🌐 Web | 👤 Organisations-Admin
In Yokoy kannst Du eine oder mehrere Authentifizierungsmethoden für die User-Anmeldung einrichten. Yokoy bietet derzeit zwei Authentifizierungsmethoden an:
Login mit Passwort: User können sich bei Yokoy mit einem Benutzernamen (E-Mail-Adresse) und Passwort anmelden.
Single Sign-On (SSO): User können sich bei Yokoy mit ihrem Login beim Identitätsanbieter (IdP) anmelden, wie zum Beispiel Microsoft Entra ID, Okta oder Google Workspace.
Du kannst festlegen, welche Authentifizierungsmethoden in Deiner Organisation verwendet werden, d. h. User-Passwort-Authentifizierung und/oder SSO-Authentifizierung. Standardmäßig wird jede Organisation zunächst mit der User-Passwort-Authentifizierung eingerichtet. Diese kann jedoch deaktiviert werden, wenn Du SSO einrichtest. Du kannst mehrere SSO-Authentifizierungsoptionen einrichten.
Die eingerichteten Authentifizierungsmethoden gelten für alle Domains, die für die Organisation konfiguriert sind, und sind nicht auf ein bestimmtes Unternehmen beschränkt. Derzeit kannst Du keine spezifische Authentifizierungsmethode einer bestimmten Domain zuweisen (d. h. Du kannst User der Domain company-a.de nicht zwingen, SSO zu verwenden, während User der Domain company-a.es die User-Passwort-Authentifizierung verwenden müssen).
Authentifizierung per E-Mail Adresse und Passwort
Standardmäßig ist die Passwort-Authentifizierung für die Organisation eingerichtet. Sie ermöglicht es den Usern, sich mit ihrer E-Mail-Adresse und ihrem Passwort bei Yokoy anzumelden.
Yokoy verwendet die Google Identity Platform als Identitätsserver.
Wenn ein neuer User erstellt wird, wird ein Token an die E-Mail-Adresse des Users gesendet, mit dem er das initiale Passwort festlegen kann.
✏️ Hinweis
Wenn Dein Unternehmen plant, sich mit E-Mail und Passwort bei Yokoy anzumelden, beachte, dass die Zwei-Faktor-Authentifizierung (2FA) nicht unterstützt wird. Wenn Du die Zwei-Faktor-Authentifizierung bei der Anmeldung der User erzwingen möchtest, wird empfohlen, die SSO-Authentifizierung über einen externen Identitätsanbieter zu verwenden.
In diesem Fall ist der externe Identitätsanbieter dafür verantwortlich,
eine SMS oder Push-Benachrichtigung zu senden oder einen OTP (One-Time Password) in einer 2FA-App anzufordern, das eingegeben werden muss.
Um festzustellen, ob die Passwortauthentifizierung für Dein Unternehmen verwendet wird, gehe zu Admin > Organisation > Authentifizierung.
Wenn Passwort einschalten eingeschaltet ist, können sich User mit einem Passwort bei Yokoy anmelden.
💡 Tipp
Falls Du den Tab Authentifizierung nicht sehen kannst, dann gehe zu Admin > Organisation und kontaktiere den Yokoy-Support.
Usern wird bei der Erstellung ihres Accounts eine Einladung gesendet, um ein Passwort zu erstellen.
🚧 Vorsicht
Die User-Passwort-Authentifizierung kann nicht deaktiviert werden, wenn sie die einzige eingerichtete Authentifizierungsmethode ist. Wenn keine andere Authentifizierungsmethode konfiguriert wurde, wird eine Fehlermeldung angezeigt, die besagt, dass die Aktion nicht abgeschlossen werden kann.
Authentifizierung per Single Sign-on (SSO)
Yokoy bietet Unternehmen auch die Möglichkeit, ihr eigenes IAM-System (z. B. Microsoft Entra, Okta, Google Workspace) zu verwenden. Je nach verwendetem IAM können entweder die Authentifizierungsprotokolle OpenID Connect (ein auf OAuth 2.0 basierender Standard) oder SAML 2.0 zur Sicherung der Verbindung genutzt werden. Beide Protokolle können sowohl für die Anmeldung in der Web- als auch in der mobilen App verwendet werden.
Wenn die Identität föderiert ist, werden die Anmeldeinformationen nicht in Yokoy gespeichert, sondern beim Identitätsanbieter des Kunden. Die mobile App verwendet ein temporäres Zugriffstoken, das nach erfolgreicher Authentifizierung ausgetauscht wird.
✏️ Hinweis
Als Organisations-Admin kannst Du in Yokoy Service-Provider-initierte SSO-Authentifizierungsflüsse einrichten. Wenn Deine Organisation einen identity-provider-initiierten Authentifizierungsfluss benötigt, musst Du dich an Yokoy wenden, um es einzurichten.
Domains für SSO
Du legst die Domains fest, für welche die SSO-Authentifizierung gilt.
Du kannst mehrere Domains für Deine Organisation hinzufügen und mehrere SSO-Authentifizierungsmethoden einrichten.
Alle konfigurierten Authentifizierungsoptionen gelten für alle in der Organisation eingerichteten Domains. Es ist nicht möglich, eine spezifische Authentifizierungsoption für eine einzelne Domain festzulegen.
Yokoy zeigt alle verfügbaren Methoden als separate Schaltflächen auf der Anmeldeseite an, sobald der User die initiale Identitätsanbieter-Angabe,
d. h. seine E-Mail-Adresse, eingegeben hat, um die Domain zu bestimmen.
✏️ Hinweis
Standardmäßig verwendet Yokoy die E-Mail-Adresse als Identitätsanbieter-Anspruch. Es können jedoch auch andere Attribute verwendet werden
(das muss jedoch von Yokoy eingerichtet werden).
User müssen wissen, welche Authentifizierungsoption sie auswählen müssen, wenn mehrere Optionen für Deine Organisation eingerichtet sind. Beispielsweise hast Du das Konto mit mehreren Domains eingerichtet, z. B. company-a.de und company-a.es. User in der spanischen Einheit verwenden Okta für SSO, während die deutsche Einheit Microsoft Entra verwendet – daher zeigt die Anmeldeseite zwei Schaltflächen für die verschiedenen SSO-Authentifizierungsanbieter an.
SSO unter Verwendung des OpenID Connect-Protokolls
Yokoy implementiert das OpenID-Protokoll mit PKCE (RFC 7636), einer Erweiterung des Authorization Code-Flows, um mehrere Angriffe zu verhindern und den sicheren OAuth-Austausch von öffentlichen Clients zu ermöglichen.
Der Implicit Code Flow wird nicht unterstützt.
💡 Tipp
Wenn Dein Identitätsanbieter Microsoft Entra ID (ehemals Azure Active Directory) ist, siehe SSO mit Microsoft Entra ID (OpenID Connect) einrichten.
Falls Du keinen spezifischen Leitfaden für Dein System siehst, kannst Du Yokoy dennoch als SSO OpenID-Anbieter konfigurieren. Stelle sicher, dass Du die allgemeinen Schritte befolgst, die unten angegeben sind.
Yokoy ist als Service-Provider dafür verantwortlich, den Authentifizierungsfluss auszulösen. Zuerst musst Du die Yokoy-Anwendung als Webanwendung in Deinem Identitätsanbieter mit dem Authorization Code Flow (Client-Secret erforderlich) einrichten. Du musst die Callback-URL (und die Sign-in-URL, falls erforderlich) angeben.
| Callback-URL | Sign-in-URL |
Produktion | https://app.yokoy.ai | |
Sandbox |
Sobald die Einrichtung abgeschlossen ist, gib die folgenden Informationen unter Admin > Organisation, Tab Authentifizierung ein.
Feld | Beschreibung |
Issuer | URL, die auf das bekannte OpenID-Discovery-Dokument verweist. |
Client-ID | Eindeutige ID, die den IdP identifiziert. |
Client-secret | Schlüssel, der für die Authentifizierung verwendet wird. Dieser ist erforderlich, da Yokoy den Authorization Code Flow verwendet. |
Authentication app Name | Name des IdP. Dieses Label wird auf der Anmeldeschaltfläche verwendet. Wenn Du bspw. GSuite eingibst, lautet das Schaltflächen-Label Login mit GSuite anmelden. |
SSO für SAML 2.0-Protokoll nutzen
Yokoy unterstützt sowohl vom Identitätsanbieter initiierte als auch vom Service-Provider initiierte Authentifizierungsflüsse. Als Organisations-Admin kannst Du in Yokoy service-provider-initiierte Authentifizierungsflüsse konfigurieren.
✏️ Hinweis
Identity-Provider-initiierte Authentifizierungsflüsse müssen von Yokoy eingerichtet werden.
Die primäre E-Mail-Adresse wird als Claim verwendet. Auf Wunsch können auch andere Attribute als IdP-Claim verwendet werden. Diese Einrichtung muss jedoch von Yokoy vorgenommen werden. Wenn Du ein Attribut benötigst, das keine E-Mail-Adresse ist, wende sich bitte an den Yokoy-Support.
💡 Tipp
Wenn Du spezifische Anleitungen für Deinen Identitätsanbieter benötigst, sieh Dir diese Leitfäden an:
Falls es keinen spezifischen Leitfaden für Dein System gibt, kannst Du Yokoy dennoch konfigurieren. Achte darauf, die allgemeinen Schritte aus einem der Leitfäden zu befolgen.
Bei durch den Service Provider initiierten Abläufen ist Yokoy für die Einleitung des Authentifizierungsprozesses verantwortlich. Yokoy stellt die SP-Entity-ID sowie die ACS-URLs zur Verfügung, die Du in der Identity-Provider-Konfiguration hinterlegen musst.
Feld | Beschreibung |
SP entity ID | Yokoy generiert diesen Wert automatisch, wenn ein neuer SAML-Authentifizierungsanbieter hinzugefügt wird. In der Regel hat er folgendes Format: |
Assertion Consumer Service (ACS) URL | Ebenso wird die ACS-URL (Assertion Consumer Service) automatisch generiert, typischerweise im folgenden Format: |
✏️ Hinweis
[tenantId] wird für jede Organisation individuell erstellt.
Sobald Du diese Werte hast, kannst Du mit der Konfiguration Deines Identitätsanbieters beginnen. Du richtest eine Yokoy-Anwendung als SAML-Webanwendung ein und verwendest dabei die ACS-URL und die SP Entity ID.
Du musst ein neues Zertifikat (X509) erstellen und anschließend die metadata.xml-Datei herunterladen (diese enthält alle erforderlichen Informationen).
Alternativ kannst Du auch den öffentlichen X509-Schlüssel (Zertifikat) und die Login-URL verwenden.
Sobald Du diese Informationen hast, kannst Du die Konfiguration in Yokoy abschließen unter Admin > Organisation, Tab Authentifizierung.
Feld | Beschreibung |
Zertifikat | ○X509-Zertifikat. |
IdP-Login-URL | Bekannte URL für SSO (auch bekannt als ○Post-Binding-SSO-URL). |
Schaltflächen-Text | Gib hier einen Text ein, der für die Schaltfläche auf der Yokoy-Anmeldeseite verwendet wird. Dieser Text wird mit Login mit angezeigt. |
