SSO & SCIM Konfigurationsleitfaden

Stand: Juni 2026

Schritt-für-Schritt für IT-Administratoren: Microsoft Entra ID (OIDC), SAML 2.0 oder SCIM Provisioning. Konfiguration pro Mandant über Umgebungsvariablen — ZRG kontaktieren für Assisted Onboarding.

1. Microsoft Entra ID (OIDC) — empfohlen

In Vercel/Hosting setzen: • AZURE_AD_CLIENT_ID • AZURE_AD_CLIENT_SECRET • AZURE_AD_TENANT_ID Redirect URI: https://www.zrgmineral.com/api/auth/sso/callback Nach Deployment zeigt die Anmeldeseite „Mit Microsoft anmelden“. Entra-Gruppen in ZRG-Rollen im Onboarding-Call mappen.

2. SAML 2.0 Service Provider

SAML_IDP_CERT, SAML_ENTRY_POINT, SAML_ISSUER und SAML_CALLBACK_URL setzen. ZRG Ihre IdP-Metadaten bereitstellen. ACS URL: /api/auth/saml/acs Vor Produktiv-Cutover mit Staging-Entra oder Okta testen.

3. SCIM 2.0 Provisioning

SCIM_BEARER_TOKEN (vierteljährlich rotieren) und SCIM_ORG_ACCOUNT_ID (Ihre ZRG Billing Account ID) setzen. Endpoint-Basis: https://www.zrgmineral.com/api/scim/v2 Unterstützt: Users create/update/deactivate. Group Sync: Support für Enterprise-Tier kontaktieren.

4. Verifikations-Checkliste

□ Login aus Firmennetzwerk testen □ Rollenzuweisung bestätigen (owner/admin/member) □ Portfolio-Isolation zwischen Accounts prüfen □ Audit-Trail CSV von Enterprise Security exportieren □ Alert-Webhooks konfigurieren (Slack/Teams URL in Terminal-Einstellungen)

SCIM unterstützt derzeit Single-Org-Provisioning (SCIM_ORG_ACCOUNT_ID). Multi-Tenant SCIM ist auf der Enterprise-Roadmap.