Single Sign-On (SSO) einrichten
Aktualisiert am 08.07.2026
Mit Single Sign-On melden sich deine Mitarbeitenden mit ihrem bestehenden Firmen-Konto an – ganz ohne zusätzliches Passwort. MyIdeas unterstützt Microsoft Entra ID, Google Workspace, Okta, JumpCloud, cidaas und Keycloak über den offenen Standard OpenID Connect.
Deine Weiterleitungs-URL (Redirect URI)
Diese Adresse musst du bei deinem Identity-Provider als erlaubte Weiterleitungs-URL hinterlegen. Ersetze „deinestadt“ durch deine tatsächliche Subdomain:
https://deinestadt.my-ideas.de/api/auth/sso/callbackNutzt du eine eigene Domain, verwende stattdessen https://deine-domain.de/api/auth/sso/callback.
App bei deinem Identity-Provider registrieren
Lege bei deinem Anbieter (z. B. Microsoft Entra ID, Google Cloud Console oder Okta) eine neue OAuth-/OIDC-Anwendung an, trage die obige Redirect URI ein und notiere dir die Client-ID sowie das Client-Secret.
Provider in MyIdeas hinterlegen
Öffne in deiner Instanz Moderation → SSO, wähle deinen Anbieter aus und trage Client-ID und Client-Secret ein. Je nach Anbieter ist eine zusätzliche Angabe nötig:
| Anbieter | Zusätzliche Angabe |
|---|---|
| Microsoft Entra ID | Verzeichnis-/Tenant-ID (optional, sonst „common“) |
| Google Workspace | — |
| Okta | Issuer-URL (z. B. https://firma.okta.com) |
| JumpCloud | Org-ID |
| cidaas | Basis-URL (z. B. https://firma.cidaas.de) |
| Keycloak | Basis-URL + Realm |
Optional: auf E-Mail-Domains beschränken
Möchtest du SSO nur für bestimmte E-Mail-Domains erlauben, trage sie kommagetrennt im Feld „Erlaubte Domains“ ein. Leer lassen bedeutet: alle Domains sind erlaubt.
stadt-xyz.de, verwaltung.deAktivieren, testen und anmelden
Aktiviere den Provider und speichere. Auf der Anmeldeseite erscheint nun zusätzlich zum SMS-Login eine Schaltfläche „Mit … anmelden“. Beim ersten Login wird das Nutzerkonto automatisch anhand der E-Mail-Adresse angelegt oder verknüpft.
Anmelden
Häufige Fragen & Problemlösung
Fehler „redirect_uri mismatch“
Die beim Anbieter hinterlegte Weiterleitungs-URL stimmt nicht exakt mit deiner Adresse überein. Sie muss inklusive https:// und ohne abschließenden Schrägstrich exakt auf …/api/auth/sso/callback enden.
Meldung „Deine E-Mail-Domain ist nicht erlaubt“
Die E-Mail-Domain des anmeldenden Kontos steht nicht in der Liste der erlaubten Domains. Ergänze die Domain unter Moderation → SSO oder lasse das Feld leer.
Ich sehe keine SSO-Einstellungen
Der SSO-Bereich ist im Organisation-Paket verfügbar. Prüfe dein Paket unter Moderation → Paket oder melde dich bei uns für ein Upgrade.