Ferndesk
Authentifizierung

OIDC SSO-Authentifizierung

Verwenden Sie Ihren vorhandenen Identity Provider (Okta, Auth0, Google usw.), um Benutzer, die auf Ihr Help Center zugreifen, über OpenID Connect (OIDC) zu authentifizieren.

Erfordert einen Team- oder Enterprise-Tarif mit aktiviertem privaten Modus.

Was Sie benötigen

Von Ihrem Identity Provider:

  • Discovery URL: Der .well-known/openid-configuration Endpunkt

  • Client ID: Ihr Anwendungsbezeichner

  • Client Secret: Vertraulicher Schlüssel für den Token-Austausch

  • Scopes: Mindestens openid, profile und email

Einrichten von OIDC

  1. Gehen Sie zu Help Center > Customize > Access Control

  2. Wählen Sie den Modus Private

  3. Öffnen Sie das Akkordeon Login methods

  4. Klicken Sie auf Add OIDC Provider

  5. Geben Sie die Details Ihres Anbieters ein:

    • Discovery URL: Endet normalerweise auf .well-known/openid-configuration

    • Client ID: Aus den App-Einstellungen Ihres Anbieters

    • Client Secret: Bewahren Sie dies sicher auf

    • Scopes: openid profile email (durch Leerzeichen getrennt)

  6. Klicken Sie auf Save changes

Ferndesk ruft die Konfiguration Ihres Anbieters von der Discovery URL ab, um die Einrichtung abzuschließen.

Die Discovery URL muss öffentlich zugänglich sein und eine gültige OIDC-Konfiguration zurückgeben. Testen Sie diese zuerst in Ihrem Browser.

Redirect-URI für Ihren Anbieter

Konfigurieren Sie diese Callback-URL in Ihrem Identity Provider:

https://<your-help-domain>/auth/oidc/callback

Dies ist die Adresse, zu der Benutzer nach der Authentifizierung zurückkehren.

OIDC testen

  1. Öffnen Sie Ihr Help Center in einem Inkognito-Fenster

  2. Klicken Sie auf die SSO-Anmeldeschaltfläche

  3. Authentifizieren Sie sich bei Ihrem Identity Provider

  4. Überprüfen Sie, ob Sie zurückgeleitet werden und auf Inhalte zugreifen können

Vorschau Ihrer Anmeldeseite sofort durch Speichern der Änderungen anzeigen. Die Einstellungsseite für die Zugriffskontrolle zeigt ein Live-Vorschau-Iframe.

Häufige Einrichtungsprobleme

Ungültige Discovery URL

Die URL muss JSON mit den Feldern issuer, authorization_endpoint und token_endpoint zurückgeben. Häufige Lösung: Stellen Sie sicher, dass sie auf .well-known/openid-configuration endet

Client-Authentifizierung fehlgeschlagen

Client ID oder Secret ist falsch. Überprüfen Sie die Werte im Dashboard Ihres Anbieters.

Scope-Fehler

Ihr Anbieter muss die Scopes openid, profile und email unterstützen. Prüfen Sie die Dokumentation des Anbieters auf erforderliche Scopes.

Redirect-URI-Fehlermeldung

Stellen Sie sicher, dass https://<your-help-domain>/auth/oidc/callback in den erlaubten Callback-URLs Ihres Anbieters auf der Whitelist steht.

Anbieterspezifische Beispiele

Okta

  • Discovery URL: https://your-domain.okta.com/.well-known/openid-configuration

  • Erstellen Sie eine Web App Integration in Okta

  • Verwenden Sie den Authorization Code Flow

Auth0

  • Discovery URL: https://your-domain.auth0.com/.well-known/openid-configuration

  • Erstellen Sie eine Regular Web Application

  • Aktivieren Sie Password Grant, wenn Sie Login mit Benutzername/Passwort verwenden

Google

  • Discovery URL: https://accounts.google.com/.well-known/openid-configuration

  • Erstellen Sie OAuth 2.0-Zugangsdaten in der Google Cloud Console

  • Anwendungstyp: Webanwendung

Mehrere Anbieter

Sie können OIDC neben Magic Links und JWT aktivieren. Benutzer sehen alle Optionen auf der Anmeldeseite und können ihre bevorzugte Methode wählen.

Deaktivieren von OIDC

Um die OIDC-Authentifizierung zu entfernen:

  1. Gehen Sie zu den Access Control Einstellungen

  2. Klicken Sie auf Remove OIDC Provider

  3. Speichern Sie Ihre Änderungen

Aktive Sitzungen bleiben gültig, bis sie ablaufen.

War das hilfreich?