Worum geht’s?
Aktivierst du die SSO-Pflicht, können sich Mitarbeiter nur noch über euren IdP (z. B. Entra/Azure AD) anmelden. Der Login per E-Mail + Passwort ist deaktiviert.
Was ändert sich konkret?
softgarden-Login: Nur noch über SSO möglich.
„Passwort vergessen“ funktioniert nicht mehr.
Bestehende lokale Passwörter sind wirkungslos.
Benutzeranlage: Neue User müssen über euer AD/IdP zugewiesen werden.
Einladungen über die softgarden-Benutzerverwaltung sind nutzlos, da sie ein lokales Zweitkonto erzeugen würden, das nicht einloggen darf.
Mandant & Rolle: Am besten per SSO-Claim mitgeben.
Sonst landet der User im Hauptmandanten mit der kleinstmöglichen Rolle (in der Regel Reviewer).
Kandidatenseite: Nicht betroffen. Bewerber nutzen weiterhin ihr softgarden-Konto (kein SSO).
Verfügbarkeit: Fällt euer IdP aus, kommt niemand in softgarden.
FAQ
Q: Kann ich einzelne lokale Ausnahmen nutzen? A: Nein. Wenn du zwingend lokale Konten brauchst, solltest du die SSO-Pflicht nicht aktivieren.
Q: Was passiert mit bereits eingeladenen lokalen Usern? A: Sie können sich nicht mehr per Passwort anmelden. Weise sie im IdP der softgarden-App zu. Vorher lokal erstellte User können mit dem neuen SSO-User gemappt werden – es gehen keine Daten verloren.
Q: Best Practice beim Rollout? A: Vorher Gruppen/Claims testen, eine Pilotgruppe zuweisen und intern kommunizieren („ab Datum X nur noch SSO“).