Gluu funktioniert vom ersten Tag an mit Ihrem bestehenden IdentitĂ€tsanbieter â ohne erforderliche Einrichtung. Diese Anleitung erklĂ€rt, wie Sie die Zugriffskontrolle verschĂ€rfen, Microsoft Azure AD oder Google Workspace verbinden, Berechtigungen verwalten und Benutzerdaten synchron halten.
Was sofort einsatzbereit ist #
Jedes Gluu-Konto verfĂŒgt standardmĂ€Ăig ĂŒber vier aktivierte Anmeldewege. Benutzer können sich mit E-Mail und Einmalpasswort, E-Mail und Passwort, Microsoft-Konto oder Google-Konto anmelden â alles im Core-Plan, ohne erforderliche Konfiguration.
Warum also ĂŒberhaupt SSO konfigurieren? Weil der eigentliche Mehrwert entsteht, wenn Sie den Zugriff beschrĂ€nken. Wenn Sie Benutzer auf die Microsoft- oder Google-Anmeldung beschrĂ€nken, ĂŒbernimmt Gluu automatisch die MFA-, Conditional-Access- und Offboarding-Regeln Ihres IdentitĂ€tsanbieters. Ihr IT-Team behĂ€lt die Kontrolle, ohne Gluu-Einstellungen anzupassen.
EinschrÀnkung der Anmeldeberechtigten #
Planvoraussetzung: Das in diesem Abschnitt beschriebene Authentifizierungs-Panel ist nur im Advanced-Plan verfĂŒgbar.
Im Bereich âAuthentifizierungâ in Ihren Kontoeinstellungen stehen Ihnen drei KontrollkĂ€stchen zur VerfĂŒgung: Gluu Login/Passwort, Google-Authentifizierung und Microsoft-Authentifizierung. Deaktivieren Sie eine Methode, indem Sie das entsprechende HĂ€kchen entfernen. Die meisten sicherheitsbewussten Kunden deaktivieren âGluu Login/Passwortâ vollstĂ€ndig, sodass sich jeder Benutzer ĂŒber Microsoft oder Google authentifizieren muss.
Dies bedeutet, dass die MFA- und Conditional-Access-Richtlinien Ihres IdP automatisch gelten. Sie verwalten den Zugriff ĂŒber Ihren eigenen Sicherheitsstack â Gluu respektiert lediglich die Entscheidung, die Ihr IdentitĂ€tsanbieter zurĂŒckgibt.
Microsoft-Anmeldung auf Ihren Azure AD-Mandanten beschrÀnken #
StandardmĂ€Ăig kann sich jedes Microsoft-Konto anmelden. Um die Anmeldung auf Ihre eigene Organisation zu beschrĂ€nken, geben Sie Ihre Azure AD-Mandanten-ID im Authentifizierungspanel ein. Dieser einzelne Schritt schaltet auch Office 365- und SharePoint-Integrationen frei und ermöglicht die optional automatische Bereitstellung neuer Benutzer.
Azure AD App-Rollen-Gating #
Benötigen Sie eine zusĂ€tzliche Kontrollebene? Gluu unterstĂŒtzt bis zu drei App-Role-KontrollkĂ€stchen, die jeweils einer Rolle zugeordnet sind, die Sie in der Gluu Enterprise App in Ihrem Azure-AD-Tenant definieren. Aktivieren Sie mehr als eines, werden sie per UND verknĂŒpft â ein Benutzer muss alle aktivierten Rollen besitzen, um sich anmelden zu können. So können Sie eine kombinierte Mitgliedschaft wie âGluu Usersâ UND âFinance Departmentâ verlangen.
Hinweis: Bereitstellungsrechte basierend auf Azure AD-Gruppen (automatische Zuweisung von Gluu-Berechtigungsgruppen aus der AD-Gruppenmitgliedschaft) erfordern das Enterprise Security Add-on, zusÀtzlich zum Advanced-Plan. Grundlegende Tenant-ID-BeschrÀnkungen und App Role Gating erfordern dieses Add-on nicht.
Benutzerspezifische Anbieter-Ăberschreibungen #
Betreiben Sie ein gemischtes Konto mit internen Mitarbeitern und externen Partnern? Im Bereich âBenutzerdefinierte Authentifizierungsanbieterâ können Sie einzelnen Benutzern einen bestimmten Login-Anbieter fest zuweisen. Interne Mitarbeiter melden sich ĂŒber Microsoft an, externe Berater ĂŒber Google. Gluu unterstĂŒtzt auch Okta fĂŒr Organisationen, die darauf standardisiert sind â kontaktieren Sie Customer Success, um dies zu aktivieren.
Verbindung mit Microsoft Azure Active Directory #
Gluu ist tief in das Microsoft-Ăkosystem integriert. Wenn ein Benutzer auf âMit Microsoft anmeldenâ klickt, leitet Gluu ihn zur Microsoft-Anmeldeseite weiter. Nachdem Microsoft seine IdentitĂ€t â einschlieĂlich aller MFA, die Ihr Tenant erfordert â ĂŒberprĂŒft hat, vertraut Gluu dem zurĂŒckgegebenen Token und meldet ihn an.
Am wichtigsten ist, dass kein separates Gluu-Passwort erforderlich ist. Die bestehenden Unternehmensanmeldedaten des Benutzers ĂŒbernehmen die Arbeit.
Optional: EingeschrÀnkte Mandantenregistrierung #
Einige IT-Teams ziehen es vor, Gluu als Unternehmensanwendung in ihrem eigenen Azure AD-Mandanten zu registrieren. Dies gibt direkte Kontrolle ĂŒber Zustimmung, Conditional-Access-Richtlinien und App-Rollen. Der Prozess umfasst die Registrierung der App im Azure-Portal, die Konfiguration der Umleitungs-URI, die Erteilung von User.Read-Berechtigungen und die Weitergabe der Mandanten-ID und Client-ID an das Customer-Success-Team von Gluu.
Gluu unterstĂŒtzt auch SAML, das auf Anfrage fĂŒr Organisationen verfĂŒgbar ist, die es neben OIDC benötigen.
Verbindung mit Google Workspace #
FĂŒr Organisationen mit Google Workspace entspricht der Ablauf dem von Microsoft. Benutzer klicken auf âMit Google anmeldenâ, authentifizieren sich ĂŒber ihr bestehendes Unternehmenskonto, und Gluu akzeptiert den verifizierten Token. Es ist keine Vorkonfiguration erforderlich.
Möchten Sie verhindern, dass sich persönliche Google-Konten anmelden? Kontaktieren Sie den Customer Success mit Ihrer verifizierten Domain. Gluu kann den Zugriff auf Mitarbeiter mit einem @ihrunternehmen.de-Konto beschrĂ€nken â ein empfohlener Schritt fĂŒr jede Organisation, die auf Google Workspace standardisiert ist.
Steuerung von Berechtigungen innerhalb von Gluu #
AnmeldebeschrĂ€nkung und Berechtigungen innerhalb von Gluu sind zwei separate Ebenen. Ihr IdentitĂ€tsanbieter kontrolliert, wer an der TĂŒr hereinkommt. Gluu-Berechtigungsgruppen kontrollieren, was diese Benutzer sehen und tun können, sobald sie drinnen sind.
Gluu bietet zwei komplementĂ€re Zugriffsmodelle. Prozessbasierter Zugriff gewĂ€hrt Benutzern oder Gruppen Zugriff nur auf bestimmte Prozesse â ideal fĂŒr Prozessverantwortliche. Rollenbasierte Berechtigungsgruppen bieten eine feinkörnige Kontrolle ĂŒber die gesamte Plattform fĂŒr jeden Benutzertyp vom Administrator bis zum schreibgeschĂŒtzten Zuschauer.
Hinweis: Rollenbasierte Berechtigungsgruppen erfordern das Enterprise Security Add-on. Sie sind in keinem Basisplan enthalten. Lesen Sie mehr ĂŒber Berechtigungsgruppen.
Da Berechtigungsgruppen innerhalb von Gluu von einem Administrator zugewiesen werden (oder in groĂen Mengen ĂŒber die REST-API), werden sie nicht live von Azure AD oder Google synchronisiert. Die Best Practice besteht darin, Azure AD App Role Gating als erste Zugangskontrolle zu verwenden und dann Gluu-Berechtigungsgruppen zu nutzen, um die richtige Zugriffsebene festzulegen, sobald Benutzer angemeldet sind.
Wie Benutzer erstellt werden #
StandardmĂ€Ăig muss ein Benutzer in Gluu existieren, bevor er sich anmelden kann. Es gibt drei Standardmethoden zum Erstellen von Benutzern: Ein Administrator lĂ€dt sie einzeln ein (Core-Plan und höher), ein Massenimport ĂŒber die Gluu-BenutzeroberflĂ€che (Essential-Plan und höher) oder ein Customer-Success-Massenimport mithilfe einer strukturierten Datenvorlage â die schnellste Option fĂŒr groĂe Organisationen.
Wenn die Azure-AD-Tenant-ID konfiguriert ist, kann Gluu beim ersten Microsoft-Login auch automatisch einen Benutzerdatensatz anlegen. Name und E-Mail werden aus dem Microsoft-Profil ĂŒbernommen. Kombinieren Sie dies mit App-Role-Gating, um die automatische Anlage auf eine bestimmte Gruppe zu beschrĂ€nken â zum Beispiel werden nur Mitglieder der AD-Gruppe âGluu Usersâ automatisch bereitgestellt.
Wie ausgeschiedene Benutzer blockiert werden #
Offboarding wird auf Ebene des IdentitĂ€tsanbieters gehandhabt. Wenn ein Mitarbeiter das Unternehmen verlĂ€sst, deaktiviert oder löscht Ihr IT-Team dessen Konto in Azure AD oder Google Workspace. Ab diesem Moment ist das Authentifizierungstoken nicht mehr gĂŒltig, und Gluu lehnt jeden Anmeldeversuch automatisch ab. Innerhalb von Gluu ist keine Aktion erforderlich.
Dies ist der zentrale Sicherheitsvorteil von SSO gegenĂŒber eigenstĂ€ndigen Anmeldedaten. Eine Offboarding-Aktion in Ihrem HR- oder IT-System wirkt sich sofort auf jede verbundene Anwendung aus. Gluu-Administratoren können Benutzer auch manuell direkt deaktivieren, und wenn ein Benutzer aus dem Gluu-Konto gelöscht wird, werden seine personenbezogenen Daten gemÀà DSGVO anonymisiert.
Import und Pflege von Benutzerdaten ĂŒber die API #
Gluu stellt eine offene REST-API zur programmatischen Verwaltung von Benutzern und Profilfeldern bereit. Dies ist besonders nĂŒtzlich wĂ€hrend der ersten EinfĂŒhrung und um Gluu fortlaufend mit Ihrem HR-System synchron zu halten.
Gluu funktioniert vom ersten Tag an mit Ihrem bestehenden IdentitĂ€tsanbieter â ohne erforderliche Einrichtung. Diese Anleitung erklĂ€rt, wie Sie die Zugriffskontrolle verschĂ€rfen, Microsoft Azure AD oder Google Workspace verbinden, Berechtigungen verwalten und Benutzerdaten synchron halten.
Was sofort einsatzbereit ist #
Jedes Gluu-Konto verfĂŒgt standardmĂ€Ăig ĂŒber vier aktivierte Anmeldewege. Benutzer können sich mit E-Mail und Einmalpasswort, E-Mail und Passwort, Microsoft-Konto oder Google-Konto anmelden â alles im Core-Plan, ohne erforderliche Konfiguration.
Warum also ĂŒberhaupt SSO konfigurieren? Weil der eigentliche Mehrwert entsteht, wenn Sie den Zugriff beschrĂ€nken. Wenn Sie Benutzer auf die Microsoft- oder Google-Anmeldung beschrĂ€nken, ĂŒbernimmt Gluu automatisch die MFA-, Conditional-Access- und Offboarding-Regeln Ihres IdentitĂ€tsanbieters. Ihr IT-Team behĂ€lt die Kontrolle, ohne Gluu-Einstellungen anzupassen.
EinschrÀnkung der Anmeldeberechtigten #
Planvoraussetzung: Das in diesem Abschnitt beschriebene Authentifizierungs-Panel ist nur im Advanced-Plan verfĂŒgbar.
Im Bereich âAuthentifizierungâ in Ihren Kontoeinstellungen stehen Ihnen drei KontrollkĂ€stchen zur VerfĂŒgung: Gluu Login/Passwort, Google-Authentifizierung und Microsoft-Authentifizierung. Deaktivieren Sie eine Methode, indem Sie das entsprechende HĂ€kchen entfernen. Die meisten sicherheitsbewussten Kunden deaktivieren âGluu Login/Passwortâ vollstĂ€ndig, sodass sich jeder Benutzer ĂŒber Microsoft oder Google authentifizieren muss.
Dies bedeutet, dass die MFA- und Conditional-Access-Richtlinien Ihres IdP automatisch gelten. Sie verwalten den Zugriff ĂŒber Ihren eigenen Sicherheitsstack â Gluu respektiert lediglich die Entscheidung, die Ihr IdentitĂ€tsanbieter zurĂŒckgibt.
Microsoft-Anmeldung auf Ihren Azure AD-Mandanten beschrÀnken #
StandardmĂ€Ăig kann sich jedes Microsoft-Konto anmelden. Um die Anmeldung auf Ihre eigene Organisation zu beschrĂ€nken, geben Sie Ihre Azure AD-Mandanten-ID im Authentifizierungspanel ein. Dieser einzelne Schritt schaltet auch Office 365- und SharePoint-Integrationen frei und ermöglicht die optional automatische Bereitstellung neuer Benutzer.
Azure AD App-Rollen-Gating #
Benötigen Sie eine zusĂ€tzliche Kontrollebene? Gluu unterstĂŒtzt bis zu drei App-Role-KontrollkĂ€stchen, die jeweils einer Rolle zugeordnet sind, die Sie in der Gluu Enterprise App in Ihrem Azure-AD-Tenant definieren. Aktivieren Sie mehr als eines, werden sie per UND verknĂŒpft â ein Benutzer muss alle aktivierten Rollen besitzen, um sich anmelden zu können. So können Sie eine kombinierte Mitgliedschaft wie âGluu Usersâ UND âFinance Departmentâ verlangen.
Hinweis: Bereitstellungsrechte basierend auf Azure AD-Gruppen (automatische Zuweisung von Gluu-Berechtigungsgruppen aus der AD-Gruppenmitgliedschaft) erfordern das Enterprise Security Add-on, zusÀtzlich zum Advanced-Plan. Grundlegende Tenant-ID-BeschrÀnkungen und App Role Gating erfordern dieses Add-on nicht.
Benutzerspezifische Anbieter-Ăberschreibungen #
Betreiben Sie ein gemischtes Konto mit internen Mitarbeitern und externen Partnern? Im Bereich âBenutzerdefinierte Authentifizierungsanbieterâ können Sie einzelnen Benutzern einen bestimmten Login-Anbieter fest zuweisen. Interne Mitarbeiter melden sich ĂŒber Microsoft an, externe Berater ĂŒber Google. Gluu unterstĂŒtzt auch Okta fĂŒr Organisationen, die darauf standardisiert sind â kontaktieren Sie Customer Success, um dies zu aktivieren.
Verbindung mit Microsoft Azure Active Directory #
Gluu ist tief in das Microsoft-Ăkosystem integriert. Wenn ein Benutzer auf âMit Microsoft anmeldenâ klickt, leitet Gluu ihn zur Microsoft-Anmeldeseite weiter. Nachdem Microsoft seine IdentitĂ€t â einschlieĂlich aller MFA, die Ihr Tenant erfordert â ĂŒberprĂŒft hat, vertraut Gluu dem zurĂŒckgegebenen Token und meldet ihn an.
Am wichtigsten ist, dass kein separates Gluu-Passwort erforderlich ist. Die bestehenden Unternehmensanmeldedaten des Benutzers ĂŒbernehmen die Arbeit.
Optional: EingeschrÀnkte Mandantenregistrierung #
Einige IT-Teams ziehen es vor, Gluu als Unternehmensanwendung in ihrem eigenen Azure AD-Mandanten zu registrieren. Dies gibt direkte Kontrolle ĂŒber Zustimmung, Conditional-Access-Richtlinien und App-Rollen. Der Prozess umfasst die Registrierung der App im Azure-Portal, die Konfiguration der Umleitungs-URI, die Erteilung von User.Read-Berechtigungen und die Weitergabe der Mandanten-ID und Client-ID an das Customer-Success-Team von Gluu.
Gluu unterstĂŒtzt auch SAML, das auf Anfrage fĂŒr Organisationen verfĂŒgbar ist, die es neben OIDC benötigen.
Verbindung mit Google Workspace #
FĂŒr Organisationen mit Google Workspace entspricht der Ablauf dem von Microsoft. Benutzer klicken auf âMit Google anmeldenâ, authentifizieren sich ĂŒber ihr bestehendes Unternehmenskonto, und Gluu akzeptiert den verifizierten Token. Es ist keine Vorkonfiguration erforderlich.
Möchten Sie verhindern, dass sich persönliche Google-Konten anmelden? Kontaktieren Sie den Customer Success mit Ihrer verifizierten Domain. Gluu kann den Zugriff auf Mitarbeiter mit einem @ihrunternehmen.de-Konto beschrĂ€nken â ein empfohlener Schritt fĂŒr jede Organisation, die auf Google Workspace standardisiert ist.
Steuerung von Berechtigungen innerhalb von Gluu #
AnmeldebeschrĂ€nkung und Berechtigungen innerhalb von Gluu sind zwei separate Ebenen. Ihr IdentitĂ€tsanbieter kontrolliert, wer an der TĂŒr hereinkommt. Gluu-Berechtigungsgruppen kontrollieren, was diese Benutzer sehen und tun können, sobald sie drinnen sind.
Gluu bietet zwei komplementĂ€re Zugriffsmodelle. Prozessbasierter Zugriff gewĂ€hrt Benutzern oder Gruppen Zugriff nur auf bestimmte Prozesse â ideal fĂŒr Prozessverantwortliche. Rollenbasierte Berechtigungsgruppen bieten eine feinkörnige Kontrolle ĂŒber die gesamte Plattform fĂŒr jeden Benutzertyp vom Administrator bis zum schreibgeschĂŒtzten Zuschauer.
Hinweis: Rollenbasierte Berechtigungsgruppen erfordern das Enterprise Security Add-on. Sie sind in keinem Basisplan enthalten. Lesen Sie mehr ĂŒber Berechtigungsgruppen.
Da Berechtigungsgruppen innerhalb von Gluu von einem Administrator zugewiesen werden (oder in groĂen Mengen ĂŒber die REST-API), werden sie nicht live von Azure AD oder Google synchronisiert. Die Best Practice besteht darin, Azure AD App Role Gating als erste Zugangskontrolle zu verwenden und dann Gluu-Berechtigungsgruppen zu nutzen, um die richtige Zugriffsebene festzulegen, sobald Benutzer angemeldet sind.
Wie Benutzer erstellt werden #
StandardmĂ€Ăig muss ein Benutzer in Gluu existieren, bevor er sich anmelden kann. Es gibt drei Standardmethoden zum Erstellen von Benutzern: Ein Administrator lĂ€dt sie einzeln ein (Core-Plan und höher), ein Massenimport ĂŒber die Gluu-BenutzeroberflĂ€che (Essential-Plan und höher) oder ein Customer-Success-Massenimport mithilfe einer strukturierten Datenvorlage â die schnellste Option fĂŒr groĂe Organisationen.
Wenn die Azure-AD-Tenant-ID konfiguriert ist, kann Gluu beim ersten Microsoft-Login auch automatisch einen Benutzerdatensatz anlegen. Name und E-Mail werden aus dem Microsoft-Profil ĂŒbernommen. Kombinieren Sie dies mit App-Role-Gating, um die automatische Anlage auf eine bestimmte Gruppe zu beschrĂ€nken â zum Beispiel werden nur Mitglieder der AD-Gruppe âGluu Usersâ automatisch bereitgestellt.
Wie ausgeschiedene Benutzer blockiert werden #
Offboarding wird auf Ebene des IdentitĂ€tsanbieters gehandhabt. Wenn ein Mitarbeiter das Unternehmen verlĂ€sst, deaktiviert oder löscht Ihr IT-Team dessen Konto in Azure AD oder Google Workspace. Ab diesem Moment ist das Authentifizierungstoken nicht mehr gĂŒltig, und Gluu lehnt jeden Anmeldeversuch automatisch ab. Innerhalb von Gluu ist keine Aktion erforderlich.
Dies ist der zentrale Sicherheitsvorteil von SSO gegenĂŒber eigenstĂ€ndigen Anmeldedaten. Eine Offboarding-Aktion in Ihrem HR- oder IT-System wirkt sich sofort auf jede verbundene Anwendung aus. Gluu-Administratoren können Benutzer auch manuell direkt deaktivieren, und wenn ein Benutzer aus dem Gluu-Konto gelöscht wird, werden seine personenbezogenen Daten gemÀà DSGVO anonymisiert.
Import und Pflege von Benutzerdaten ĂŒber die API #
Gluu stellt eine offene REST-API zur programmatischen Verwaltung von Benutzern und Profilfeldern bereit. Dies ist besonders nĂŒtzlich wĂ€hrend der ersten EinfĂŒhrung und um Gluu fortlaufend mit Ihrem HR-System synchron zu halten.
FAQ â SSO-Konfigurationsanleitung #
FĂŒr die meisten Einstellungen â Eingabe einer Tenant-ID oder Deaktivierung von Anmeldemethoden â nein. Ein Administrator mit Zugriff auf die Kontoeinstellungen kann dies selbststĂ€ndig tun. FĂŒr fortgeschrittenere Konfigurationen wie eingeschrĂ€nkte Tenant-Registrierung, SAML-Einrichtung oder Okta-Integration wenden Sie sich bitte an Gluu Customer Success, um den Prozess abzuschlieĂen.
Wenn Sie die Gluu-Passwortanmeldung vollstĂ€ndig deaktiviert haben und sich ausschlieĂlich auf die Microsoft- oder Google-Authentifizierung verlassen, können sich Benutzer bei einem Ausfall des IdentitĂ€tsanbieters nicht anmelden. Wenn die GeschĂ€ftskontinuitĂ€t einen Fallback-Zugriff erfordert, sollten Sie die Gluu-Anmeldemethode fĂŒr eine kleine Gruppe von Administratoren aktiviert lassen.
Gelöschte Benutzer können sich nicht anmelden und erscheinen nicht mehr in den Benutzerlisten, aber ihre historischen Kommentare, Bearbeitungen und Prozesszuordnungen bleiben als Teil des Wissensbestands Ihrer Organisation intakt. Persönliche Profilinformationen werden gemÀà DSGVO anonymisiert.
Ja. Die benutzerbezogene Login-Anbieter-Ăberschreibung ermöglicht es Ihnen, einzelnen Benutzern eine andere Anmeldemethode zuzuweisen. Externe Partner können sich mit Google oder einem Gluu-Passwort anmelden, wĂ€hrend Ihre internen Mitarbeiter Microsoft verwenden â alles innerhalb desselben Kontos.
Die REST-API erfordert das APIs und Schnittstellen Add-on. Sie ist in keinem Basisplan (Core, Essential oder Advanced) enthalten. Kontaktieren Sie Customer Success, um die Aktivierung fĂŒr Ihr Konto zu besprechen.
Gehen Sie im Azure-Portal zu Azure Active Directory â Ăbersicht. Ihre Tenant-ID wird unter âGrundlegende Informationenâ angezeigt. Kopieren Sie sie und fĂŒgen Sie sie in das Authentifizierungs-Panel in Ihren Gluu-Kontoeinstellungen ein.
