Single Sign-On konfigurieren (SAML & OIDC)

Mit CalendarBridge können Organisationsadministratoren Single Sign-On aktivieren, damit sich Ihre Benutzer bei CalendarBridge mit demselben Identitätsanbieter anmelden, den sie bereits für alles andere verwenden. Dieser Leitfaden behandelt beide unterstützten Protokolle, die genauen Service-Provider-Werte für Ihren Identitätsanbieter, Attributzuordnungen, Tests und die Fehlerbehebung.

C Chad Aktualisiert 16. Juni 2026 8 Min. Lesezeit

Single Sign-On auf einen Blick

Single Sign-On (SSO) ermöglicht es Ihrem Team, sich über den Identitätsanbieter (IdP) Ihrer Organisation bei CalendarBridge zu authentifizieren, anstatt ein separates CalendarBridge-Passwort zu verwenden. Wenn SSO erzwungen wird, wird jeder Benutzer Ihrer verifizierten Domain zur Anmeldung an Ihren IdP weitergeleitet, und der Zugriff kann zentral erteilt oder widerrufen werden.

Unterstützte Protokolle: SAML 2.0 (SP-initiiert) und OpenID Connect (OIDC) / OAuth 2.0 Authorization-Code-Flow.
CalendarBridge-Edition: SSO und SCIM sind in CalendarBridge Group-(Organisations-)Tarifen verfügbar. Sie werden im Portal „Organisation verwalten“ von einem Organisationsadministrator konfiguriert. Siehe Lizenztypen für Gruppenkonten und Lizenzierung weiter unten.
Architektur: CalendarBridge ist eine mandantenfähige SaaS-Anwendung. SSO wird pro verifizierter Domain konfiguriert, sodass jeder Kunde seine eigene Identitätsanbieter-Verbindung besitzt und kontrolliert. CalendarBridge ruft nur die IdP-Metadaten/das Zertifikat ab und vertraut nur diesen, die Sie für Ihre Domain bereitstellen.

Unterstützte Identitätsanbieter

CalendarBridge funktioniert mit jedem standardkonformen SAML-2.0- oder OIDC-Identitätsanbieter. Das Portal „Organisation verwalten“ enthält integrierte Schritt-für-Schritt-Einrichtungsanleitungen für die folgenden:

Identitätsanbieter	SAML 2.0	OpenID Connect	Anbieterdokumentation
Microsoft Entra ID (Azure AD)	Ja	Ja	SSO in Entra ID konfigurieren
Okta	Ja	Ja	Eine SAML/OIDC-App in Okta erstellen
Google Workspace	Ja	—	Eine benutzerdefinierte SAML-App einrichten
JumpCloud	Ja	—	SSO mit einer benutzerdefinierten SAML-App
Jeder andere SAML-2.0- / OIDC-IdP	Ja	Ja	Verwenden Sie die generischen Werte in diesem Artikel.

info

Microsoft Entra ID Galerieeintrag CalendarBridge unterstützt SP-initiiertes und IdP-initiiertes SAML 2.0 und validiert das Signaturzertifikat, das Gültigkeitsfenster, den Aussteller und das Publikum der SAML-Assertion. Für die empfohlene Entra-ID-Einrichtung richten Sie CalendarBridge auf die App Federation Metadata URL aus, damit die Zertifikatsrotation automatisch erfolgt.

Lizenzierung

SSO und SCIM-Provisionierung sind in CalendarBridge Group-(Organisations-)Abonnements enthalten. Es gibt keine separate Zusatzgebühr von CalendarBridge für die Aktivierung von SSO. Beachten Sie, dass einige Identitätsanbieter ihre Provisionierungs-/SCIM-Funktionen an bestimmte Editionen knüpfen – zum Beispiel erfordert die automatische Provisionierung von Google Workspace Enterprise Standard, Enterprise Plus oder Education Plus. Die automatische Benutzerprovisionierung von Microsoft Entra ID erfordert eine Microsoft Entra ID P1- oder P2-Lizenz in Ihrem Mandanten.

Wer SSO konfigurieren kann (rollenbasierter Zugriff)

Nur ein CalendarBridge-Organisationsadministrator kann SSO- und SCIM-Einstellungen anzeigen oder ändern. Normale Mitglieder sehen diese Steuerelemente nie. Um SSO zu verwalten, müssen Sie:

Administrator des Gruppenkontos sein (siehe Überblick über das Gruppen-Admin-Portal) und
mindestens eine verifizierte Domain im Konto haben. SSO ist an eine verifizierte Domain gebunden – siehe Autorisierte Domains verbinden.

lightbulb

Behalten Sie einen Notfall-Administrator Wenn Sie SSO erzwingen, stellen Sie sicher, dass mindestens ein Organisationsadministrator das Konto noch erreichen kann, falls der IdP nicht verfügbar ist. CalendarBridge-Administratoren behalten einen Umgehungspfad, sodass Sie während eines IdP-Ausfalls nie ausgesperrt werden.

Den Single-Sign-On-Tab öffnen

Öffnen Sie das Portal „Organisation verwalten“

Klicken Sie in Ihrem CalendarBridge-Dashboard auf Ihre Organisation verwalten oder gehen Sie direkt zu calendarbridge.com/dashboard/organization.
Wählen Sie den Single-Sign-On-Tab

Wählen Sie den Tab Single Sign-On. Wenn Sie SSO noch nicht konfiguriert haben, sehen Sie eine Schaltfläche SSO konfigurieren.
Klicken Sie auf „SSO konfigurieren“

Wählen Sie Ihr Protokoll (SAML oder OIDC), weisen Sie die verifizierte Domain zu, für die diese Konfiguration gilt, und wählen Sie Ihren Identitätsanbieter aus, um eine integrierte, anbieterspezifische Einrichtungsanleitung anzuzeigen.

SAML 2.0 konfigurieren

Die SAML-Einrichtung ist ein wechselseitiger Austausch: Sie geben die Service-Provider-(SP-)Werte von CalendarBridge an Ihren IdP, und Sie geben CalendarBridge im Gegenzug die Metadaten Ihres IdP.

Service-Provider-Werte, die Sie in Ihren IdP eingeben

Dies sind die Werte, die Sie in Ihren Identitätsanbieter einfügen, wenn Sie die CalendarBridge-Anwendung erstellen. Die genauen, kopierbereiten Werte für Ihr Konto werden im Single-Sign-On-Tab mit Kopieren-Schaltflächen angezeigt – kopieren Sie sie immer aus dem Portal, anstatt sie von Hand einzutippen.

Feld (Bezeichnung variiert je nach IdP)	Wert
Entity ID / Audience URI / SP Entity ID	`urn:amazon:cognito:sp:<your-pool-id>` – kopieren Sie den genauen Wert aus dem SSO-Tab.
ACS URL / Reply URL / Single sign-on URL	`https://<your-CalendarBridge-auth-domain>/saml2/idpresponse` – kopieren Sie den genauen Wert aus dem SSO-Tab.
Name ID format	`EmailAddress` (persistente E-Mail)
Binding	HTTP-POST für die Assertion; HTTP-Redirect für die Anfrage.

Erforderliche Attributzuordnungen

Ordnen Sie diese Claims in Ihrem IdP zu. Geben Sie den Namen des App-Attributs genau wie angezeigt ein – diese sind ebenfalls mit Kopierschaltflächen im Portal aufgeführt.

App-Attribut (genau eingeben)	Wird zugeordnet aus (in Ihrem IdP)
`email`	Primäre E-Mail / Email / `user.mail`
`name`	Vorname / given name / `user.givenname`

Microsoft Entra ID (Azure AD) – SAML

Erstellen Sie die Anwendung

Gehen Sie im Microsoft Entra Admin Center zu Enterprise applications → New application → Create your own application → „Integrate any other application you don't find in the gallery.“
Öffnen Sie Single sign-on → SAML
Geben Sie in der Basic SAML Configuration ein:
- Identifier (Entity ID): die Entity ID aus dem CalendarBridge-SSO-Tab.
- Reply URL (ACS): die ACS-URL aus dem CalendarBridge-SSO-Tab.
Konfigurieren Sie Attribute & Claims

Fügen Sie die Claims email und name aus den oben genannten Attributzuordnungen hinzu und setzen Sie die Name ID auf die E-Mail des Benutzers.
Kopieren Sie die App Federation Metadata URL

Kopieren Sie unter SAML Signing Certificate die App Federation Metadata URL (sie endet auf /federationmetadata/2007-06/federationmetadata.xml). Die Verwendung der URL – anstatt eine statische XML-Datei hochzuladen – ermöglicht es CalendarBridge, Zertifikatsrotationen automatisch zu erkennen.
Weisen Sie Benutzer zu und schließen Sie dann in CalendarBridge ab

Weisen Sie die Benutzer oder Gruppen zu, die Zugriff haben sollen, kehren Sie dann zum CalendarBridge-SSO-Tab zurück, fügen Sie die Metadaten-URL ein und speichern Sie.

Okta, Google Workspace, JumpCloud & andere – SAML

Der Ablauf ist für jeden IdP gleich: Erstellen Sie eine benutzerdefinierte SAML-App, fügen Sie die Service-Provider-Werte ein, fügen Sie die Attributzuordnungen hinzu und geben Sie CalendarBridge dann die IdP-Metadaten. Das Portal zeigt die genauen Menüpfade für Okta, Google Workspace und JumpCloud, wenn Sie diesen Anbieter auswählen. Sie können die IdP-Metadaten im CalendarBridge-SSO-Tab auf zwei Arten bereitstellen:

Metadaten-URL (empfohlen) – fügen Sie die Federation-Metadaten-URL des IdP ein; CalendarBridge ruft sie erneut ab, sodass Zertifikatsrotationen automatisch erkannt werden.
Metadaten-XML – laden Sie die IdP-Metadaten-.xml-Datei hoch, falls Ihr Anbieter keine URL veröffentlicht.

OpenID Connect (OIDC) konfigurieren

Für IdPs, die Sie lieber über OIDC/OAuth 2.0 verbinden möchten, verwendet CalendarBridge den Authorization-Code-Flow. Sie erstellen eine Webanwendung in Ihrem IdP und geben CalendarBridge drei Werte.

Redirect URI, die Sie in Ihren IdP eingeben

Feld	Wert
Redirect URI / Sign-in redirect URI (Plattform: Web)	`https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse` – kopieren Sie den genauen Wert aus dem SSO-Tab.

Werte, die Sie in CalendarBridge eingeben

CalendarBridge-Feld	Wo Sie es in Ihrem IdP finden
Discovery URL	Das OpenID-Konfigurationsdokument Ihres IdP, z. B. `https://<your-idp>/.well-known/openid-configuration`.
Client ID	Aus der von Ihnen erstellten App-Registrierung.
Client Secret	Ein Secret, das Sie in der App-Registrierung generieren.

Angeforderte Berechtigungen (Scopes) und warum

CalendarBridge fordert nur die minimalen, standardmäßigen OIDC-Scopes an, die zur Identifizierung des sich anmeldenden Benutzers erforderlich sind. Es fordert keinen Zugriff auf E-Mail-, Datei- oder Kalenderdaten über die SSO-Verbindung an.

Scope	Warum er angefordert wird (geschäftliche Begründung)
`openid`	Erforderlich, um die OpenID-Connect-Authentifizierung durchzuführen und ein ID-Token zu erhalten.
`email`	Wird als eindeutige Kennung des Benutzers verwendet, um ihn Ihrer CalendarBridge-Organisation und verifizierten Domain zuzuordnen.
`profile`	Liest das Basisprofil (Vorname), um den Anzeigenamen des Benutzers bei der ersten Anmeldung auszufüllen.

info

Zustimmung nach dem Prinzip der minimalen Rechte Dies sind delegierte, reine Anmelde-Scopes. Ein Administrator (oder der Benutzer, gemäß der Zustimmungsrichtlinie Ihres Mandanten) erteilt die Zustimmung einmal bei der ersten Anmeldung. CalendarBridge fordert im Rahmen von SSO keine Anwendungsberechtigungen und keine Microsoft-Graph-E-Mail-/Kalenderberechtigungen an.

Microsoft Entra ID – OIDC

Registrieren Sie die Anwendung

Gehen Sie im Microsoft Entra Admin Center zu App registrations → New registration.
Fügen Sie die Redirect URI hinzu

Fügen Sie eine Redirect URI der Plattform Web hinzu, die auf die im SSO-Tab angezeigte CalendarBridge-OIDC-Redirect-URI gesetzt ist.
Erstellen Sie ein Client Secret

Erstellen Sie unter Certificates & secrets → New client secret ein Secret und kopieren Sie dessen Wert sofort.
Kopieren Sie die Discovery-(Metadaten-)URL

Kopieren Sie unter Overview → Endpoints die URL des OpenID Connect metadata document. Fügen Sie die Discovery-URL, die Client ID und das Client Secret in den CalendarBridge-SSO-Tab ein und speichern Sie.

SSO für Ihre Domain erzwingen

Standardmäßig macht das Aktivieren von SSO es für Benutzer der Domain verfügbar. Aktivieren Sie SSO erzwingen im Einrichtungsformular, um es zu erfordern: Jeder Benutzer dieser verifizierten Domain muss sich dann über Ihren IdP anmelden, und die direkte Passwort-Anmeldung wird für ihn deaktiviert.

warning

Testen Sie, bevor Sie erzwingen Bestätigen Sie, dass sich ein Pilotbenutzer per SSO anmelden kann (nächster Abschnitt), bevor Sie die Erzwingung aktivieren, damit Sie keine Benutzer aufgrund eines Metadaten- oder Attributzuordnungsfehlers aussperren. CalendarBridge-Administratoren behalten einen Umgehungspfad für den Notfallzugriff.

Testen mit Pilotbenutzern

Bestätigen Sie, dass die Konfiguration aktiv ist

Nach dem Speichern zeigt die Konfigurationskarte ein Statusabzeichen. Warten Sie, bis es Active anzeigt. Ein Pending-Abzeichen bedeutet, dass CalendarBridge die IdP-Metadaten noch nicht validiert hat; ein Error-Abzeichen zeigt den Grund inline an.
Weisen Sie einen Pilotbenutzer in Ihrem IdP zu

Weisen Sie der CalendarBridge-App in Ihrem IdP einen oder zwei Testbenutzer zu, lassen Sie die Erzwingung aber vorerst aus.
Melden Sie sich per SSO an

Lassen Sie den Pilotbenutzer sich mit der E-Mail/Domain Ihrer Organisation bei CalendarBridge anmelden. Er sollte zu Ihrem IdP weitergeleitet und angemeldet zu CalendarBridge zurückgeführt werden. Bestätigen Sie, dass Name und E-Mail korrekt ausgefüllt wurden.
Rollout

Sobald der Pilot erfolgreich ist, weisen Sie den Rest Ihrer Benutzer zu und aktivieren Sie bei Bedarf SSO erzwingen.

Fehlerbehebung

Wenn die Konfigurationskarte einen Error-Status anzeigt, erklärt die auf der Karte angezeigte Meldung den spezifischen Fehler. Häufige Fälle:

Symptom / Meldung	Wahrscheinliche Ursache & Lösung
Status bleibt bei Pending hängen oder „could not fetch metadata“	Die Metadaten-URL ist nicht erreichbar oder hat Nicht-XML zurückgegeben. Überprüfen Sie, ob die URL im Browser lädt, oder wechseln Sie zum Hochladen der Metadaten-XML-Datei.
Fehler „Invalid signature“ / „certificate“	Das Signaturzertifikat des IdP wurde rotiert und die gespeicherten Metadaten sind veraltet. Speichern Sie erneut mit der IdP-Metadaten-URL (empfohlen), damit Rotationen automatisch erkannt werden, oder laden Sie die aktuelle XML erneut hoch.
Nichtübereinstimmung bei „Audience“ / „Issuer“	Die Entity ID / Audience URI in Ihrem IdP stimmt nicht genau mit dem Wert aus dem SSO-Tab überein. Kopieren Sie ihn erneut aus dem Portal.
Benutzer meldet sich an, aber Name/E-Mail ist leer oder wird abgelehnt	Die Attributzuordnungen für `email` und `name` fehlen oder sind falsch benannt. Überprüfen Sie die erforderlichen Attributzuordnungen erneut – Namen unterscheiden Groß-/Kleinschreibung.
„AADSTS50105“ / Benutzer nicht zugewiesen (Entra ID)	Der Benutzer ist der CalendarBridge-Enterprise-App in Entra ID nicht zugewiesen. Weisen Sie den Benutzer oder seine Gruppe zu.
Nichtübereinstimmung bei Redirect/Reply URL	Die ACS-URL (SAML) oder Redirect URI (OIDC) in Ihrem IdP stimmt nicht mit dem Wert im SSO-Tab überein. Kopieren Sie den genauen Wert erneut.

Hilfe erhalten

Wenn Sie nach dem Überprüfen der Fehlermeldung auf der Konfigurationskarte und der obigen Fehlerbehebungstabelle nicht weiterkommen, wenden Sie sich an den CalendarBridge-Support. Geben Sie die Domain Ihrer Organisation, das Protokoll (SAML/OIDC), Ihren Identitätsanbieter und die genaue auf der Karte angezeigte Statusmeldung an.

CalendarBridge-Support kontaktieren
SCIM-Verzeichnissynchronisierung konfigurieren (Provisionierung) – automatisieren Sie die Erstellung und Deaktivierung von Benutzern, sobald SSO aktiv ist.