der beabsichtigten Rolle ankommt. Der fünfminütige Test sagt dir mehr als jedes Architekturdiagramm.
Sitzungsrichtlinien und MFA
Sitzungsdauer, Reauthentifizierungshäufigkeit und Step-up-Regeln gehören zum Identitätsanbieter, wo dein Sicherheitsteam sie bereits abstimmt, und SSO bedeutet, dass Ciao-Sitzungen der Richtlinie folgen, die dein IdP bei der Anmeldung durchsetzt. MFA funktioniert genauso: Setze sie in der IdP-Richtlinie durch, die den Ciao-Zugriff regelt, mit optionaler MFA auf der Plattformseite verfügbar. Das praktische Ergebnis für Prüfer ist eine einzige Richtlinienfläche zum Auditieren statt Sitzungseinstellungen pro Tool, die auseinanderdriften.
Wenn sich deine Richtlinie ändert — kürzere Sitzungen, strengere Step-up-Regeln — änderst du sie einmal, am IdP, und der Zugriff auf Ciao folgt ohne eine parallele Einstellungsprüfung auf der Plattformseite.
Verifikationshinweise
Identitätsbehauptungen sind günstig zu verifizieren: Konfiguriere während der Evaluierung eine Testverbindung und beobachte Anmeldung, JIT-Kontoerstellung und Rollenabbildung gegen deinen eigenen IdP. Das Security-Pack, auf Anfrage über die Kontaktseite verfügbar, dokumentiert die Identitätsarchitektur schriftlich, und SOC 2 Type II Berichte unter NDA decken die geprüften Zugriffsverwaltungskontrollen dahinter ab.
Fähigkeiten auf einen Blick
| Fähigkeit | Mechanismus | Hinweise |
|---|---|---|
| Single Sign-On | SAML oder OIDC | Funktioniert mit standardkonformen Identitätsanbietern |
| Multi-Faktor-Authentifizierung | IdP-Richtlinie, plus optionale MFA auf Ciao | Durchsetzen, wo dein Team MFA bereits regelt |
| Kontoerstellung | Just-in-Time bei erster Anmeldung | Kombinierbar mit SCIM für den vollständigen Lebenszyklus |
| Autorisierung | Rollenbasierte Zugriffskontrolle | Workspace- und Projekt-Eingrenzung |
| Nachweis | Unveränderliches Audit-Protokoll | Administrative Aktionen zur Prüfung erfasst |
Häufig gestellte Fragen
Welche Identitätsanbieter werden unterstützt?
Jeder Identitätsanbieter, der SAML oder OIDC implementiert — die IdPs, die Unternehmen üblicherweise betreiben, wie Okta, Microsoft Entra ID und Google Workspace, sprechen alle diese Protokolle. Die Konfiguration wird während des Onboardings mit deinem Identitätsteam durchgegangen.
Können wir verlangen, dass sich alle Nutzer nur über SSO anmelden?
Die Durchsetzung von SSO als einzigem Anmeldepfad ist eine Identitätskonfigurationsfrage, die während des Onboardings behandelt wird — sprich sie mit dem Enterprise-Team an, und deine Einrichtung wird gegen die Anforderung bestätigt statt angenommen.
Was passiert, wenn ein Mitarbeiter das Unternehmen verlässt?
Deaktiviere sie am IdP, und sie können sich nicht mehr bei Ciao authentifizieren. Mit SCIM-Provisionierung an Ort und Stelle propagiert die Deaktivierung auch als Lebenszyklus-Ereignis, und die umgebenden administrativen Aktionen werden im unveränderlichen Audit-Protokoll erfasst.
Was ist der Unterschied zwischen JIT und SCIM?
JIT erstellt ein Konto, wenn sich ein Nutzer zum ersten Mal anmeldet; es behandelt nur die Ankunft. SCIM sendet kontinuierlich Erstellungs-, Update- und Deaktivierungsereignisse von deinem IdP und deckt den gesamten Lebenszyklus ab. Die meisten Enterprise-Rollouts nutzen beides zusammen.
Ist SSO inklusive, oder ein Add-on?
SSO über SAML und OIDC ist Teil von Ciaos Enterprise-Fähigkeiten. Ernsthafte Produktionsprogramme beginnen bei 10.000 USD pro Jahr — bestätige den Plan-Umfang mit dem Vertrieb, damit Identitätsanforderungen von Anfang an im Vertrag stehen.