Ferndesk
Authentifizierung

OIDC SSO-Authentifizierung

Nutzen Sie Ihren bestehenden Identitätsanbieter (Okta, Auth0, Google usw.), um Benutzer zu authentifizieren, die über OpenID Connect (OIDC) auf Ihr Help Center zugreifen.

Erfordert einen Team- oder Enterprise-Plan mit aktiviertem privatem Modus.

Was Sie benötigen

Von Ihrem Identitätsanbieter:

  • Discovery-URL: Der Endpunkt .well-known/openid-configuration

  • Client-ID: Ihre Anwendungs-ID

  • Client-Geheimnis: Vertraulicher Schlüssel für den Token-Austausch

  • Scopes: Mindestens openid, profile und email

OIDC einrichten

  1. Gehen Sie zu Help Center > Customize > Access Control

  2. Wählen Sie den Modus Privat

  3. Öffnen Sie das Akkordeon Anmeldemethoden

  4. Klicken Sie auf OIDC-Anbieter hinzufügen

  5. Geben Sie die Details Ihres Anbieters ein:

    • Discovery-URL: Endet normalerweise auf .well-known/openid-configuration

    • Client-ID: Aus den App-Einstellungen Ihres Anbieters

    • Client-Geheimnis: Bewahren Sie dies sicher auf

    • Scopes: openid profile email (durch Leerzeichen getrennt)

  6. Klicken Sie auf Änderungen speichern

Ferndesk ruft die Konfiguration Ihres Anbieters von der Discovery-URL ab, um die Einrichtung abzuschließen.

Die Discovery-URL muss öffentlich zugänglich sein und eine gültige OIDC-Konfiguration zurückgeben. Testen Sie diese zuerst in Ihrem Browser.

Redirect-URI für Ihren Anbieter

Konfigurieren Sie diese Callback-URL in Ihrem Identitätsanbieter:

https://<your-help-domain>/auth/oidc/callback

Hierher kehren Benutzer nach der Authentifizierung zurück.

OIDC testen

  1. Öffnen Sie Ihr Help Center in einem Inkognito-Fenster

  2. Klicken Sie auf die SSO-Anmeldeschaltfläche

  3. Authentifizieren Sie sich bei Ihrem Identitätsanbieter

  4. Überprüfen Sie, ob Sie zurückgeleitet werden und auf Inhalte zugreifen können

Vorschau Ihrer Anmeldeseite sofort durch Speichern der Änderungen anzeigen. Die Einstellungsseite für die Zugriffskontrolle zeigt ein Live-Vorschau-Iframe.

Häufige Einrichtungsprobleme

Ungültige Discovery-URL

Die URL muss JSON mit den Feldern issuer, authorization_endpoint und token_endpoint zurückgeben. Häufige Lösung: Stellen Sie sicher, dass sie auf .well-known/openid-configuration endet

Client-Authentifizierung fehlgeschlagen

Client-ID oder Client-Geheimnis ist falsch. Überprüfen Sie die Werte im Dashboard Ihres Anbieters.

Scope-Fehler

Ihr Anbieter muss die Scopes openid, profile und email unterstützen. Überprüfen Sie die Dokumentation Ihres Anbieters auf erforderliche Scopes.

Redirect-URI-Fehlanpassung

Stellen Sie sicher, dass https://<your-help-domain>/auth/oidc/callback in den erlaubten Callback-URLs Ihres Anbieters auf der Whitelist steht.

Anbieterspezifische Beispiele

Okta

  • Discovery-URL: https://your-domain.okta.com/.well-known/openid-configuration

  • Erstellen Sie eine Web-App-Integration in Okta

  • Verwenden Sie den Authorization Code Flow

Auth0

  • Discovery-URL: https://your-domain.auth0.com/.well-known/openid-configuration

  • Erstellen Sie eine reguläre Webanwendung

  • Aktivieren Sie den Password Grant, wenn Sie die Anmeldung mit Benutzername/Passwort verwenden

Google

  • Discovery-URL: https://accounts.google.com/.well-known/openid-configuration

  • Erstellen Sie OAuth 2.0-Anmeldedaten in der Google Cloud Console

  • Anwendungstyp: Webanwendung

Mehrere Anbieter

Sie können OIDC neben Magic Links und JWT aktivieren. Benutzer sehen alle Optionen auf der Anmeldeseite und können ihre bevorzugte Methode wählen.

OIDC deaktivieren

Um die OIDC-Authentifizierung zu entfernen:

  1. Gehen Sie zu den Einstellungen für die Zugriffskontrolle

  2. Klicken Sie auf OIDC-Anbieter entfernen

  3. Speichern Sie Ihre Änderungen

Aktive Sitzungen bleiben gültig, bis sie ablaufen.

War das hilfreich?