Phönix

Global / Unbestimmt - Issue Portal

Back to List

Jump to Comments

Feature: Einladen von SSO Benutzern

ID: 333

Type: 🧩 Feature

Status: ✔ Closed

Requester: Christian Angermeier

Assigned To: Unassigned

Created: 05.02.2026 12:30

Updated: 05.02.2026 17:35

Solution Available

Attachments

Drag & drop files here or click to select

Support for multiple files • Maximum 25 MB per file

No attachments yet.

Comments

No comments yet.

Add Comment

Zusammenfassung der Änderung (für Anwender/Admins)

Admins können künftig Benutzer:innen direkt aus dem zentralen Microsoft Entra ID (Azure AD) der Mitarbeitenden in der Anwendung suchen, auswählen und einladen. Dabei werden die im Azure AD vorhandenen Informationen genutzt (z. B. Benutzername/UPN, Name, E-Mail), sodass diese nicht mehr manuell in der Anwendung nacherfasst werden müssen.

Was ändert sich konkret?

Suche & Auswahl in Entra ID (Azure AD):
Im Admin-Bereich gibt es eine Funktion, um Mitarbeitenden-Accounts im zentralen Entra ID per Textsuche zu finden und auszuwählen (z. B. nach UPN/Benutzername, optional Name/E-Mail).
Automatische Tenant-Zuordnung über die UPN-Domain:
Beim Einladen wird der passende Tenant automatisch ermittelt – basierend auf der Domain im UPN (z. B. vorname.nachname@firma.de).
Wenn keine passende Domain zu einem Tenant hinterlegt ist, wird die Einladung nicht durchgeführt (damit der User nicht “falsch” zugeordnet wird).
Einladung per E-Mail:
Nach erfolgreicher Auswahl wird der User in der Anwendung als „eingeladen“ registriert und erhält eine Einladungs-E-Mail mit dem Link zur SSO-Anmeldung. Dafür wird ein neues HTML-Mail-Template verwendet.
Kein doppelter Benutzer beim ersten Login:
Wenn ein eingeladener User sich das erste Mal per SSO anmeldet, wird er zuverlässig dem bereits eingeladenen Benutzerkonto zugeordnet (Matching über den UPN).
Dadurch entstehen keine doppelten Accounts durch das automatische Anlegen (Auto‑Provisioning).
Spezialfall: User existiert lokal bereits mit gleichem UPN:
Ist der User bereits in der Anwendung vorhanden, wird nur verknüpft – es wird keine neue Einladung verschickt.

Wichtiger Hinweis zur Entra/Graph-Anbindung

Für Suche und E-Mail-Versand wird nicht eine tenant-spezifische Graph-Konfiguration (z. B. aus Studierenden-/Dozierenden-Setups) verwendet, sondern ausschließlich die zentralen Graph-API Zugangsdaten aus der Umgebungskonfiguration (env). Das stellt sicher, dass wirklich die Mitarbeitenden-Verzeichnisstruktur genutzt wird.

Nutzen / Mehrwert

Weniger manuelle Eingaben: Name/UPN/E-Mail müssen nicht doppelt gepflegt werden.
Schnelleres, konsistenteres Onboarding: Einladen direkt aus dem Verzeichnis, inkl. automatischer Zuordnung zum richtigen Tenant.
Weniger Supportfälle: Keine doppelten Benutzerkonten beim ersten Login durch sauberes Matching.