Identity Provider konfigurieren

Entra ID, Google Workspace oder Okta verbinden — automatische Nutzer-Sync, Gruppen-zu-Rollen-Mapping, Deaktivierung beim Entfernen.

Verdrahten Sie Ihren Identity Provider einmal in Palveron und Sie müssen die Mitgliederliste nie wieder anfassen — Nutzer synchronisieren automatisch, Gruppenänderungen mappen auf Berechtigungsstufen, und entfernte Nutzer werden innerhalb von Minuten deaktiviert.

Unterstützte Anbieter

Anbieter	Protokoll	Nutzer-Sync	Gruppen-Mapping	Auto-Deaktivierung
Microsoft Entra ID	SCIM 2.0 + OIDC	✅ kontinuierlich	✅	✅ innerhalb 5 min
Google Workspace	OIDC + Directory API	✅ bei Login + stündliches Polling	✅	✅ innerhalb 1 Stunde
Okta	SCIM 2.0 + OIDC	✅ kontinuierlich	✅	✅ innerhalb 5 min

Wählen Sie den, den Ihre Organisation bereits für SSO einsetzt. Setup dauert 10-15 Minuten; laufende Wartung ist null.

Allgemeiner Ablauf (jeder Anbieter)

Team → Identity Provider öffnen (nur sichtbar für owner und admin).
Klicken Sie Anbieter verbinden und wählen Sie Entra ID, Google Workspace oder Okta.
Credentials eingeben (anbieterspezifisch — siehe unten).
IdP-Gruppen auf Palveron-Berechtigungsstufen mappen.
Synchronisierung starten klicken.

Die Plattform importiert Nutzer aus jeder gemappten Gruppe und hält sie danach im oben aufgeführten Rhythmus synchron. Jeder Nutzer landet in der Rolle, die seiner IdP-Gruppe entspricht.

Entra ID (Azure AD)

In Microsoft Entra

Gehen Sie zu Azure-Portal → Entra ID → Unternehmensanwendungen → Neue Anwendung → Eigene Anwendung erstellen.
Wählen Sie „Andere Anwendung integrieren, die hier nicht aufgeführt ist" und nennen Sie sie Palveron.
Unter Provisionierung setzen Sie den Modus auf Automatisch. Mandanten-URL: https://app.palveron.com/api/v1/scim/{your-project-id}/v2. Secret-Token: generieren Sie einen in Palveron unter Team → IdP → SCIM-Token generieren und fügen ihn hier ein.
Unter Single Sign-on konfigurieren Sie OIDC. Redirect-URI: https://app.palveron.com/api/v1/auth/callback/entra. Notieren Sie sich die Anwendungs-(Client-)ID, die Verzeichnis-(Mandanten-)ID, und erstellen Sie ein Client Secret.
Unter Benutzer und Gruppen weisen Sie die Gruppen zu, die Sie synchronisieren möchten (typischerweise Palveron Admins, Palveron Editors, Palveron Viewers).

In Palveron

Feld	Wert
Tenant ID	aus Entra
Client ID	aus Entra
Client Secret	aus Entra
SCIM-Endpoint-URL	die URL, die Sie in Entra konfiguriert haben
SCIM-Token	der Token, den Sie in Palveron generiert haben

Klicken Sie Verbindung testen vor dem Speichern — der Test ruft GET /scim/v2/Users?count=1 auf und bestätigt, dass die Credentials funktionieren.

Google Workspace

In der Google Admin Console

Gehen Sie zu Sicherheit → API-Steuerelemente → Domain-weite Delegierung → Neu hinzufügen.
Client-ID: palveron-google-sync (wird generiert, wenn Sie in Palveron auf Verbinden klicken). Scopes: admin.directory.user.readonly, admin.directory.group.readonly, admin.directory.user.security.
Erstellen Sie einen OAuth-Client unter APIs & Dienste → Anmeldedaten. Autorisierte Redirect-URI: https://app.palveron.com/api/v1/auth/callback/google.

In Palveron

Feld	Wert
Workspace-Domain	z. B. `example.com`
Client ID	aus Google
Client Secret	aus Google
Admin-E-Mail	eine Workspace-Super-Admin-E-Mail (für den initialen Directory-Pull)

Die erste Synchronisierung läuft sofort. Danach pollt Google Workspace stündlich. Erzwingen Sie eine sofortige Synchronisierung mit Jetzt synchronisieren.

Okta

In Okta

Admin Console → Applications → Browse App Catalog → SCIM 2.0 Test App (OAuth Bearer Token) (oder Create New App → SCIM 2.0).
SCIM-Connector-Base-URL: https://app.palveron.com/api/v1/scim/{your-project-id}/v2. Authentifizierungsmodus: HTTP-Header. Header-Name: Authorization. Wert: Bearer {token-from-Palveron}.
Aktivieren Sie Push Users, Push Profile Updates und Push Groups.
Konfigurieren Sie OIDC für SSO. Redirect-URI: https://app.palveron.com/api/v1/auth/callback/okta.
Weisen Sie die Anwendung den Gruppen zu, die Sie synchronisieren möchten.

In Palveron

Feld	Wert
Okta-Domain	z. B. `firma.okta.com`
API-Token	aus Okta API-Tokens
SCIM-Token	der Token, den Sie in Palveron generiert haben

Gruppen auf Palveron-Stufen mappen

Nach erfolgreicher Verbindung listet Palveron jede Gruppe auf, die es aus dem IdP lesen kann. Mappen Sie jede auf eine Berechtigungsstufe:

IdP-Gruppe (Beispiel)	→ Palveron-Stufe
`Palveron Admins`	`admin`
`Compliance & Risk`	`editor`
`Engineering`	`viewer`
`Sales`	`viewer`

Nicht zugewiesene Gruppen erhalten standardmäßig viewer (niedrigste Berechtigung). Mitglieder mehrerer Gruppen erben die höchste gemappte Stufe.

📸 Screenshot: Gruppen-Mapping-Tabelle mit Dropdowns pro Gruppe.

Was Auto-Sync leistet

Nach der IdP-Verbindung:

Neuer Nutzer in einer gemappten Gruppe → Nutzer erscheint in Palveron auf der gemappten Stufe (Status ACTIVE).
Nutzer aus allen gemappten Gruppen entfernt → Nutzer in Palveron deaktiviert (kann nicht mehr einloggen, aufgeführte Responsibility-Chain-Referenzen lösen Reassignment-Warnungen aus).
Nutzer zwischen Gruppen verschoben → Rolle aktualisiert; wird innerhalb von ~5 Minuten (Entra / Okta) oder bis zu 1 Stunde (Google Workspace) wirksam.
Nutzer-Profil im IdP aktualisiert (Anzeigename, E-Mail) → Felder aktualisieren sich beim nächsten Sync in Palveron.

Synchronisierte Nutzer tragen ein IdP-Badge in der Mitgliederliste. Sie können nicht manuell entfernt oder umrollen — vollständig vom IdP verwaltet.

IdP trennen

Team → Identity Provider → Einstellungen (⚙️) → Verbindung trennen.
Bestätigen.

Beim Trennen bleiben synchronisierte Nutzer in Palveron, werden aber zu manuell verwalteten Nutzern umgestellt — sie sind nicht mehr von IdP-Änderungen betroffen. Ihre aktuelle Rolle bleibt erhalten. Wenn Sie die Nutzer ganz entfernen wollen, tun Sie dies zuerst im IdP, lassen die Deaktivierung propagieren und trennen dann.

Audit-Trail

Jede Sync-Aktion (Nutzer hinzugefügt, Rolle geändert, deaktiviert) wird als TEAM_*-Governance-Event erfasst. Die vollständige Sync-Historie ist unter Monitoring → Governance Events verfügbar.

Identity Provider konfigurieren

On this page