> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# SSO für Okta einrichten

> Lass dein Team sich mit den Okta-Zugangsdaten in deinem Base44-Enterprise-Workspace anmelden.

Mit Okta kann sich dein Team mit seinen bestehenden Okta-Zugängen in deinem Base44-Enterprise-Workspace anmelden. Du erstellst eine OIDC-Anwendung in Okta, erlaubst Base44 deren Nutzung und fügst ihre Details deinem Workspace hinzu. Um Mitglieder automatisch hinzuzufügen und zu aktualisieren, richte [SCIM-Provisionierung für Okta](/Enterprise/Okta-SCIM) separat ein.

<Warning>
  Workspace-Single-Sign-On ist nur in Enterprise-Workspaces verfügbar. Wenn du diese Option nicht siehst, wende dich an dein Base44-Account-Team.
</Warning>

***

## Bevor du beginnst

Stelle sicher, dass du hast:

* Owner- oder Admin-Zugriff auf deinen Base44-Enterprise-Workspace.
* Admin-Zugriff auf deine Okta-Organisation.
* Deine **Workspace-ID**, die Zeichenfolge nach `/workspace/` in deiner Enterprise-Workspace-URL.
* Deine **Okta-Domain**, der Teil vor `.okta.com` (z. B. `your-company`).

***

## Single Sign-On einrichten

Erstelle eine OIDC-Anwendung in Okta, erlaube Base44 deren Nutzung und füge ihre Details deinem Workspace hinzu.

### Schritt 1: Eine OIDC-App erstellen

Erstelle die OIDC-Anwendung, die die Base44-Anmeldung repräsentiert.

**So erstellst du die App:**

1. Gehe in der Okta-Admin-Konsole zu **Applications** > **Applications** und klicke auf **Create App Integration**.
2. Setze **Sign-in method** auf **OIDC - OpenID Connect**.
3. Setze **Application type** auf **Web Application**.
4. Klicke auf **Next**.

<Frame caption="Creating an OIDC app integration in Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta1.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=cae204f1199c671d22d0a00287a29b19" alt="Okta Create a new app integration dialog with OIDC and Web Application selected" width="1137" height="859" data-path="images/SSOOkta1.png" />
</Frame>

### Schritt 2: App konfigurieren

Setze den App-Namen, die Redirect-URIs und wer die App nutzen darf.

**So konfigurierst du die App:**

1. Gib einen **App name** ein, z. B. `Base44 - your workspace name`.
2. Füge unter **Sign-in redirect URIs** deine Workspace-Callback-URL hinzu, wobei du `{{WORKSPACE_ID}}` durch deine Workspace-ID ersetzt: `https://app.base44.com/api/workspaces/{{WORKSPACE_ID}}/auth/sso/callback`
3. Füge unter **Sign-out redirect URIs** `https://app.base44.com` hinzu.
4. Wähle unter **Controlled access**, wer die App nutzen darf, z. B. **Allow everyone in your organization to access**.
5. Klicke auf **Save**.

<Frame caption="Setting the sign-in and sign-out redirect URIs in Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta2.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=1ed1a3069119d41f302243ee0a3bbfae" alt="Okta application sign-in and sign-out redirect URI settings" width="1266" height="441" data-path="images/SSOOkta2.png" />
</Frame>

### Schritt 3: Deine Anmeldedaten holen

Kopiere aus dem Tab **General** der App:

* **Client ID**
* **Client Secret**
* Deine **Okta-Domain**, nur die Subdomain (z. B. `your-company`, nicht `your-company.okta.com`).

### Schritt 4: Base44 in deinem Authorization Server erlauben

Okta gibt Tokens nur an Apps aus, die eine Autorisierungs-Server-Regel erlaubt.

**So fügst du eine Access-Policy-Regel hinzu:**

1. Gehe zu **Security** > **API** > **Authorization Servers** und öffne den **default**-Server.
2. Klicke im Tab **Access Policies** auf **Add Rule** oder bearbeite eine vorhandene Regel.
3. Benenne die Regel (z. B. `Allow Base44`), setze den Grant-Type auf **Authorization Code** und wende sie auf deine Base44-App (oder alle Clients), alle Nutzer und alle Scopes an.
4. Klicke auf **Create Rule**.

<Note>
  Deaktiviere im Tab **General** deiner Base44-App in Okta den **Federation Broker Mode**. Wenn er aktiviert ist, kann die Anmeldung mit "You are not allowed to access this app" fehlschlagen.
</Note>

### Schritt 5: Deine Details in Base44 hinzufügen

Füge die OIDC-App-Anmeldedaten deinem Workspace hinzu.

**So konfigurierst du SSO in Base44:**

1. Klicke oben links in deinem Konto auf deinen Workspace-Namen.
2. Klicke auf **Settings**.
3. Klicke auf **Auth and security**.
4. Aktiviere den Schalter neben **Single Sign-On Configuration**.
5. Wähle in **Select SSO Provider** **Okta**.
6. Gib deine **Client ID**, dein **Client Secret** und deine **Okta Domain** (nur die Subdomain) ein.
7. Lass **Scope** auf `openid email profile`.
8. Die **Discovery URL** wird automatisch aus deiner Okta-Domain gefüllt.
9. Klicke auf **Enable SSO**.

<Frame caption="Okta SSO settings in your Base44 workspace">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta4.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=f68bd5a8d3b1c57b8f8bd1f7581c0a61" alt="Base44 Auth and security panel configured with Okta as the SSO provider" width="950" height="473" data-path="images/SSOOkta4.png" />
</Frame>

<Warning>
  Die automatisch generierte Discovery URL ist nur für eine Standard-Okta-Organisation mit ihrer Standard-`.okta.com`-Domain korrekt. Wenn einer der folgenden Fälle zutrifft, ist der Standard falsch und die Anmeldung schlägt fehl. Richte Okta stattdessen über **Advanced / Manual configuration** ein und gib die Discovery URL manuell ein:

  * **Verwende die `/oauth2/default`-Discovery URL:** Richte Base44 auf deinen Okta-Autorisierungsserver aus, damit der `email`-Claim zurückgegeben wird: `https://your-domain.okta.com/oauth2/default/.well-known/openid-configuration`. Wenn deine Organisation keinen benutzerdefinierten Autorisierungsserver hat, gibt diese Adresse einen 404 zurück. Verwende in dem Fall `https://your-domain.okta.com/.well-known/openid-configuration` und mappe den `email`-Claim in deinem Okta-App-Profil.
  * **Benutzerdefinierte Okta-Domain:** Wenn sich dein Team über eine benutzerdefinierte Markendomain anmeldet (z. B. `login.your-company.com`), verwende genau diese Domain in der Discovery URL, nicht die Standard-`your-company.okta.com`. Okta gibt Tokens von der Domain aus, über die sich Nutzer anmelden. Eine Diskrepanz führt zu einem Fehler bei der Issuer-Validierung (`iss`) und die Anmeldung schlägt fehl.
</Warning>

### Schritt 6: Nutzer zuweisen

Nutzer können sich anmelden, sobald sie deiner Okta-App zugewiesen sind.

**So weist du Nutzer zu:**

1. Gehe in deiner Okta-App zum Tab **Assignments**.
2. Klicke auf **Assign**, dann auf **Assign to People** oder **Assign to Groups**.
3. Wähle die Nutzer oder Gruppen aus, die sich anmelden können sollen, und klicke auf **Assign** und **Save and Go Back**.

<Tip>
  Um Mitglieder automatisch hinzuzufügen und zu aktualisieren, statt sie manuell zuzuweisen, richte [SCIM-Provisionierung für Okta](/Enterprise/Okta-SCIM) ein.
</Tip>

***

## FAQs

Wähle unten eine Frage, um mehr über Okta SSO zu erfahren.

<AccordionGroup>
  <Accordion title="Anmeldung schlägt mit 'You are not allowed to access this app' fehl">
    Füge eine Access-Policy-Regel auf dem Standard-Autorisierungsserver hinzu (Schritt 4), deaktiviere **Federation Broker Mode** im Tab **General** der App und bestätige, dass der Nutzer der App zugewiesen ist.
  </Accordion>

  <Accordion title="Anmeldung schlägt mit einem E-Mail-Fehler fehl">
    Oktas Standard-Autorisierungsserver gibt nicht immer den `email`-Claim zurück. Richte Okta über **Advanced / Manual configuration** ein und verwende die `/oauth2/default`-Discovery URL, damit die E-Mail zurückgegeben wird. Siehe den Hinweis in Schritt 5.
  </Accordion>

  <Accordion title="Brauche ich separate Okta-Apps für SSO und SCIM?">
    Ja. Okta-OIDC-Apps unterstützen SCIM nicht, sodass SSO eine OIDC-App und SCIM eine separate SCIM-2.0-App verwendet. Siehe [SCIM-Provisionierung für Okta](/Enterprise/Okta-SCIM).
  </Accordion>
</AccordionGroup>

<Note>Diese Seite wurde mit KI übersetzt. Für die genauesten und aktuellsten Informationen siehe die [englische Version](/). </Note>
