Logo StartupKit
DE
English Deutsch Français Español Polski

SSO & Verzeichnis-Provisionierung

Richten Sie SAML Single Sign-On und die automatische Provisionierung/Deprovisionierung von Nutzern aus Google Workspace ein, damit der Zugriff Ihres Teams stets mit Ihrem Verzeichnis übereinstimmt.

Warum das zählt

Enterprise-Teams brauchen für die Zugriffs-Compliance zwei Dinge: Mitarbeiter melden sich über Ihren Identity Provider an (keine separaten Kit-Passwörter), und Zugriffe werden automatisch erteilt und entzogen, sobald jemand ein- oder austritt. Kit unterstützt beides — SAML Single Sign-On für die Anmeldung und Google-Workspace-Verzeichnissynchronisation für die automatische Provisionierung und Deprovisionierung.

Beides wird unter Settings → Integrations konfiguriert, und beides setzt einen Administrator für die Einrichtung voraus.

Note

SSO und Verzeichnissynchronisation sind voneinander unabhängig. Sie können SSO allein aktivieren, die Verzeichnissynchronisation allein oder beides zusammen.

Teil 1: SAML Single Sign-On

Mit SAML-SSO kann sich Ihr Team über Ihren Identity Provider anmelden (Google Workspace, Okta, Microsoft Entra, OneLogin und andere). Kit ist der Service Provider (SP); Ihr Identity Provider ist der IdP.

Schritt 1 — Übergeben Sie Ihrem IdP die Service-Provider-Daten von Kit

Verwenden Sie in der SAML-App-Konfiguration Ihres IdP diese Werte aus der SSO-Einstellungsseite von Kit:

Feld in Ihrem IdP Wert aus Kit
ACS URL / Reply URL / Single sign-on URL https://app.startupkit.app/users/auth/saml/callback
SP Entity ID / Audience URI https://app.startupkit.app/users/auth/saml/metadata
Name ID format E-Mail-Adresse

Die genauen Werte für Ihr Konto werden auf der SSO-Einstellungsseite angezeigt, und es steht eine herunterladbare SP-metadata URL bereit, falls Ihr IdP den Import von Metadaten bevorzugt.

Schritt 2 — Verifizieren Sie Ihre E-Mail-Domain

Kit akzeptiert nur SSO-Anmeldungen, deren E-Mail-Domain Sie für Ihr Konto verifiziert haben (zum Beispiel acme.com). Genau das verhindert, dass der Identity Provider einer anderen Organisation Nutzer in Ihren Workspace anmeldet. Verifizieren Sie Ihre Domain unter Settings → Custom Domains / Account, bevor Sie SSO aktivieren.

Schritt 3 — Fügen Sie Ihre IdP-Daten in Kit ein

Geben Sie zurück auf der SSO-Einstellungsseite von Kit Folgendes ein:

  • IdP Entity ID — die Issuer / Entity ID aus der SAML-App Ihres IdP
  • IdP SSO URL — die Anmelde-URL, die Ihr IdP bereitstellt
  • IdP signing certificate — das X.509-Zertifikat (PEM), mit dem Ihr IdP Assertions signiert

Sie können auch das metadata XML Ihres IdP einfügen, und Kit füllt diese Felder für Sie aus.

Schritt 4 — SSO aktivieren

Klicken Sie auf Enable SSO (SSO aktivieren). Ihr Team kann sich nun über Ihren Identity Provider anmelden. Sowohl die IdP-initiierte Anmeldung (Start von Kit aus Ihrem IdP-Dashboard) als auch die normale Anmeldung werden unterstützt.

Important

Wenn sich eine neue Person zum ersten Mal per SSO anmeldet, erstellt Kit ihr Konto automatisch, sofern ihre E-Mail-Domain für Ihren Workspace verifiziert ist. Falls bereits ein Nutzer mit dieser E-Mail-Adresse existiert, verknüpft Kit die SSO-Identität mit diesem bestehenden Konto.

Teil 2: Google-Workspace-Verzeichnis-Provisionierung

Die Verzeichnissynchronisation hält Ihre Kit-Mitglieder synchron mit Ihrem Google-Workspace-Verzeichnis. Da Google Änderungen nicht an Apps pusht, zieht Kit die Daten planmäßig über das Google Admin SDK — Google ist stets die maßgebliche Quelle.

Schritt 1 — Autorisieren Sie das Dienstkonto von Kit (domänenweite Delegierung)

Ein Super-Admin in Google Workspace muss das Dienstkonto von Kit autorisieren, Ihr Verzeichnis zu lesen:

  1. Öffnen Sie die Google Admin-Konsole → Security → Access and data control → API controls → Domain-wide delegation.
  2. Klicken Sie auf Add new und geben Sie die Client ID des Kit-Dienstkontos ein (auf der Kit-Verzeichniseinstellungsseite angezeigt).
  3. Fügen Sie diese read-only-OAuth-Scopes durch Kommas getrennt hinzu:
    • https://www.googleapis.com/auth/admin.directory.user.readonly
    • https://www.googleapis.com/auth/admin.directory.group.readonly
    • https://www.googleapis.com/auth/admin.directory.group.member.readonly
  4. Autorisieren Sie. Die Übernahme kann einige Minuten dauern.

Danger

Kit fordert ausschließlich read-only-Scopes an — es kann Ihr Google-Verzeichnis niemals verändern. Es liest Ihre Nutzer und Gruppen, um sie in Kit zu spiegeln.

Schritt 2 — Konfigurieren Sie die Verbindung in Kit

Geben Sie auf der Kit-Verzeichniseinstellungsseite Folgendes ein:

  • Primary domain — Ihre Workspace-Domain (zum Beispiel acme.com)
  • Delegated admin email — ein Workspace-Admin, in dessen Namen Kit nur lesend auf das Verzeichnis zugreift, um es aufzulisten
  • Admin group emails (optional) — Mitglieder dieser Google-Gruppen werden als Kit-Konto-Admins provisioniert
  • Google customer ID — belassen Sie es bei my_customer, sofern Sie nicht mehrere Google-Organisationen verwalten

Schritt 3 — Testen Sie die Verbindung

Klicken Sie auf Test connection (Verbindung testen). Kit führt eine read-only-Prüfung aus und meldet Erfolg — oder nennt Ihnen genau, was fehlt:

Ergebnis Was es bedeutet
Active Domänenweite Delegierung und Scopes sind korrekt konfiguriert.
Service account not authorized for domain-wide delegation Die Client ID wurde nicht in der Admin-Konsole hinzugefügt (Schritt 1).
Missing required directory scopes Die Client ID ist autorisiert, aber die read-only-Scopes wurden nicht erteilt.

So funktionieren Provisionierung & Deprovisionierung

Sobald die Verbindung Active ist, gleicht Kit Ihr Team automatisch ab.

Verhalten Detail
Synchronisationsintervall Etwa stündlich. Verwenden Sie Sync now auf der Verzeichnisseite, um sie sofort auszuführen.
Maßgebliche Quelle Google Workspace. Kit spiegelt es nur — es schreibt nie zurück.
Neuer Verzeichnisnutzer Ein Kit-Konto wird erstellt und die Person wird Mitglied Ihres Workspace.
Entfernter / gesperrter Nutzer Seine Kit-Mitgliedschaft wird entfernt und seine API-Tokens sowie die Sitzungen verbundener Apps werden widerrufen.
Gruppe → Rollen-Zuordnung Mitglieder Ihrer konfigurierten Admin-Gruppen werden zu Kit-Admins.
Platz-Abrechnung Ein provisioniertes Mitglied belegt standardmäßig einen Platz (pro Verbindung umschaltbar). Ist die automatische Platzvergabe deaktiviert, werden neue Verzeichnisnutzer nicht automatisch hinzugefügt.

Was Kit niemals verändert

  • Der Konto-Inhaber wird durch die Verzeichnissynchronisation niemals entfernt, selbst wenn er im Verzeichnis fehlt.
  • Manuell eingeladene Mitglieder werden niemals entfernt oder neu eingestuft — die Verzeichnissynchronisation verwaltet ausschließlich die Mitglieder, die sie selbst provisioniert hat.

Tip

Um jemanden zu offboarden, entfernen oder sperren Sie ihn in Google Workspace. Bei der nächsten Synchronisation (oder wenn Sie auf Sync now klicken) entzieht Kit seinen Zugriff und widerruft seine Tokens automatisch.

Kurz-Check

  • Verifizieren Sie Ihre E-Mail-Domain für das Konto
  • Konfigurieren Sie Ihren IdP mit der ACS URL und der SP Entity ID von Kit
  • Fügen Sie Ihre IdP Entity ID, SSO URL und das Signaturzertifikat in Kit ein
  • Aktivieren Sie SSO und testen Sie eine Anmeldung
  • Der Super-Admin autorisiert die Client ID des Kit-Dienstkontos für die domänenweite Delegierung mit den drei read-only-Scopes
  • Geben Sie die Primary domain, die Delegated admin email und etwaige Admin-Gruppen ein
  • Führen Sie Test connection aus, bis es Active meldet
  • Bestätigen Sie Ihre Platz-Richtlinie (automatische Vergabe ein oder aus)

Suchbegriff eingeben...