81% der Datenpannen entstehen durch schwache oder gestohlene Passwörter. Jeder Mitarbeiter hat durchschnittlich 20 verschiedene Logins - und nutzt 3× das gleiche Passwort (weil unmöglich zu merken). Das Ergebnis? Sicherheitsrisiko und schlechte User Experience.
Single Sign-On (SSO) löst beide Probleme gleichzeitig: EIN Login für alle Systeme (HubSpot, Slack, Plotdesk, etc.), zentrale Zugriffskontrolle, Multi-Faktor-Authentifizierung (MFA) erzwungen. Das Ergebnis? 99,9% weniger Account-Hacks und 50% weniger Support-Tickets ("Passwort vergessen").
Dieser technische Guide zeigt Microsoft EntraID-Integration (ehemals Azure AD) Schritt für Schritt, vergleicht SAML 2.0 vs. OAuth 2.0, und gibt Best Practices für Conditional Access, Offboarding und Security-Monitoring.
SSO in Zahlen: 81% Datenpannen durch schwache Passwörter (Verizon). SSO reduziert Support-Tickets um 50% ("Passwort vergessen" → weg). MFA verhindert 99,9% der Account-Hacks (Microsoft). Setup: Microsoft EntraID (30 Min). Best Practice: MFA erzwingen, Conditional Access nutzen, regelmäßige Access Reviews.
Was ist SSO und warum ist es wichtig?
Das Problem ohne SSO:
Ein Mitarbeiter hat Zugänge zu:
- E-Mail (Outlook)
- CRM (HubSpot)
- PM-Tool (Jira)
- KI-Plattform (Plotdesk)
- Dateien (SharePoint)
- Chat (Slack)
- ERP (Dynamics)
- ... (20+ Tools)
Das bedeutet:
- 20 verschiedene Passwörter merken (unmöglich!)
- Realität: 3× das gleiche Passwort → Sicherheitsrisiko
- Oder: Passwörter aufschreiben → noch größeres Risiko
- Passwort vergessen → IT-Support-Ticket → Produktivitätsverlust
Die SSO-Lösung:
Ein Login für alles:
- Morgens: Einmal bei Microsoft EntraID anmelden
- Dann: Alle Apps automatisch eingeloggt
- Kein weiteres Passwort merken
Zentrale Kontrolle:
- IT kann Zugriffe zentral verwalten
- Mitarbeiter geht → Ein Klick deaktiviert ALLE Zugänge
- MFA zentral erzwingen
Bessere Security:
- Starkes Passwort nur 1× merken
- MFA schützt alle Apps
- Conditional Access (z.B. "nur aus Firmennetzwerk")
Microsoft EntraID Integration (Step-by-Step)
Schritt 1: App-Registrierung in EntraID
- Gehe zu portal.azure.com
- "Microsoft Entra ID" (früher "Azure AD")
- "App registrations" → "New registration"
- Name: "Plotdesk SSO"
- Redirect URI: https://ki.firma.de/auth/callback
- Register
Schritt 2: Credentials konfigurieren
- "Certificates & secrets"
- "New client secret"
- Beschreibung: "Plotdesk Production"
- Expires: 24 Monate
- Kopiere Secret (nur einmal sichtbar!)
Schritt 3: API-Berechtigungen
- "API permissions"
- "Add permission" → Microsoft Graph
- Wähle: User.Read, email, profile
- "Grant admin consent"
Schritt 4: Plotdesk konfigurieren
In Plotdesk Admin:
- "Settings" → "Authentication"
- "Enable SSO"
- Provider: Microsoft EntraID
- Client ID: [aus Azure]
- Client Secret: [aus Azure]
- Tenant ID: [aus Azure]
- Save & Test
Gesamt: 30 Minuten
Best Practices:
1. MFA erzwingen Multi-Faktor-Authentifizierung verhindert 99,9% der Hacks
2. Conditional Access nutzen "Zugriff nur aus Firmennetzwerk oder mit MFA"
3. Regelmäßige Access Reviews Quartalsweise: Wer hat noch Zugriff? Wer sollte entfernt werden?
4. Schnelles Offboarding Mitarbeiter geht → EntraID deaktivieren → ALLE App-Zugänge weg
ROI:
- 50% weniger Support-Tickets (30.000€/Jahr)
- 99,9% weniger Hacks (unbezahlbar)
- Setup: 30 Min
SSO-Setup Support
30-Min-Call: Wir helfen beim EntraID-Setup oder zeigen alternative SSO-Provider (Okta, Google).
