Active Directory an openDesk anbinden: Single Sign-on per SAML

Ausgangslage: zwei Welten, eine Identität

Die meisten Behörden und Unternehmen betreiben Active Directory als zentrale Benutzerverwaltung. Dort liegen Konten, Gruppen und Passwortrichtlinien, dort wird beim Eintritt angelegt und beim Austritt deaktiviert. Kommt openDesk als souveräner Arbeitsplatz hinzu, stellt sich sofort die Frage: Brauchen die Anwender jetzt ein zweites Konto mit zweitem Passwort?

Die Antwort ist nein – wenn die Anbindung richtig geplant wird. openDesk bringt mit Keycloak eine eigene Identitätskomponente mit, die nicht nur selbst Anmeldungen verwalten, sondern auch als Vermittler zu externen Anmeldediensten auftreten kann. Das ist der Ansatzpunkt für Single Sign-on, also die einmalige Anmeldung, die für alle angebundenen Dienste gilt.

Wie die Anbindung funktioniert

Technisch geschieht die Kopplung über SAML, einen etablierten Standard für föderierte Anmeldung. Dabei übernimmt auf Unternehmensseite typischerweise ADFS, der Federation-Dienst von Active Directory, die Rolle des Identity Providers – also der Stelle, die Identitäten bestätigt. Die openDesk-Identitätskomponente agiert als Service Provider beziehungsweise Vermittler: Sie nimmt die signierte Anmelde-Aussage von ADFS entgegen, prüft sie und meldet den Anwender in openDesk an.

Für die Anwender fühlt sich das so an: Sie öffnen openDesk, werden kurz zur vertrauten Anmeldemaske ihrer Organisation geleitet – oder sind durch die Windows-Anmeldung bereits authentifiziert – und landen direkt im Portal. Kein zweites Passwort, kein neuer Merkzettel.

Was Organisationen davon haben

Die Vorteile gehen deutlich über den Komfort hinaus:

• Keine Doppelpflege von Konten: Das Verzeichnis bleibt der eine Ort, an dem Benutzer verwaltet werden.
• Sicherheitsrichtlinien wirken weiter: Multi-Faktor-Authentifizierung, bedingter Zugriff und Passwortregeln aus dem Active Directory greifen auch für openDesk.
• Sofortiger Entzug: Wird ein AD-Konto deaktiviert, ist auch der openDesk-Zugang gesperrt – ohne separaten Pflegeschritt.
• Schnelleres Onboarding: Neue Mitarbeitende sind mit ihrem ersten Verzeichniskonto arbeitsfähig.
• Weniger Helpdesk-Last: Passwort-vergessen-Tickets für ein Zweitsystem entfallen schlicht.

Der Knackpunkt: ein Mensch, ein Konto

Hier liegt der eigentliche Knackpunkt jeder Anbindung. Es gibt zwei grundverschiedene Wege, Single Sign-on einzurichten. Der erste legt bei jeder ersten Anmeldung automatisch einen neuen Benutzer in openDesk an – die sogenannte Ad-hoc-Bereitstellung. Der zweite verknüpft die externe Anmeldung mit einem bereits vorhandenen Konto, das zuvor aus dem Verzeichnis bereitgestellt wurde.

Beide Wege funktionieren für sich. Wer sie aber vermischt – etwa weil die Benutzer bereits per Verzeichnis-Synchronisation angelegt wurden und das SSO trotzdem auf Ad-hoc-Bereitstellung steht – erzeugt Dubletten: zwei Konten pro Person, mit getrennten Postfächern, Kalendern und Dateiablagen. Das fällt oft erst auf, wenn die ersten Anwender ihre Daten vermissen.

Eine saubere Integration verknüpft die Anmeldung deshalb anhand eines stabilen Identitätsmerkmals eindeutig mit dem bestehenden Konto. Welches Merkmal sich dafür eignet und wie das Zusammenspiel mit der Bereitstellung konfiguriert wird, ist Erfahrungssache – und in unserer Projektpraxis einer der häufigsten Fehler, den wir in bestehenden Umgebungen korrigieren.

Flexibel bleiben: lokale Anmeldung und SSO nebeneinander

Single Sign-on muss kein Entweder-oder sein. Lokale Anmeldung und AD-Anmeldung können nebeneinander bestehen, ohne dass jeder Aufruf zwangsweise zum Federation-Dienst weitergeleitet wird. Das hat handfeste Vorteile: Administratoren behalten einen vom Verzeichnis unabhängigen Notfallzugang, externe Nutzer ohne AD-Konto lassen sich lokal führen, und in Migrationsphasen können Pilotgruppen schrittweise auf SSO umgestellt werden. Wie strikt die Weiterleitung greift, ist eine bewusste Designentscheidung – keine technische Zwangsläufigkeit.

Robustheit als Qualitätsmerkmal

Ob eine SSO-Anbindung im Alltag trägt, zeigt sich nicht am Tag der Einrichtung, sondern Monate später. Verschlüsselte SAML-Aussagen, das korrekte Handling von Signatur- und Verschlüsselungszertifikaten und die regelmäßige Schlüsselrotation gehören zu einem belastbaren Betrieb dazu. Läuft ein Zertifikat unbemerkt ab, steht die Anmeldung für alle still.

Eine gute Integration übersteht deshalb Updates und Zertifikatswechsel, weil die Konfiguration dokumentiert und versioniert vorliegt statt nur in einer Weboberfläche zusammengeklickt zu sein. Sicherheitsseitig gilt durchgehend: Das Verzeichnis bleibt führend, und openDesk vertraut ausschließlich signierten und validierten Anmelde-Aussagen.

Was Netpage dabei leistet

Wir begleiten Organisationen von der Konzeption bis zum laufenden Betrieb der Anbindung:

• Federations-Konzept: Wir klären, welche Identitäten woher kommen, wie Bereitstellung und Anmeldung zusammenspielen und welche Anmeldewege parallel bestehen sollen.
• Saubere Anbindung: Wir koppeln Active Directory und ADFS so an die openDesk-Identitätskomponente, dass jede Person genau ein Konto hat – Dubletten werden durch korrektes Identity-Linking von vornherein vermieden.
• Wartbarer Betrieb: Zertifikats- und Schlüsselmanagement, dokumentierte und versionierte Konfiguration sowie ein Vorgehen, das Updates und Rotationen unbeschadet übersteht.
• Bestandsaufnahme: Bereits eingerichtete Umgebungen mit Dubletten oder fragiler SSO-Konfiguration bringen wir geordnet auf ein tragfähiges Fundament.

Nächster Schritt

Wenn Sie openDesk einführen oder bereits betreiben und Ihre Anwender sich mit der gewohnten AD-Kennung anmelden sollen, lohnt ein kurzes Konzeptgespräch vor der ersten Konfiguration. Eine Stunde Planung zur Frage, wie Identitäten verknüpft werden, spart erfahrungsgemäß Wochen an Bereinigungsaufwand. Wir schauen gemeinsam auf Ihre Verzeichnisstruktur und skizzieren den passenden Weg zu einem sauberen Single Sign-on.