Technische Möglichkeiten SSO

tchop bietet flexible und sichere Möglichkeiten, Die Authentifizierung von Nutzern und die Zugriffskontrolle zu verwalten. Wir empfehlen nachdrücklich, wo immer möglich Single Sign-On (SSO) einzusetzen, da dies eine zentrale Steuerung von Nutzeridentitäten, Rollen und Berechtigungen ermöglicht. So entsteht ein nahtloses Nutzungserlebnis und für Ihre Zielgruppe ergibt sich eine hochwertigere User Experience.

Abhängig vom Einsatzszenario – ob als interne Kommunikations-App für Mitarbeitende oder als externe Community- oder Membership-Lösung – unterstützen wir alle modernen Standards für SSO und Benutzerverwaltung.

Optionen für Authentifizierung und Synchronisation

1. Standard-Web-Authentifizierung (OAuth2)

Für einfache und sichere Web-Authentifizierung unterstützt tchop OAuth2, den am weitesten verbreiteten Standard für App- und Web-Integrationen. OAuth2 ermöglicht eine unkomplizierte Anbindung an bestehende Identity Provider und stellt Kompatibilität über Plattformen hinweg sicher.

Allerdings hat OAuth2 auch Nachteile: Es erlaubt zwar die Delegation von Zugriffsrechten, definiert jedoch keine Rollen, Gruppen oder Berechtigungen. Diese müssen in Ihrem eigenen Backend oder Identity-System abgebildet – oder direkt in unserer Plattform gepflegt – werden.

OAuth2 ist eine solide Grundlage, für wirklich sichere Authentifizierung empfehlen wir jedoch fast immer OpenID Connect (OIDC).

2. Enterprise SSO (OpenID Connect & SAML 2.0)

Für Unternehmen mit erweiterten Sicherheitsanforderungen bieten wir SSO-Integrationen via OpenID Connect oder SAML 2.0.

• OpenID Connect (OIDC) eignet sich ideal, wenn Sie bereits moderne Identity-Plattformen wie Azure AD, Okta oder Google Workspace nutzen.

• SAML 2.0 gewährleistet breite Kompatibilität mit traditionellen Enterprise-Identity-Providern.

Diese Standards ermöglichen es, Authentifizierung, Rollen und gruppenbasierte Zugriffe direkt im eigenen Identity-Management-System zu verwalten. Wir bieten Integrationen für alle gängigen Anbieter am Markt, wodurch die Einrichtung in der Regel unkompliziert ist.

Unsere Empfehlung: OpenID Connect, da es der modernere und sicherere Standard ist.

3. API-basierte Benutzersynchronisation

Wenn Sie eine direkte Backend-Integration bevorzugen, ermöglicht unsere API eine programmatische Synchronisation von Nutzern. Diese Option ist sinnvoll, wenn Benutzerdaten in einem externen System, CRM oder einer Datenbank verwaltet werden und Sie die Erstellung, Aktualisierung oder Löschung von Accounts in tchop automatisieren möchten.

Im Gegensatz zu SSO melden sich Nutzer dabei weiterhin über die tchop-Authentifizierungsschicht an – nicht über Ihr eigenes System.

4. Webhook-basierte Synchronisation

Für leichtere Anwendungsfälle bieten wir die Möglichkeit, Benutzerdaten via Webhooks zu synchronisieren. Ändern sich Daten in Ihrem System, kann ein Webhook automatische Updates in tchop auslösen. Dies ist der flexibelste und zugleich aufwandsärmste Weg, um Informationen konsistent zu halten.

Auch hier melden sich Nutzer über die tchop-Authentifizierungsschicht an, nicht über Ihr eigenes System.

Vorteile: Es is kein komplexer API-Client notwendig, es funktioniert mit nahezu jedem System, das ausgehende Webhooks unterstützt. Nachteile: Updates erfolgen nicht garantiert in Echtzeit, je nach Setup kann es zu Verzögerungen kommen.

Daher ist dies gut geeignet für Basis-Szenarien (Create/Update/Delete), aber nicht für komplexe Workflows oder große Datenmengen.

Mischmodelle: Web-SSO + Mobile Login

In manchen Enterprise-Szenarien setzen Kunden auf einen hybriden Ansatz zur Authentifizierung:

• SSO für die Web-App: Nutzer authentifizieren sich über den Unternehmens-Identity-Provider (OIDC oder SAML 2.0), wenn sie die Webplattform innerhalb des Firmennetzwerks nutzen (ggf. mit zusätzlichem Zugriffsschutz via IP-Whitelisting). Dies gewährleistet zentrale Kontrolle und die Einhaltung interner Sicherheitsrichtlinien.

• Native Login für Mobile Apps: Aus Sicherheitsgründen schränken manche Organisationen den SSO-Zugang auf nicht verwalteten oder privaten Mobilgeräten ein. In solchen Fällen melden sich Nutzer in den mobilen Apps über Standard-tchop-Logins an, während das Webportal strikt an SSO gebunden bleibt.

Dieses hybride Modell bietet das Beste aus beiden Welten:

• Volle Enterprise-Compliance dort, wo sie erforderlich ist (Webzugang).

• Maximale Flexibilität und Nutzbarkeit für mobile Anwender, auch auf privaten Geräten.

Wir unterstützen diese gemischten Authentifizierungsmodelle und passen sie an Ihre spezifischen Compliance- und IT-Sicherheitsanforderungen an.

Empfohlene Einrichtung

Für die meisten Kunden empfehlen wir die Nutzung von SSO via OIDC oder SAML 2.0, um:

• Identitäten und Rollen zentral zu verwalten

• Starke Authentifizierungsrichtlinien durchzusetzen (z. B. MFA)

• Risiken im Zusammenhang mit Passwörtern zu reduzieren

• Die Einhaltung interner IT-Sicherheitsstandards sicherzustellen

💡 Tipp: Unser Team unterstützt Sie gerne bei der Auswahl der passenden Methode und begleitet Sie bei der Implementierung.