Unsere Integration mit Google Workspace ermöglicht es deinem Team, sich in Leapsome mit ihrem Google Account anzumelden - ganz ohne ein neues Passwort anzulegen. Google Workspace bietet dir zwei Optionen, Single Sign-On (SSO) in Leapsome zu nutzen, nämlich den Login mittels 'Sign In with Google'-Button (OAuth2) sowie den klassischen, SAML-basierten SSO. Im Folgenden erklären wir dir den Unterschied zwischen beiden Verfahren und zeigen dir, wie du sie für dein Team einrichtest.
Allgemeine Anforderungen
Um Google Workspace für den Login in Leapsome zu nutzen, müssen die folgenden Anforderungen erfüllt werden:
- Für jeden relevanten Mitarbeitenden wurde ein Account in Leapsome angelegt.
- Die E-Mail-Adresse im Leapsome Account einer Person entspricht ihrer primären E-Mail-Adresse in Google Workspace.
'Sign in with Google' (OAuth2) einrichten
Um 'Sign in with Google' zu nutzen, ist keine Einrichtung von deiner Seite nötig. Der 'Sign in with Google'-Button wird standardmäßig allen Nutzern auf der Leapsome-Anmeldeseite angezeigt. Somit ist dieses Verfahren die einfachste und schnellste Art, deinem Team eine unkomplizierte Anmeldung in Leapsome zu ermöglichen.
Sobald für eine Person mit Google Workspace Account ein Account in Leapsome angelegt wurde, kann sich diese ohne Passwort mittels 'Sign in with Google' anmelden. Während des Login-Prozesses kann es sein, dass diese Person in einem Pop-up-Fenster darum gebeten wird, noch einmal das Google Passwort einzugeben.
SSO mit Google Workspace (SAML) einrichten
Weiterhin hast du die Möglichkeit, SAML-basierten SSO für Leapsome mittels Google Workspace einzurichten. Diese Option ist dann relevant, wenn du Google Workspace als Identitätsanbieter (Identity Provider) nutzen möchtest. Folge für das Aufsetzen diesem Artikel von Google.
Während des Setups, trage bitte die folgenden Daten in die entsprechenden Felder in Google Workspace ein. Du findest diese Daten in Leapsome unter Einstellungen > Integrationen > SSO:
- ACS URL: Eure Leapsome "Reply URL" (Endet mit /assert)
- Entity ID: https://www.leapsome.com
Füge außerdem in Leapsome das "SAML2_0" Zertifikat, welches du in Google Workspace generiert hast, in das Feld 'Zertifikat' ein.
Sobald die Einrichtung abgeschlossen ist, geben Mitarbeitende deines Unternehmens auf der Leapsome-Anmeldeseite ihre Google Workspace E-Mail-Adresse ein, und sehen dann den Button 'Sign in with Company SSO'. Mit einem Klick auf diesen Button werden Nutzer:innen dann in Leapsome angemeldet, ohne ein separates Passwort eingeben zu müssen. Beachte bitte, dass dein Team auch bei aktiviertem SAML-basiertem SSO weiterhin die Option 'Sign In with Google' (OAuth2) benutzen kann.
Weitere Einstellungen
Anmeldung per SSO 'erzwingen'
Standardmäßig haben Personen auch bei eingerichtetem SSO immer die Möglichkeit, sich alternativ mittels Email und Leapsome-Passwort einzuloggen. Wenn du sicherstellen willst, dass sich alle Personen über den SSO-Flow bei Leapsome anmelden, kannst du SSO 'erzwingen'. Um das einzurichten, navigiere zu 'Admin-Einstellungen' > 'Integrationen' > 'Single Sign On (SSO)' und setze einen Haken bei 'Single Sign-On für alle Mitarbeitenden erzwingen'. Speichere deine Einstellung mit Klick auf 'Einstellungen speichern'.
Dadurch ist ein Login mit Email und Leapsome-Passwort nicht mehr möglich. Stelle daher unbedingt sicher, dass SSO für alle Teammitglieder korrekt eingerichtet ist.
Wenn SSO erzwungen wird, sehen neu eingeladene Personen beim ersten Login keine Option, ein Passwort zu vergeben.
Ohne Einladung per SSO in Leapsome anmelden
Standardmäßig können sich Personen erst bei Leapsome anmelden, wenn sie eine Einladung zu Leapsome erhalten haben - unabhängig davon ob ihr SSO eingerichtet habt oder nicht. Um den Workload auf eurer Seite insbesondere beim Onboarding neuer Mitarbeitenden gering zu halten, gibt es hier einige Möglichkeiten, die erste Anmeldung effizient abzuwickeln:
1. Automatisiere den Einladungsprozess mit einer HRIS Integration
Falls du ein HRIS benutzt, um Profile in Leapsome automatisch anzulegen, kannst du einstellen, dass jeder neu bereitgestellte Mitarbeitende auch direkt zu Leapsome eingeladen wird. Navigiere dafür zu Admin-Einstellungen > Integrationen und setze im Reiter eures HRIS einen Haken bei 'Automatisch Einladungen zu Leapsome an alle synchronisierten Mitarbeitenden senden'.
So können sich auch neue Teammitglieder ab Tag eins mit SSO anmelden, sofern ihr die Nutzung von SSO 'erzwingt'.
2. Aktiviere just-in-time-provisioning mittels eures IDP
Manche IDPs, wie Azure AD, bieten just-in-time provisioning an. Dadurch wird immer dann, wenn sich eine Person aus eurer Organisation bei Leapsome anmeldet, automatisch ein neues Profil für sie in Leapsome angelegt. Wenn JIT-Provisioning aktiviert ist, müsst ihr neue Mitarbeitende nicht erst einladen, um ihnen den Login mittels SSO zu ermöglichen. Bitte beachte, dass du JIT Provisioning nicht nutzen kannst, wenn du bereits eine HRIS Integration nutzt.
3. Kontaktiere unseren Support
Wenn du das Verschicken von Einladungen komplett vermeiden willst, kann unser Support Team die Einladungs-Emails für euren Account ganz ausschalten. So kannst du einrichten, dass alle neuen Personen weiterhin automatisch eingeladen werden, jedoch ohne dass sie eine Email dazu erhalten. Dadurch kann sich jede Person dann direkt via SSO in Leapsome einloggen. Bitte beachte, dass dies nur möglich ist, wenn all eure Mitarbeitenden dieselbe Email-Domain nutzen. Falls du diese Option nutzen möchtest, kontaktiere unseren Support direkt über den grünen 'Hilfe'-Button in Leapsome.
Weitere Hinweise
Leapsome unterstützt für die Anmeldung mit Google Workspace keine Alias-E-Mail-Adressen. Stelle daher bitte sicher, dass die E-Mail-Adresse im Leapsome Account des Nutzers mit dessen primärer E-Mail-Adresse in Google Workspace übereinstimmt.
Bitte beachte, dass selbst, wenn du SAML-SSO 'erzwingst', sich die Nutzer:innen weiterhin parallel über den OAuth 2 Flow einloggen können.