
Dein Team nutzt Mattermost für Chat, Seafile für Dateien, GitLab für Code und Vaultwarden für Passwörter. Vier Tools, vier Logins, vier Passwörter. Kommt eine neue Kollegin dazu, legst du in jedem Tool einen Account an. Verlässt jemand das Team, musst du dich durch vier Admin-Panels klicken und hoffen, dass du keins vergisst. Bei zehn Tools wird das zum echten Risiko.
Die Lösung heißt Single Sign-On (SSO) – ein zentraler Login für alle Anwendungen. Und mit Authentik gibt es dafür einen Open-Source-Identity-Provider, der genau das leistet – ohne Enterprise-Budget und ohne Vertrag mit einem US-Konzern.
Wir haben Authentik bereits in einem früheren Artikel vorgestellt. Dieser Post geht einen Schritt weiter: Wie setzt du SSO in einem typischen KMU-Setup konkret um – und was bringt es dir im Alltag?
Das Wichtigste in Kürze
- SSO bedeutet: Dein Team loggt sich einmal ein und hat Zugriff auf alle verbundenen Tools.
- Authentik ist ein Open-Source-Identity-Provider, der SAML, OAuth2/OpenID Connect und LDAP unterstützt.
- Die meisten Open-Source-Tools (Mattermost, Seafile, GitLab, Nextcloud, Paperless-ngx, Grafana) lassen sich (z.B. per OpenID-Connect Protokoll) mit Authentik verbinden.
- Onboarding wird zum Ein-Klick-Vorgang, Offboarding auch – und genau da liegt der größte Sicherheitsgewinn.
- Im Vergleich zu Okta, Auth0, Microsoft Entra und dergleichen sparst du bereits bei 20 Usern schnell über 1,000 Euro im Jahr.
Warum SSO auch für kleine Teams wichtig ist
SSO klingt nach Konzern-IT. Aber gerade in kleinen Teams ist es besonders wertvoll – weil dort niemand die Zeit hat, sich um Nutzerverwaltung in zehn verschiedenen Tools zu kümmern.
Das Passwort-Problem: Ohne SSO hat jede:r im Team dutzende Zugangsdaten – in der Praxis heißt das: gleiche Passwörter überall, Post-its am Monitor, ständige „Passwort vergessen“-Anfragen. Ein Passwort-Manager wie Vaultwarden oder KeePassXC hilft, löst aber das Grundproblem nicht: zu viele Accounts an zu vielen Stellen.
Das Offboarding-Problem: Jemand verlässt das Team. Du deaktivierst den Mattermost-Account – aber vergisst GitLab. Oder Seafile. Oder das Projektmanagement-Tool, das nur zwei Leute im Team nutzen. Ohne zentrales Identity Management ist Offboarding ein Risiko.
Das Onboarding-Problem: Eine neue Kollegin fängt an – und du legst Accounts in zehn Tools an, setzt Berechtigungen und verschickst Einladungs-E-Mails. Pro neuem Teammitglied summiert sich das schnell auf eine halbe Stunde oder mehr.
So funktioniert SSO mit Authentik in der Praxis

Onboarding: Ein Account, alle Tools
Mit Authentik sieht Onboarding so aus:
- Du legst die neue Kollegin in Authentik an und weist sie einer Gruppe zu (z.B. „Entwicklung“ oder „Marketing“).
- Sie erhält per E-Mail einen Link zur Erstanmeldung und richtet Passwort und Zwei-Faktor-Authentifizierung ein.
- Sie loggt sich via Authentik ein – und hat sofort Zugriff auf alle Tools, die für ihre Gruppe freigegeben sind.
Kein Account-Anlegen in zehn verschiedenen Tools. Keine zehn verschiedenen Einladungs-E-Mails. Keine vergessenen Passwörter am ersten Arbeitstag.
Offboarding: Ein Klick, alle Zugänge gesperrt
Noch wichtiger als das Onboarding: Wenn jemand das Team verlässt, deaktivierst du einen einzigen Account in Authentik. Ab diesem Moment kann sich die Person in keinem verbundenen Tool mehr einloggen – nicht im Chat, nicht bei den Dateien, nicht auf dem Code, nicht auf die Passwörter.
Das ist vor allem ein Sicherheitsthema: Vergessene Accounts ehemaliger Teammitglieder sind ein klassisches Einfallstor – mit einem zentralen Identity Provider ist diese Lücke zuverlässig geschlossen.
Alltag: Ein Login, keine Reibung
Im Alltag merken deine Mitarbeiter:innen von SSO hauptsächlich eins: weniger Passwort-Eingaben. Mattermost öffnen – automatisch angemeldet. Zu Seafile wechseln – eingeloggt. Das Authentik-Login gilt für die gesamte Browser-Session.
Übrigens: Die Authentik-Startseite zeigt nach dem Login alle freigegebenen Anwendungen als Kacheln – als Team-Startseite ersetzt sie die Bookmark-Sammlung.
Welche Tools funktionieren mit Authentik?
Die kurze Antwort: fast alle. Authentik spricht SAML 2.0, OAuth2/OpenID Connect und LDAP – mindestens eines davon unterstützen die meisten modernen Webanwendungen. Diese Tools aus unserem Portfolio haben sich in der Praxis bewährt:
| Tool | Protokoll | Anmerkung |
|---|---|---|
| Mattermost | OpenID Connect | Seit Mattermost v11 nativ ab dem kostenlosen Entry-Plan; in der Team-Edition über unser Mattermost OIDC Plugin |
| MostlyMatter | OpenID Connect | Wie die Team-Edition: über unser Mattermost OIDC Plugin |
| Seafile | OAuth2 | Funktioniert mit Community und Pro Edition |
| Nextcloud | SAML / OAuth2 | Über die Apps „Social Login“ oder „SSO & SAML authentication“ |
| GitLab | SAML / OAuth2 | Login auch in der Community Edition; SAML-Gruppensync erfordert GitLab Premium |
| Forgejo | OpenID Connect | Native Unterstützung |
| Vaultwarden | OpenID Connect | Seit Version 1.35 nativ unterstützt |
| Paperless-ngx | OpenID Connect | Seit Version 2.5 unterstützt |
| Wiki.js | OpenID Connect | Native Unterstützung |
| BookStack | SAML / OIDC | Native Unterstützung |
| HedgeDoc | OAuth2 | Native Unterstützung |
| Docmost | SAML / OIDC | Ab dem kostenpflichtigen Business-Plan |
| Zammad | SAML | Native Unterstützung |
| Snipe-IT | SAML | Native Unterstützung |
| DocuSeal | SAML | Nur im kostenpflichtigen Pro-Plan |
| Twenty CRM | SAML / OIDC | Nur im kostenpflichtigen Organization-Plan |
| Odoo | OAuth2 | Über das mitgelieferte OAuth-Modul |
| Grafana | OAuth2 | Native Unterstützung |
| Node-RED | OpenID Connect | Nativ per Passport-Strategie |
| Uptime Kuma | Proxy Auth | Über Authentik Proxy Provider |
Für Anwendungen ohne natives SSO bietet Authentik einen Proxy Provider: Authentik schaltet sich als Reverse Proxy vor die Anwendung und übernimmt die Authentifizierung. Falls du das bei server.camp nutzen möchtest kannst du dich einfach bei unserem Support melden.
Best Practices für die Einführung
Drei Dinge, die bei der SSO-Einführung immer wieder den Unterschied machen:
Schrittweise statt „Big Bang“: Bewährt hat sich der Start mit einer unkritischen Anwendung – etwa dem Wiki oder Uptime Kuma. Läuft die rund, ziehen Chat und Dateien nach. Die meisten Tools erlauben SSO parallel zum bisherigen Login, sodass der lokale Login erst abgeschaltet wird, wenn alle sicher angekommen sind.
E-Mail-Adressen vorher abgleichen: Der klassische Stolperstein bei bestehenden Installationen. Die meisten Tools verknüpfen SSO-Logins über die E-Mail-Adresse mit vorhandenen Accounts. Stimmt die Adresse in Authentik nicht mit der im Tool überein, entsteht ein Duplikat-Account. Ein kurzer Abgleich vor der Umstellung erspart das Aufräumen danach.
Einen Notfall-Admin behalten: In jedem wichtigen Tool sollte ein lokaler Admin-Account bestehen bleiben, dessen Zugangsdaten z.B. in Vaultwarden liegen. Ist Authentik einmal nicht erreichbar, bleibst du damit trotzdem handlungsfähig.
Was kostet SSO? Der Vergleich
Kommerzielle Identity Provider berechnen pro User pro Monat. Bei kleinen Teams summiert sich das schnell:
| Anbieter | Kosten bei 20 Usern/Monat | Kosten/Jahr |
|---|---|---|
| Okta (Workforce Identity) | ab ca. 7 $/User → ~140 $ | ~1.700 $ |
| Auth0 (B2B Essentials) | Paketpreis ab ca. 180 $ | ~2.150 $ |
| Microsoft Entra ID P1 | ab ca. 7 $/User → ~140 $ | ~1.700 $ |
| Google Cloud Identity (Premium) | ab ca. 7 $/User → ~140 $ | ~1.700 $ |
| Authentik (Self-Hosted) | 0 € (nur Serverkosten) | ~60–120 € (VPS) |
| Authentik (Managed bei server.camp) | Festpreis ab 25 € | ab 300 € |
Alle Preise sind Bruttopreise inklusive 19 % Mehrwertsteuer; die Netto-Listenpreise von Okta, Auth0, Microsoft und Google haben wir für die Vergleichbarkeit umgerechnet. Die Zahlen sind grobe Richtwerte für ein 20-Personen-Team (Stand 2026) – Tarife ändern sich regelmäßig und haben oft Mindestabnahmen oder Paketgrenzen. Als Vergleich haben wir jeweils das Paket ausgewählt, das einen ähnlichen Feature-Umfang wie Authentik bietet, um die o.g. Use Cases (z.B. LDAP-Integration, „conditional access“-Regeln, etc.) umzusetzen.
Der wichtigste Unterschied im Pricing: Bei Okta, Auth0, Microsoft und Google steigen die Kosten mit jedem neuen Teammitglied (sofern die Gratis-Pakete überschritten werden), bei Authentik zahlst du für die Instanz, nicht pro User.
Sicherheit: Mehr als nur Bequemlichkeit
Neben dem Komfort bringt SSO einige Sicherheitsfunktionen mit, die sonst nur schwer umzusetzen sind:
Zwei-Faktor-Authentifizierung zentral durchsetzen: In Authentik kannst du festlegen, dass alle Nutzer:innen 2FA aktivieren müssen – per TOTP-App, WebAuthn/FIDO2 (z.B. YubiKey) oder beidem. Das gilt automatisch für alle verbundenen Tools.
Kontextabhängige Zugriffsregeln: Über Richtlinien lassen sich Regeln definieren wie „GitLab nur aus dem Firmennetz“ oder „Seafile nur mit 2FA“. Das geht in den einzelnen Tools oft gar nicht.
Audit-Log: Authentik protokolliert alle Anmeldungen zentral – du siehst auf einen Blick, wer sich wann wo eingeloggt hat, statt in zehn Logs zu suchen.
Häufige Fragen zu SSO mit Authentik
Ab wie vielen Tools lohnt sich SSO? Faustregel: ab drei bis vier Tools und einer Handvoll Personen. Wie so ein Tool-Stack mit Authentik als Bindeglied aussehen kann, zeigt unser Beitrag Das perfekte IT-Setup für dein Startup. Aber auch für Freelancer kann SSO den Alltag erleichtern.
Ist Authentik wirklich kostenlos? Die Open-Source-Edition ja, ohne User-Limit. Du zahlst nur den Serverbetrieb – anders als bei Okta oder Auth0, die nach Nutzerzahl abrechnen.
Was passiert, wenn der zentrale Login ausfällt? Dann ist Authentik ein Single Point of Failure – deshalb gehören Backups und ein zuverlässiger Betrieb dazu. Genau das federt ein Managed-Setup ab. Für den Notfall hilft zusätzlich ein lokaler Admin-Account in den wichtigsten Tools (siehe Best Practices).
Fazit
Wenn du mehr als drei Tools im Einsatz hast und mehr als eine Handvoll Mitarbeiter:innen, wird zentrale Nutzerverwaltung mit der Zeit eher zur Notwendigkeit als zur Option. Authentik deckt das mit überschaubarem Aufwand ab: Open Source, keine Pro-User-Kosten, volle Kontrolle über deine Identitätsdaten.
Der größte Effekt zeigt sich nicht am ersten Tag, sondern beim nächsten Onboarding, beim nächsten Offboarding und beim nächsten Sicherheits-Audit – wenn alle Zugänge an einem Ort liegen, statt über zehn Admin-Panels verstreut.