## Warum das zählt

Enterprise-Teams brauchen für die Zugriffs-Compliance zwei Dinge: Mitarbeiter melden sich über Ihren Identity Provider an (keine separaten Kit-Passwörter), und Zugriffe werden automatisch erteilt und entzogen, sobald jemand ein- oder austritt. Kit unterstützt beides — **SAML Single Sign-On** für die Anmeldung und **Google-Workspace-Verzeichnissynchronisation** für die automatische Provisionierung und Deprovisionierung.

Beides wird unter **Settings → Integrations** konfiguriert, und beides setzt einen Administrator für die Einrichtung voraus.

> [!NOTE]
> SSO und Verzeichnissynchronisation sind voneinander unabhängig. Sie können SSO allein aktivieren, die Verzeichnissynchronisation allein oder beides zusammen.

## Teil 1: SAML Single Sign-On

Mit SAML-SSO kann sich Ihr Team über Ihren Identity Provider anmelden (Google Workspace, Okta, Microsoft Entra, OneLogin und andere). Kit ist der **Service Provider (SP)**; Ihr Identity Provider ist der **IdP**.

### Schritt 1 — Übergeben Sie Ihrem IdP die Service-Provider-Daten von Kit

Verwenden Sie in der SAML-App-Konfiguration Ihres IdP diese Werte aus der **SSO**-Einstellungsseite von Kit:

| Feld in Ihrem IdP | Wert aus Kit |
|---|---|
| ACS URL / Reply URL / Single sign-on URL | `https://app.startupkit.app/users/auth/saml/callback` |
| SP Entity ID / Audience URI | `https://app.startupkit.app/users/auth/saml/metadata` |
| Name ID format | E-Mail-Adresse |

Die genauen Werte für Ihr Konto werden auf der SSO-Einstellungsseite angezeigt, und es steht eine herunterladbare SP-**metadata URL** bereit, falls Ihr IdP den Import von Metadaten bevorzugt.

### Schritt 2 — Verifizieren Sie Ihre E-Mail-Domain

Kit akzeptiert nur SSO-Anmeldungen, deren E-Mail-Domain Sie für Ihr Konto **verifiziert** haben (zum Beispiel `acme.com`). Genau das verhindert, dass der Identity Provider einer anderen Organisation Nutzer in Ihren Workspace anmeldet. Verifizieren Sie Ihre Domain unter **Settings → Custom Domains / Account**, bevor Sie SSO aktivieren.

### Schritt 3 — Fügen Sie Ihre IdP-Daten in Kit ein

Geben Sie zurück auf der SSO-Einstellungsseite von Kit Folgendes ein:

- **IdP Entity ID** — die Issuer / Entity ID aus der SAML-App Ihres IdP
- **IdP SSO URL** — die Anmelde-URL, die Ihr IdP bereitstellt
- **IdP signing certificate** — das X.509-Zertifikat (PEM), mit dem Ihr IdP Assertions signiert

Sie können auch das **metadata XML** Ihres IdP einfügen, und Kit füllt diese Felder für Sie aus.

### Schritt 4 — SSO aktivieren

Klicken Sie auf **Enable SSO** (SSO aktivieren). Ihr Team kann sich nun über Ihren Identity Provider anmelden. Sowohl die IdP-initiierte Anmeldung (Start von Kit aus Ihrem IdP-Dashboard) als auch die normale Anmeldung werden unterstützt.

> [!IMPORTANT]
> Wenn sich eine neue Person zum ersten Mal per SSO anmeldet, erstellt Kit ihr Konto automatisch, sofern ihre E-Mail-Domain für Ihren Workspace verifiziert ist. Falls bereits ein Nutzer mit dieser E-Mail-Adresse existiert, verknüpft Kit die SSO-Identität mit diesem bestehenden Konto.

## Teil 2: Google-Workspace-Verzeichnis-Provisionierung

Die Verzeichnissynchronisation hält Ihre Kit-Mitglieder synchron mit Ihrem Google-Workspace-Verzeichnis. Da Google Änderungen nicht an Apps pusht, **zieht** Kit die Daten planmäßig über das Google Admin SDK — Google ist stets die maßgebliche Quelle.

### Schritt 1 — Autorisieren Sie das Dienstkonto von Kit (domänenweite Delegierung)

Ein **Super-Admin** in Google Workspace muss das Dienstkonto von Kit autorisieren, Ihr Verzeichnis zu lesen:

1. Öffnen Sie die Google Admin-Konsole → **Security → Access and data control → API controls → Domain-wide delegation**.
2. Klicken Sie auf **Add new** und geben Sie die **Client ID** des Kit-Dienstkontos ein (auf der Kit-Verzeichniseinstellungsseite angezeigt).
3. Fügen Sie diese **read-only**-OAuth-Scopes durch Kommas getrennt hinzu:
   - `https://www.googleapis.com/auth/admin.directory.user.readonly`
   - `https://www.googleapis.com/auth/admin.directory.group.readonly`
   - `https://www.googleapis.com/auth/admin.directory.group.member.readonly`
4. Autorisieren Sie. Die Übernahme kann einige Minuten dauern.

> [!CAUTION]
> Kit fordert ausschließlich **read-only**-Scopes an — es kann Ihr Google-Verzeichnis niemals verändern. Es liest Ihre Nutzer und Gruppen, um sie in Kit zu spiegeln.

### Schritt 2 — Konfigurieren Sie die Verbindung in Kit

Geben Sie auf der Kit-Verzeichniseinstellungsseite Folgendes ein:

- **Primary domain** — Ihre Workspace-Domain (zum Beispiel `acme.com`)
- **Delegated admin email** — ein Workspace-Admin, in dessen Namen Kit nur lesend auf das Verzeichnis zugreift, um es aufzulisten
- **Admin group emails** (optional) — Mitglieder dieser Google-Gruppen werden als Kit-Konto-Admins provisioniert
- **Google customer ID** — belassen Sie es bei `my_customer`, sofern Sie nicht mehrere Google-Organisationen verwalten

### Schritt 3 — Testen Sie die Verbindung

Klicken Sie auf **Test connection** (Verbindung testen). Kit führt eine read-only-Prüfung aus und meldet Erfolg — oder nennt Ihnen genau, was fehlt:

| Ergebnis | Was es bedeutet |
|---|---|
| Active | Domänenweite Delegierung und Scopes sind korrekt konfiguriert. |
| Service account not authorized for domain-wide delegation | Die Client ID wurde nicht in der Admin-Konsole hinzugefügt (Schritt 1). |
| Missing required directory scopes | Die Client ID ist autorisiert, aber die read-only-Scopes wurden nicht erteilt. |

## So funktionieren Provisionierung & Deprovisionierung

Sobald die Verbindung **Active** ist, gleicht Kit Ihr Team automatisch ab.

| Verhalten | Detail |
|---|---|
| Synchronisationsintervall | Etwa stündlich. Verwenden Sie **Sync now** auf der Verzeichnisseite, um sie sofort auszuführen. |
| Maßgebliche Quelle | Google Workspace. Kit spiegelt es nur — es schreibt nie zurück. |
| Neuer Verzeichnisnutzer | Ein Kit-Konto wird erstellt und die Person wird Mitglied Ihres Workspace. |
| Entfernter / gesperrter Nutzer | Seine Kit-Mitgliedschaft wird entfernt und seine API-Tokens sowie die Sitzungen verbundener Apps werden widerrufen. |
| Gruppe → Rollen-Zuordnung | Mitglieder Ihrer konfigurierten Admin-Gruppen werden zu Kit-Admins. |
| Platz-Abrechnung | Ein provisioniertes Mitglied **belegt standardmäßig einen Platz** (pro Verbindung umschaltbar). Ist die automatische Platzvergabe deaktiviert, werden neue Verzeichnisnutzer nicht automatisch hinzugefügt. |

### Was Kit niemals verändert

- **Der Konto-Inhaber** wird durch die Verzeichnissynchronisation niemals entfernt, selbst wenn er im Verzeichnis fehlt.
- **Manuell eingeladene Mitglieder** werden niemals entfernt oder neu eingestuft — die Verzeichnissynchronisation verwaltet ausschließlich die Mitglieder, die sie selbst provisioniert hat.

> [!TIP]
> Um jemanden zu offboarden, entfernen oder sperren Sie ihn in Google Workspace. Bei der nächsten Synchronisation (oder wenn Sie auf **Sync now** klicken) entzieht Kit seinen Zugriff und widerruft seine Tokens automatisch.

## Kurz-Check

- [ ] Verifizieren Sie Ihre E-Mail-Domain für das Konto
- [ ] Konfigurieren Sie Ihren IdP mit der ACS URL und der SP Entity ID von Kit
- [ ] Fügen Sie Ihre IdP Entity ID, SSO URL und das Signaturzertifikat in Kit ein
- [ ] Aktivieren Sie SSO und testen Sie eine Anmeldung
- [ ] Der Super-Admin autorisiert die Client ID des Kit-Dienstkontos für die domänenweite Delegierung mit den drei read-only-Scopes
- [ ] Geben Sie die Primary domain, die Delegated admin email und etwaige Admin-Gruppen ein
- [ ] Führen Sie **Test connection** aus, bis es Active meldet
- [ ] Bestätigen Sie Ihre Platz-Richtlinie (automatische Vergabe ein oder aus)