Mit Hilfe von Single Sign-On (SSO) können sich deine Mitarbeitenden mit ihren bereits vorhandenen Unternehmens-Identitäten anmelden und müssen keine separaten Login-Daten (E-Mail und Passwort) für Leapsome erstellen. Leapsome kann in jedes externe System integriert werden, das als SAML 2.0 Identity Provider fungieren kann.
Was ist SAML?
SAML (Security Assertion Markup Language) ist ein oft verwendeter Standard für die Authentifizierung und Autorisierung zwischen zwei Parteien. Diese Parteien werden als Identity Provider, kurz: IDP (z.B. Microsoft Azure Active Directory, Okta, OneLogin) und Service Provider (z.B. Leapsome) bezeichnet. Der Loginflow kann sowohl von der Website des Service Providers als auch direkt aus der Portal-Seite der App eines IDP initiiert werden.
Warum sollte ich SSO-Anmeldung für meine Organisation verwenden?
Hier sind einige Gründe, warum wir SSO-Anmeldung für Unternehmen empfehlen:
- Organisationen erhalten eine zentrale Kontrolle darüber, wer Zugriff auf ihre Systeme hat.
- Es setzt bessere Passwortrichtlinien durch.
- Es reduziert den Bedarf an unsicheren Passwortverwaltungsstrategien und -schulungen.
- Die Gefahr von Datenschutzverletzungen wird durch die Verlagerung von ID-/Authentifizierungsdaten aus dem Unternehmen verringert.
Konfiguration
Wenn dein IDP das SAML 2.0-Protokoll unterstützt, kann es als Single Sign-On Quelle für Leapsome eingerichtet werden. Hierzu gehören Google Workspace, Microsoft Azure Active Directory, Okta, OneLogin und andere.
Sofern du eines der folgenden Tools als IDP verwendest, befolge bitte die Schritte in der Tool-spezifischen Anleitung, um SSO für Leapsome einzurichten.
- SSO mit Google Workspace einrichten
- SSO mit OneLogin einrichten
- SSO mit Active Directory ADFS einrichten
- SSO mit Azure AD einrichten
Wenn du einen anderen IDP verwendest, befolge einfach die weiteren Schritte in diesem Artikel.
1. Relevante Informationen aus Leapsome kopieren
Alle Einstellungen zum Einrichten von SSO findest du als Admin in Leapsome unter 'Admin-Einstellungen' > 'Integrationen' > 'Single Sign On (SSO)'. Dort findest du auch alle Daten, die für die Einrichtung des SSO auf Seiten Deines IDP wichtig sind. Dazu gehören:
- Metadaten
- Entity ID
- Login URL
- Reply URL
2. SSO auf Seiten eures IDP einrichten
Bereite SSO für Leapsome in eurem IDP vor, und hinterlege die in Schritt 1 erhaltenen Daten an den entsprechenden Stellen in eurem IDP.
Um das Setup abschließen zu können, musst du folgende Informationen aus eurem IDP kopieren, und in den SSO-Einstellungen in Leapsome hinterlegen:
- SSO Login URL
- Base64-verschlüsseltes Zertifikat
Stelle beim Konfigurieren der Integration im IDP sicher, dass dein System die E-Mail-Adresse des Mitarbeitenden als Identifier/NameID angibt. Leapsome erkennt im Namespace http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ auch die folgenden Attribute:
- firstname (Vorname des Mitarbeitenden)
- lastname (Nachname des Mitarbeitenden)
- title (die Job-Bezeichnung des Mitarbeitenden)
- picture (URL zum Profilfoto des Mitarbeitenden)
Wenn du diese verwendest, kannst du deine Mitarbeitenden direkt auf die Anmelde-URL verweisen und es werden relevante Informationen übertragen, wenn die Mitarbeitenden sich zum ersten Mal anmelden.
3. Das Setup in Leapsome fertigstellen
Sobald du SSO Login URL sowie das Zertifikat aus eurem IDP zu Leapsome kopiert hast, setze einen Haken bei der Option 'Aktiviere SAML-basierendes Single Sign-On' und bestätige deine Einstellungen mit einem Klick auf 'Einstellungen speichern'.
Du kannst das Setup direkt mit deinem eigenen Profil testen. Sofern du alles richtig aufgesetzt hast, solltest du den Button 'Sign in with Company SSO' sehen, sobald du deine Email-Adresse in im Login-Screen eingetragen hast:
Mit Klick auf den Button 'Sign in with Company SSO' sollten alle Mitarbeitenden dann auf die Anmeldeseite eures Unternehmens weitergeleitet werden.
Bitte beachte, dass der SSO Login nur für bereits 'eingeladene' Mitarbeitende möglich ist. Zusätzlich werden diese beim ersten Login auch weiterhin ein Leapsome-Passwort vergeben müssen, sofern der Login per SSO nicht 'erzwungen' wird. Der folgende Abschnitt zeigt, welche Optionen du hast, um diese zwei Limitationen zu umgehen.
Weitere Einstellungen
Anmeldung per SSO 'erzwingen'
Standardmäßig haben Personen auch bei eingerichtetem SSO immer die Möglichkeit, sich alternativ mittels Email und Leapsome-Passwort einzuloggen. Wenn du sicherstellen willst, dass sich alle Personen über den SSO-Flow bei Leapsome anmelden, kannst du SSO 'erzwingen'. Um das einzurichten, navigiere zu 'Admin-Einstellungen' > 'Integrationen' > 'Single Sign On (SSO)' und setze einen Haken bei 'Single Sign-On für alle Mitarbeitenden erzwingen'. Speichere deine Einstellung mit Klick auf 'Einstellungen speichern'.
Dadurch ist ein Login mit Email und Leapsome-Passwort nicht mehr möglich. Stelle daher unbedingt sicher, dass SSO für alle Teammitglieder korrekt eingerichtet ist.
Wenn SSO erzwungen wird, sehen neu eingeladene Personen beim ersten Login keine Option, ein Passwort zu vergeben.
Ohne Einladung per SSO in Leapsome anmelden
Standardmäßig können sich Personen erst bei Leapsome anmelden, wenn sie eine Einladung zu Leapsome erhalten haben - unabhängig davon ob ihr SSO eingerichtet habt oder nicht. Um den Workload auf eurer Seite insbesondere beim Onboarding neuer Mitarbeitenden gering zu halten, gibt es hier einige Möglichkeiten, die erste Anmeldung effizient abzuwickeln:
1. Automatisiere den Einladungsprozess mit einer HRIS Integration
Falls du ein HRIS benutzt, um Profile in Leapsome automatisch anzulegen, kannst du einstellen, dass jeder neu bereitgestellte Mitarbeitende auch direkt zu Leapsome eingeladen wird. Navigiere dafür zu Admin-Einstellungen > Integrationen und setze im Reiter eures HRIS einen Haken bei 'Automatisch Einladungen zu Leapsome an alle synchronisierten Mitarbeitenden senden'.
So können sich auch neue Teammitglieder ab Tag eins mit SSO anmelden, sofern ihr die Nutzung von SSO 'erzwingt'.
2. Aktiviere just-in-time-provisioning mittels eures IDP
Manche IDPs, wie Azure AD, bieten just-in-time provisioning an. Dadurch wird immer dann, wenn sich eine Person aus eurer Organisation bei Leapsome anmeldet, automatisch ein neues Profil für sie in Leapsome angelegt. Wenn JIT-Provisioning aktiviert ist, müsst ihr neue Mitarbeitende nicht erst einladen, um ihnen den Login mittels SSO zu ermöglichen. Bitte beachte, dass du JIT Provisioning nicht nutzen kannst, wenn du bereits eine HRIS Integration nutzt.
3. Kontaktiere unseren Support
Wenn du das Verschicken von Einladungen komplett vermeiden willst, kann unser Support Team die Einladungs-Emails für euren Account ganz ausschalten. So kannst du einrichten, dass alle neuen Personen weiterhin automatisch eingeladen werden, jedoch ohne dass sie eine Email dazu erhalten. Dadurch kann sich jede Person dann direkt via SSO in Leapsome einloggen. Bitte beachte, dass dies nur möglich ist, wenn all eure Mitarbeitenden dieselbe Email-Domain nutzen. Falls du diese Option nutzen möchtest, kontaktiere unseren Support direkt über den grünen 'Hilfe'-Button in Leapsome.
Häufig gestellte Fragen
Eine Person hat nicht die Option, sich über SSO einzuloggen. Woran kann das liegen?
Dieses Problem tritt oft auf, wenn eine Person innerhalb eures IDP nicht (korrekt) auf die Leapsome App zugewiesen wurde. Bitte stelle sicher, dass es in eurem IDP einen Prozess gibt, der dafür sorgt dass alle, insbesondere neue Mitarbeitende Zugriff zu Leapsome erhalten. In Azure AD ermöglichen dies beispielsweise Scoping Filters.
Bitte überprüfe ebenfalls, dass es einen Account für die betreffende Person in Leapsome gibt, welcher dieselbe Email-Adresse wie euer IDP nutzt und bereits zu Leapsome eingeladen wurde. Das kannst du im Bereich 'Mitarbeitende & Teams' in Leapsome überprüfen.
Wie können wir auf Leapsome zugreifen, wenn wir SSO erzwingen und unser IDP eine Störung hat?
Melde dich in diesem Fall am Besten direkt bei deinem Customer Success Manager bzw. unserem Support Team.
Können wir für den Login in Leapsome 2-Faktor-Authentifizierung nutzen?
Ja, das ist grundsätzlich möglich. Die Konfiguration hierfür erfolgt auf Seiten eures IDP.
Lässt sich die Option 'Sign in with Google' deaktivieren?
Das ist leider nicht möglich. Selbst wenn du SAML-basiertes SSO mit einem Provider deiner Wahl aufgesetzt hast, werden Mitarbeitende weiterhin die Möglichkeit haben, sich mittels des 'Sign in with Google'-Buttons (OAuth2) anzumelden. Einzig wenn du dich dazu entscheidest, SAML SSO zu "erzwingen", wird der 'Sign in with Google' Button während des Loginprozesses nicht mehr angezeigt.
Kann ich denselben Identity Provider (IDP) für mehrere Leapsome Accounts verwenden?
Für die Nutzung von SAML SSO kann lediglich ein IDP (Entra ID, Okta, ...) mit jeweils einem Leapsome Account verknüpft werden. Grund dafür ist, dass die 'Entity ID' für die verschiedenen Leapsome Accounts nicht einzigartig ist. Bitte beachte, dass diese Limitation nur SAML SSO betrifft. Für die automatische Nutezrbereitstellung (user provisioning) lässt sich problemlos ein IDP mit mehreren Leapsome Accounts verbinden.
Mit welchen Schritten logge ich mich ein, sobald SSO eingerichtet ist?
Nutzt ihr SSO via Okta oder Entra ID, finden qualifizierte Personen dort einen Button zum Login für Leapsome (z.B. in "My apps" in Entra ID). Bitte beachte, dass ggf. weitere Einrichtungsschritte im IDP nötig sind, um Leapsome in der App-Übersicht anzuzeigen. Darüber hinaus hast du die Möglichkeit, dich direkt auf der Leapsome Startseite einzuloggen, indem du deine Email eingibst und 'Continue' klickst. Du siehst dann ein Feld 'Sign in with your Company SSO'.
Ich möchte meinen SSO-Anbieter (IDP) wechseln - Was muss ich beachten, um Login-Probleme zu vermeiden?
Wenn du deinen IDP wechselst (z. B. von Okta zu Entra ID), musst du SSO in deinem alten IDP deaktivieren und unserer SSO-Einrichtungsanleitung für deinen neuen Anbieter folgen. Da Leapsome immer nur einen IDP als SAML-SSO-Anbieter gleichzeitig verbinden kann, werden Logins von unserer Login-Seite deinen neuen IDP verwenden, sobald du die Einrichtung abgeschlossen hast.
Danach musst du nur sicherstellen, dass du in deinem alten IDP die "Leapsome-App" entfernst, um Login-Versuche von Leapsome aus deinem IDP heraus zu verhindern (z. B. über "My Apps").
Idealerweise führst du den Wechsel zu einem Zeitpunkt durch, zu dem die Mehrheit deiner Kolleg:innen Leapsome nicht nutzt (z. B. abends), um dir Zeit zu geben, potenzielle Einrichtungsprobleme mit deinem neuen IDP zu beheben. Schalte zusätzlich "SSO erzwingen" für die Zeit der Einrichtung aus, um zu verhindern, dass du aus Leapsome ausgesperrt wirst. Du kannst es wieder aktivieren, sobald du SSO für Leapsome mit dem neuen IDP getestet hast.