Mit SSO verbindest du anny mit dem Identitätssystem deiner Organisation, damit sich Nutzer:innen mit ihrem bestehenden Unternehmens-Login anmelden können. Das vereinfacht die Anmeldung, reduziert manuelle Nutzerverwaltung und schafft eine gemeinsame Basis für weitere Funktionen wie Attribute Mapping. Der Artikel richtet sich an Admins und IT-Verantwortliche, die entscheiden möchten, welche SSO-Bausteine sie in anny brauchen und wie diese zusammenhängen.
Für wen ist diese Funktion geeignet?
SSO in anny ist besonders für Organisationen geeignet, die Zugänge zentral steuern und interne Buchungsbereiche sauber mit bestehenden Nutzerkonten verbinden möchten.
Wo findest du die Funktion in anny?
Du findest die SSO-bezogenen Einstellungen in deinen Account-Einstellungen im Bereich SSO & Sicherheit.
Öffne die Account-Einstellungen deines anny Accounts.
Wechsle in den Bereich SSO & Sicherheit.
Dort findest du die Konfiguration für SSO sowie angrenzende Bereiche wie SCIM und Attribute Mapping.
Im selben Kontext kannst du auch Mapping-Regeln anlegen.
Wichtig: Für Attribute Mapping muss SSO bereits aktiv eingerichtet sein. Ohne aktive SSO-Verbindung stehen die benötigten Attribute in der Regel nicht zuverlässig zur Verfügung.
So funktioniert die Logik
SSO steuert in anny die Authentifizierung. Nutzer:innen melden sich also mit einem externen Identity Provider wie Microsoft 365, Google Workspace oder einem anderen SAML-2-System an.
SCIM ist davon getrennt. SCIM kümmert sich um die automatische Bereitstellung und Synchronisierung von Nutzerkonten im Hintergrund und ist nicht dasselbe wie der eigentliche Login.
Attribute Mapping nutzt die vom Identity Provider übergebenen Attribute oder Gruppen, um Nutzer:innen in anny gezielt Communities zuzuordnen.
Überblick: Die beteiligten Elemente
Element | Beschreibung |
Identity Provider (IdP) | Das externe System, das die Identitäten deiner Nutzer:innen zentral verwaltet (z. B. Microsoft Entra ID, Google Workspace, Okta). |
SAML 2.0 | Das Standardprotokoll, das anny nutzt, um den sicheren Login (Single Sign-On) zwischen deinem IdP und anny durchzuführen. |
OAuth2 | Ein alternatives Protokoll für den sicheren Login und die Autorisierung. Hinweis: Die Einrichtung von OAuth2 kann derzeit ausschließlich durch den anny Support für dich übernommen werden. |
SCIM (User Provisioning) | Ein separater Hintergrundprozess (Backchannel), der Nutzer:innen automatisch in anny anlegt, aktualisiert oder deaktiviert, ohne dass sie sich einloggen müssen. |
Attribute Mapping | Die Übersetzungsregel, die festlegt, welche Daten vom IdP (z. B. Name, Abteilung) in welche Felder in anny geschrieben werden. |
Einrichtung der SSO-Protokolle in anny
Die SSO-Einrichtung (SAML 2.0)
Generisches SAML 2.0 einrichten (Okta, Auth0 etc.)
Federiertes SAML 2.0 in anny nutzen
SCIM einrichten (u.a. auch in Microsoft Entra)
Attribut Mapping
Durch das Attribute Mapping kannst du Benutzer-Eigenschaften aus deinem IDP (Usermanagement) zu anny Communities zuweisen. So können Mitglieder automatisch (Auto-Join) in die jeweiligen internen Buchungsbereiche (Communities) zugeordnet werden.
Mehr dazu findest du hier.
Troubleshooting SSO
404: Seite nicht gefunden
404: Seite nicht gefunden
Überprüfe bei diesem Fehler, ob der Identity Provider aktiviert wurde. Aktiviere den Identity Provider über die drei Punkte > Aktivieren.
Microsoft Azure: AADSTS50105
Microsoft Azure: AADSTS50105
Dieser Fehler tritt auf, wenn Benutzer in Microsoft explizit zu der Anwendung hinzugefügt werden müssen und noch nicht hinzugefügt worden sind. Es gibt zwei Möglichkeiten, um dieses Problem zu beheben:
1. Zuweisung von Benutzern nicht erfordern
Gehe dazu auf die Anwendung in Microsoft Azure und dann zu Eigenschaft. Setze die Option "Zuweisung erforderlich" auf "Nein".
2. Benutzer der Anwendung zuweisen
Du kannst die Benutzer zur Anwendung hinzufügen, welche sich darüber einloggen dürfen. Gehe dazu in Microsoft Azure auf deine Anwendung und dann auf Benutzer und Gruppen. Füge hier die Benutzer hinzu, die Zugriff erhalten sollen.
Signatur fehlt
Signatur fehlt
Dieser Fehler bedeutet, dass der SAMLResponse, welche als Antwort vom Identity Provider zu anny gesendet wird, nicht signiert ist. Wir erfordern stets eine signierte SAMLResponse. Stelle sicher, dass die Signatur in deinem IDP hinzugefügt wird.
Microsoft
Um die Signatur bei Microsoft Azure zu aktivieren, gehe zur Anwendung > Einmaliges Anmelden > SAML-Zertifikate > Bearbeiten. Stelle sicher, dass bei Signaturoption die Option "SAML-Antwort und-Assertion signieren" ausgewählt ist.
E-Mail-Adresse fehlt
E-Mail-Adresse fehlt
Beim Anmelden als M365-Administrator über den Wayfless-Link oder durch Klicken auf den Button Test Connection ist es wichtig zu beachten, mit welchem Benutzer du derzeit in M365 angemeldet bist. Ein Administrator-Benutzer ohne Lizenz für Exchange/Outlook und ohne eigene E-Mail-Adresse kann sich nicht bei Anny anmelden. Wechsle zunächst zu deinem regulären M365-Konto und führe den Anmeldevorgang erneut durch.
Netzwerkfehler durch unvollständiges Attribut-Mapping
Netzwerkfehler durch unvollständiges Attribut-Mapping
Grundsätzlich ist für die SSO-Anmeldung kein Attribut-Mapping erforderlich. Es kann jedoch später für die automatische Zuordnung zu Buchungsbereichen/Rollen verwendet werden. Mapping-Regeln ohne Inhalt oder Zuordnung können bei der Anmeldung zum Fehlern führen, da anny versucht, die Regeln während des Anmeldevorgangs anzuwenden.
Entferne die angelegten Regeln und teste die Anmeldung erneut.
User wird nicht nach Gruppen gemapped
User wird nicht nach Gruppen gemapped
Wenn einzelne User nicht korrekt über das Attribut-Mapping zugeordnet werden, kann es bei Microsoft 365 daran liegen, dass diese zu vielen Gruppen zugeordnet sind und wir somit die Gruppen auslesen können. Eine Lösung dafür findest du hier.