Einmaliges Anmelden (Single Sign-On, SSO)

Yes. All users, including org owners, are subject to SSO enforcement by default.

Previously, org owners were automatically exempt from SSO enforcement. However, enterprise customers flagged this as a security risk. In response:

• New organizations enforcing SSO will have no default exemptions, including for owners.

• Admins can manually exempt specific users, such as break-glass accounts, from SSO enforcement.

• Existing customers will retain their current exemptions temporarily via a migration script, but can opt into enforcing SSO for all users.

To change exemptions, go to your SSO settings and manage user access individually.

Die Durchsetzung von SSO verhindert, dass sich Unternehmensmitglieder per E-Mail oder über Dienste von Drittanbietern (Github, Google und Twitter) bei Contentful anmelden. Nach der Aktivierung ist die einzige zulässige Authentifizierungsmethode für die Anmeldung SSO.

Das Einrichten der SSO-Erzwingung ist mit zwei Einschränkungen verbunden. Wenn Sie SSO erzwingen, müssen sich die Nutzer*innen Ihres Unternehmens über SSO anmelden. Nach der Erzwingung können sich die folgenden Nutzer*innen weiterhin per E-Mail oder über Dienste von Drittanbietern bei Contentful anmelden:

• Jene Personen, die ausdrücklich von der SSO-Erzwingung befreit wurden. 

Nutzer*innen, die vor der Durchsetzung von SSO bei Contentful angemeldet sind und bleiben, können Contentful weiterhin ohne SSO-Durchsetzung verwenden. Erst nach Ablauf ihrer aktuellen Sitzung müssen sie sich über SSO anmelden.

HINWEIS: Die Durchsetzung von SSO ist eine optionale Funktion. Sie können diese Funktion aktivieren, indem Sie den Schalter im Abschnitt Anmeldebeschränkungen auf der Seite „Nutzer*innen bearbeiten“ ein- oder ausschalten.

Der Unternehmens-Admin kann SSO in der Web-App anfordern. Er/Sie muss zunächst einen SSO-Anbieter auswählen, da der Name und die Details des Anbieters beim Einrichten von SSO in Contentful benötigt werden.

HINWEIS: Sie können die Einrichtungsseite verlassen und jederzeit dorthin zurückkehren, wo Sie aufgehört haben, indem Sie oben auf dem Bildschirm auf Änderungen speichern klicken.

1. SSO-Name und Bestätigung

Um den Einrichtungsprozess zu starten, müssen Sie Ihren SSO-Namen erstellen. Der SSO-Name ist eine eindeutige Kennung, mit der sich das Unternehmen über das SSO von Contentful anmelden kann.  Der SSO-Name muss die folgenden Anforderungen erfüllen:

• Besteht aus Kleinbuchstaben. 

• Darf die folgenden Symbole enthalten: 0–9, a–z und =-_~\/

• Enthält keine Leerzeichen. 

• Eindeutiger Name für alle Contentful Unternehmen. 

Bestätigen Sie die Aktivierung von SSO im folgenden Dialogfeld, um die SSO-Einrichtung abzuschließen.

HINWEIS: Wenn Sie einen SHA-Fingerabdruck Ihres Zertifikats einrichten möchten, wenden Sie sich an unseren Kundensupport.

2. Contentful Dienstleisterkonfiguration

Fügen Sie die folgenden Details zu Ihrem SSO-Anbieter hinzu: 

1. Zielgruppen-URI (auch als Entitäts-ID, Aussteller-ID oder Identitätsanbieter-ID bezeichnet)  

2. Assertion Consumer Service (ACS)-URL (auch als SSO-URL bezeichnet)  

Ordnen Sie die von Contentful benötigten Nutzerattribute den entsprechenden Nutzerattributen in Ihrem Identitätsanbieter zu. Diese Attribute sind wie folgt benannt:

• Vorname: der Vorname des Nutzers/der Nutzerin. 

• Nachname: der Nachname des Nutzers/der Nutzerin. 

• E-Mail: die E-Mail-Adresse des Nutzers/der Nutzerin. 

Füllen Sie das Formular aus, um uns Details zu Ihrem ausgewählten SSO-Anbieter, der Weiterleitungs-URL und dem X.509-Zertifikat mitzuteilen. 

• SSO-Service-URL: URL des von Ihrem Identitätsanbieter angegebenen SSO-Endpunkts, z. B. https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=idpid

• Signaturzertifikat: ein gültiges öffentliches X.509-Signaturzertifikat, das von Ihrem Identitätsanbieter bereitgestellt wird und zum Signieren von SSO-Antworten verwendet wird. Wenn Sie einen SHA-Fingerabdruck Ihres Zertifikats einrichten möchten, wenden Sie sich bitte an den Contentful Kundensupport.

Viele Identitätsanbieter werden Sie auch auffordern, das Attribut „Namens-ID“ zu konfigurieren. Contentful verwendet dieses Attribut, um Ihre Nutzer*innen bei nachfolgenden SSO-Anmeldungen zu identifizieren. Deshalb sollte die Namens-ID einem Feld zugeordnet werden, das Ihre einzelnen Nutzer*innen eindeutig identifiziert, z. B. E-Mail-Adresse, Mitarbeiternummer oder eine eindeutige Nutzer-ID, die von Ihrem Identitätsanbieter zur Verfügung gestellt wird.

HINWEIS: Die meisten der erforderlichen technischen Details sind in der Metadatendatei enthalten, die von Ihrem Identitätsanbieter bereitgestellt wird. Der SSO-Admin Ihres Unternehmens sollte Zugriff auf diese Datei haben.

3.  Details zum Identitätsanbieter

Sobald SSO auf der Contentful-Seite aktiviert ist, muss der SSO-Admin Ihres Unternehmens den Einrichtungsprozess auf der Seite des Identitätsanbieters abschließen und sichergehen, dass alle anderen relevanten Einstellungen in internen Netzwerken und Anwendungen aktualisiert werden, damit die Mitarbeiter*innen über SSO auf Contentful zugreifen können.

Viele Identitätsanbieter werden Sie auch auffordern, das Attribut „Namens-ID“ zu konfigurieren. Contentful verwendet dieses Attribut, um Ihre Nutzer*innen bei nachfolgenden SSO-Anmeldungen zu identifizieren. Deshalb sollte die Namens-ID einem Feld zugeordnet werden, das Ihre einzelnen Nutzer*innen eindeutig identifiziert, z. B. E-Mail-Adresse, Mitarbeiternummer oder eine eindeutige Nutzer-ID, die von Ihrem Identitätsanbieter zur Verfügung gestellt wird.

HINWEIS: Die meisten der erforderlichen technischen Details sind in der Metadatendatei enthalten, die von Ihrem Identitätsanbieter bereitgestellt wird. Der SSO-Admin Ihres Unternehmens sollte Zugriff auf diese Datei haben.

Verbindung testen

Sobald Sie die IdP-Details hinzugefügt haben, müssen Sie die Verbindung testen, indem Sie auf Verbindung testen klicken. Wenn Sie auf die Schaltfläche klicken, werden Sie zum IDP-Anmeldebildschirm weitergeleitet. Nach der Anmeldung kehren Sie zur Einrichtungsseite zurück, auf der nun der Status der Einrichtung (erfolgreich/fehlgeschlagen) angezeigt wird

HINWEIS: Sie müssen die Verbindung erneut testen, wenn Sie ein neues X.509-Zertifikat auf Ihre SSO-Konfiguration anwenden möchten. 

Wenn ein/e Nutzer*in mit ausstehenden Einladungen von mehreren Contentful-Unternehmen eine Einladung von dem Unternehmen mit erzwungenem SSO annimmt, werden alle anderen Einladungen gelöscht und die Einladungen von anderen Unternehmen werden zurückgezogen. Wenn der/die Nutzer*in Mitglied mehrerer Unternehmen sein möchte, muss er/sie zuerst die Einladung des Unternehmens ohne SSO annehmen oder manuell von der SSO-Erzwingung des SSO-fähigen Unternehmens befreit werden.

Um den SSO-Zugriff auf Ihr Unternehmen zu aktivieren, führen Sie alle erforderlichen Schritte auf der Konfigurationsseite aus und klicken Sie oben rechts auf der Seite auf Änderungen speichern. Sobald die Änderungen gespeichert wurden, klicken Sie auf SSO aktivieren.  

Wenn Ihr SSO-Zugriff aktiviert wurde und Sie den SSO-Zugriff für Ihr Unternehmen deaktivieren möchten, klicken Sie oben rechts auf der Seite auf SSO deaktivieren. 

Wenn Sie SSO deaktivieren, können sich Nutzer*innen in Ihrem Unternehmen ohne SSO anmelden. Nach der Deaktivierung können sich die Nutzer*innen in Ihrem Unternehmen mit anderen Methoden anmelden, z. B. mit ihrer E-Mail-Adresse und Diensten von Drittanbietern. 

Für weitere Unterstützung wenden Sie sich bitte an den Contentful Kundensupport.

Die Deprovisionierung von Nutzer*innen auf der IdP-Seite verhindert sofort, dass sich diese bei Contentful anmelden. Diese Nutzer*innen werden jedoch weiterhin als Mitglied des Contentful Unternehmens aufgeführt und es fallen Nutzergebühren an, bis sie manuell vom Unternehmens-Admin entfernt werden.

HINWEIS: Wenn Ihr Unternehmen die SSO-Erzwingung nicht aktiviert hat, können sich Nutzer*innen mit ihren Anmeldeinformationen anmelden. 

Die Single-Sign-On-Funktion (SSO) steht allen Premium-Kund*innen kostenlos zur Verfügung. Um SSO für Ihr Unternehmen zu aktivieren, navigieren Sie zur SSO-Konfigurationsoption unter der Registerkarte „Zugriffstools“ in „Unternehmenseinstellungen und Abonnements“ und folgen Sie dem geführten Einrichtungsprozess. Diese Option ist für den Unternehmens-Admin zugänglich.

Aus Sicherheitsgründen sind Nutzer*innen, die über SSO auf Contentful zugreifen, auf Sitzungen mit begrenzter Dauer beschränkt. Die Standard-SSO-Sitzungszeit ist auf 12 Stunden festgelegt, aber der Admin in Ihrem Unternehmen kann diesen Zeitraum verlängern oder verkürzen, sofern Ihr Identitätsanbieter den Parameter sessionNotOnOrAfter unterstützt, je nach internen Anforderungen und Sicherheitsrichtlinien. Wenn Ihr Identitätsanbieter diese Funktion nicht anbietet, wenden Sie sich an unseren Kundensupport, um Unterstützung bei der Konfiguration einer benutzerdefinierten SSO-Sitzungsdauer zu erhalten.

Contentful SSO funktioniert mit allen Identitätsanbietern, die das SAML 2.0-Protokoll unterstützen, einschließlich Okta, Microsoft Azure AD, OneLogin, Ping Identity, Auth0 und G Suite.

Vordefinierte Integrationen

Suchen Sie nach vordefinierten SAML-2.0-Integrationen von Contentful in diesen IdPs:

• Microsoft Azure AD

• miniOrange

• Okta

• OneLogin

• Ping Identity

Wenn für Ihr Unternehmen die Option Single Sign-On (SSO) aktiviert ist, klicken Sie auf der Anmeldeseite unten auf den Link „Anmeldung über SSO“.

Geben Sie als Nächstes den SSO-Namen Ihres Unternehmens an. Wenn Sie sich nicht sicher sind, wie dieser lautet, wenden Sie sich an den Admin Ihres Unternehmens.

Melden Sie sich über Ihren Unternehmensidentitätsanbieter an. Wenn Sie bereits ein gültiges Contentful Konto hatten, werden Sie an dieser Stelle aufgefordert, Ihre E-Mail-Adresse zu bestätigen, indem Sie auf einen Link klicken. Dieser Schritt hilft Ihnen, Ihr bestehendes Contentful Konto mit dem Unternehmenskonto zu verknüpfen.

Nachdem Sie diese Schritte abgeschlossen haben, sollten Sie erfolgreich bei Contentful angemeldet sein. Wenn Sie sich von Contentful abmelden, werden Sie zu einer speziellen SSO-Abmelde-Seite weitergeleitet. Markieren Sie diese Seite mit einem Lesezeichen, um in Zukunft mit einem Klick auf Contentful zuzugreifen.