Willkommen im Intric Support Center
Technische Dokumentation
SSO und Benutzergruppen

SSO und Benutzergruppen

Dieser Abschnitt ist für diejenigen, die deinen Identitätsanbieter (IdP) verwalten, beispielsweise Entra ID (Azure AD), Okta oder Google. Lerne, wie du Single Sign-On (SSO) und Benutzergruppen für Intric konfigurierst.

SSO-Einrichtung (Single Sign-On)

Intric verwendet OIDC (OpenID Connect) für die Anmeldung, was es deinen Benutzern ermöglicht, sich mit ihren bestehenden Organisationskonten anzumelden.

Informationen, die du an Intric senden musst

Damit Intric SSO gegen deinen IdP konfigurieren kann, musst du bereitstellen:

  • Issuer: URL zum Issuer (z. B. https://login.microsoftonline.com/{tenant-id}/v2.0)
  • Client ID: Deine Client-ID vom IdP
  • Client Secret: Dein Client-Secret vom IdP

Konfiguration auf deiner Seite (in deinem IdP)

In deinem Identitätsanbieter musst du die folgende Callback-URL auf die Whitelist setzen:

https://login.intric.ai/ui/login/login/externalidp/callback

Dies ermöglicht es Intric, Anmeldebestätigungen von deinem IdP zu empfangen.

Benutzergruppen

Benutzergruppen sind Sammlungen von Benutzern in deinem Benutzersystem deines Unternehmens. In Intric kannst du diese Gruppen verwenden, um den Zugriff auf Spaces für mehrere Benutzer auf einmal einfach zu verwalten, anstatt jeden Benutzer einzeln einzuladen.

Wie es funktioniert

Wenn ein Benutzer sich bei Intric anmeldet, werden Informationen darüber, zu welchen Gruppen er gehört, automatisch aus deinem bestehenden System abgerufen. Ein Benutzer, der Mitglied einer Benutzergruppe ist, der Zugriff auf einen Space gegeben wurde, erhält dann automatisch Zugriff auf die veröffentlichten Assistenten im Space, wenn die Person sich bei Intric anmeldet.

Konfiguration und Funktionalität

Wie funktioniert die Konfiguration?

Damit Benutzergruppen in Intric funktionieren, muss dein System Gruppeninformationen senden, wenn Benutzer sich anmelden. Dies erfolgt über etwas, das als “Groups Claim” im Anmeldetoken bezeichnet wird.

Technisches Detail: Token muss einen Schlüssel namens “groups” mit einer Liste von Gruppennamen enthalten:

"groups": ["group 1", "group 2", "group 3"]

Wichtige Anforderungen für Gruppenkonfiguration

✅ Korrektes Format:

  • Der Schlüssel muss genau groups sein
  • Der Wert sollte eine flache Liste mit Textstrings sein
  • Beispiel: ["Group 1", "Group 2", "Group 3"]

❌ Falsches Format:

  • Vermeide verschachtelte Strukturen
  • Beispiel für Fehler: ["group1": ["group1.1", "group1.2"], "group2": ["group2.1"]]
  • Hinweis: Verschachtelte Gruppen an sich sind in Ordnung in deinem System, solange die an Intric gesendete Liste flach ist

Wie Gruppen erstellt und aktualisiert werden

  • Automatische Handhabung: Gruppen werden automatisch in Intric erstellt, wenn sich zum ersten Mal ein Benutzer anmeldet, der zu ihnen gehört
  • Update: Gruppenmitgliedschaft wird jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet
  • Hinweis: Wir verwenden NICHT Microsofts GraphAPI für diese Funktionalität; alles basiert auf den Informationen im Token

Wichtige Einschränkungen, die zu beachten sind

1. Gruppen-IDs können nicht geändert werden

Die Textstrings, die von deinem System gesendet werden, werden als eindeutige IDs in Intric verwendet.

  • Wenn du von Gruppennamen zu Objekt-ID wechselst (oder umgekehrt), sieht Intric dies als völlig neue Gruppen
  • Beispiel: Wenn du von “IT-support” zu “12345-abcde” wechselst, wird eine neue Gruppe erstellt, und die Verbindungen zur alten Gruppe verschwinden

2. Entfernung von Gruppen (Szenario-Beispiel)

Hier ist ein häufiges Szenario, das Verwirrung verursachen kann:

  1. Görgen konfiguriert den IdP, um alle 10 Gruppen im Token zu senden, möchte aber tatsächlich nur 3 davon
  2. Lina meldet sich bei Intric an und gehört zu allen 10 Gruppen im IdP
  3. Görgen sieht, dass alle 10 Gruppen in Intric erstellt wurden
  4. Görgen entfernt die 7 Gruppen, die er in Intric nicht möchte
  5. Görgen ändert die Konfiguration im IdP, sodass nur die 3 gewünschten Gruppen im Token gesendet werden
  6. Lina (die noch angemeldet ist) macht etwas in Intric, das Gruppensynchronisierung auslöst
  7. Intric sieht, dass es Gruppen gibt, zu denen Lina gehört (aus ihrer Sitzung), die nicht mehr im System existieren → Intric erstellt sie erneut
  8. Görgen sieht, dass die Gruppen wieder erscheinen: “Aber ich habe sie entfernt!”

Lösung: Lina muss sich ab- und wieder anmelden, damit ihre Sitzung und Gruppenmitgliedschaft die neue Konfiguration korrekt widerspiegeln.

Wichtige Überlegungen (Entra ID)

Wenn du Microsoft Entra ID (Azure AD) verwendest, berücksichtige Folgendes:

  • Sicherheitsgruppen: Wähle NICHT “Sicherheitsgruppen” als Quelle, wenn du nicht möchtest, dass alle Sicherheitsgruppen in deiner gesamten Entra ID in Intric erscheinen
  • Gruppennamen vs. Objekt-ID: Standardmäßig wird die Objekt-ID für Gruppen gesendet. Wenn du möchtest, dass echte Gruppennamen in Intric angezeigt werden, musst du das Anwendungsmanifest in Entra ID konfigurieren

Tipp: Kontaktiere Intric Support für spezifische Anleitung zu dieser Konfiguration.

Empfehlungen und Best Practices

Planung vor Implementierung

  • Entscheide, welche Gruppen in Intric benötigt werden, bevor du startest
  • Konfiguriere dein System, um von Anfang an nur diese Gruppen zu senden
  • Teste mit einem Testbenutzer vor dem vollständigen Rollout

Vermeide häufige Fallstricke

  • ⚠️ Sende nicht mehr Gruppen als nötig
  • ⚠️ Ändere Gruppen-IDs nicht nach Implementierung
  • ⚠️ Teste alle Änderungen zuerst in der Entwicklungsumgebung

Wenn Probleme auftreten

  • Überprüfe, dass Token korrekten "groups" Claim enthält
  • Verifiziere, dass Gruppennamen/IDs stabil sind
  • Bitte Benutzer, sich nach Konfigurationsänderungen ab- und wieder anzumelden

Schritt-für-Schritt-Anleitung für Einrichtung

  1. Bereite deinen IdP vor

    • Entscheide, welche Gruppen synchronisiert werden sollen
    • Konfiguriere Groups Claim, um diese Gruppen zu senden
    • Verifiziere, dass das Format korrekt ist (flache Liste)

  2. Sammle Informationen

    • Issuer URL
    • Client ID
    • Client Secret
    • Whitelist Callback URL

  3. Sende an Intric

    • Kontaktiere Intric Support mit den Informationen
    • Intric konfiguriert SSO auf ihrer Seite

  4. Teste

    • Melde dich mit einem Testbenutzer an
    • Verifiziere, dass Gruppen korrekt synchronisiert werden
    • Teste Zugriff auf Spaces

  5. Rollout

    • Informiere Benutzer, dass sie jetzt SSO verwenden sollten
    • Überwache Anmeldungen in den ersten Tagen
    • Passe nach Bedarf an

Support

Wenn du Probleme hast oder Fragen zur SSO-Konfiguration hast, kontaktiere Intric Support. Wir helfen dir bei:

  • Fehlerbehebung bei SSO-Verbindung
  • Konfiguration von Groups Claim
  • Entra ID-spezifische Einstellungen
  • Best Practice für deine Organisation

Kontaktinformationen sind verfügbar in Support.