Ferndesk
Authentifizierung

OIDC SSO Authentifizierung

Nutzen Sie Ihren bestehenden Identitätsanbieter (Okta, Auth0, Google usw.), um Benutzer, die auf Ihr Help Center zugreifen, via OpenID Connect (OIDC) zu authentifizieren.

Erfordert einen Team- oder Enterprise-Plan mit aktiviertem Private-Modus.

Was Sie benötigen

Von Ihrem Identitätsanbieter:

  • Discovery URL: Der .well-known/openid-configuration Endpunkt

  • Client-ID: Ihre Anwendungs-ID

  • Client-Secret: Vertraulicher Schlüssel für den Token-Austausch

  • Scopes: Mindestens openid, profile und email

OIDC einrichten

  1. Gehen Sie zu Help Center > Customize > Access Control

  2. Wählen Sie den Modus Private

  3. Öffnen Sie das Akkordeon Login methods

  4. Klicken Sie auf Add OIDC Provider

  5. Geben Sie die Details Ihres Anbieters ein:

    • Discovery URL: Endet normalerweise auf .well-known/openid-configuration

    • Client-ID: Aus den App-Einstellungen Ihres Anbieters

    • Client-Secret: Bewahren Sie diesen Schlüssel sicher auf

    • Scopes: openid profile email (durch Leerzeichen getrennt)

  6. Klicken Sie auf Save changes

Ferndesk ruft die Konfiguration Ihres Anbieters von der Discovery URL ab, um die Einrichtung abzuschließen.

Die Discovery URL muss öffentlich zugänglich sein und eine gültige OIDC-Konfiguration zurückgeben. Testen Sie diese zuerst in Ihrem Browser.

Redirect-URI für Ihren Anbieter

Konfigurieren Sie diese Callback-URL bei Ihrem Identitätsanbieter:

https://<your-help-domain>/auth/oidc/callback

Dies ist der Ort, an den Benutzer nach der Authentifizierung zurückkehren.

OIDC testen

  1. Öffnen Sie Ihr Help Center in einem Inkognito-Fenster

  2. Klicken Sie auf die SSO-Anmeldeschaltfläche

  3. Authentifizieren Sie sich bei Ihrem Identitätsanbieter

  4. Überprüfen Sie, ob Sie zurückgeleitet werden und auf Inhalte zugreifen können

Vorschau Ihrer Anmeldeseite sofort nach dem Speichern der Änderungen. Die Access Control Einstellungsseite zeigt ein Live-Vorschau-Iframe.

Häufige Einrichtungsprobleme

Ungültige Discovery URL

Die URL muss JSON mit den Feldern issuer, authorization_endpoint und token_endpoint zurückgeben. Häufige Lösung: Stellen Sie sicher, dass sie auf .well-known/openid-configuration endet

Client-Authentifizierung fehlgeschlagen

Client-ID oder Secret ist falsch. Überprüfen Sie die Werte im Dashboard Ihres Anbieters.

Scope-Fehler

Ihr Anbieter muss die Scopes openid, profile und email unterstützen. Prüfen Sie die Dokumentation des Anbieters auf erforderliche Scopes.

Redirect-URI-Fehlabgleich

Stellen Sie sicher, dass https://<your-help-domain>/auth/oidc/callback in der Liste der erlaubten Callback-URLs Ihres Anbieters steht.

Anbieterspezifische Beispiele

Okta

  • Discovery URL: https://ihre-domain.okta.com/.well-known/openid-configuration

  • Erstellen Sie eine Web-App-Integration in Okta

  • Verwenden Sie den Authorization Code Flow

Auth0

  • Discovery URL: https://ihre-domain.auth0.com/.well-known/openid-configuration

  • Erstellen Sie eine Regular Web Application

  • Aktivieren Sie Password Grant, falls Sie Login per Benutzername/Passwort nutzen

Google

  • Discovery URL: https://accounts.google.com/.well-known/openid-configuration

  • Erstellen Sie OAuth 2.0 Zugangsdaten in der Google Cloud Console

  • Anwendungstyp: Webanwendung

Mehrere Anbieter

Sie können OIDC neben Magic Links und JWT aktivieren. Benutzer sehen alle Optionen auf der Anmeldeseite und können ihre bevorzugte Methode wählen.

OIDC deaktivieren

Um die OIDC-Authentifizierung zu entfernen:

  1. Gehen Sie zu den Access Control Einstellungen

  2. Klicken Sie auf Remove OIDC Provider

  3. Speichern Sie Ihre Änderungen

Aktive Sitzungen bleiben gültig, bis sie ablaufen.

War das hilfreich?