Single Sign-On für KMU – wie Authentik deine Tool-Landschaft verbindet

10. Juli 2026 · 8 Min. · Tobi

Schemadarstellung: Authentik vernetzt verschiedene Open-Source Tools

Dein Team nutzt Mattermost für Chat, Seafile für Dateien, GitLab für Code und Vaultwarden für Passwörter. Vier Tools, vier Logins, vier Passwörter. Kommt eine neue Kollegin dazu, legst du in jedem Tool einen Account an. Verlässt jemand das Team, musst du dich durch vier Admin-Panels klicken und hoffen, dass du keins vergisst. Bei zehn Tools wird das zum echten Risiko.

Die Lösung heißt Single Sign-On (SSO) – ein zentraler Login für alle Anwendungen. Und mit Authentik gibt es dafür einen Open-Source-Identity-Provider, der genau das leistet – ohne Enterprise-Budget und ohne Vertrag mit einem US-Konzern.

Wir haben Authentik bereits in einem früheren Artikel vorgestellt. Dieser Post geht einen Schritt weiter: Wie setzt du SSO in einem typischen KMU-Setup konkret um – und was bringt es dir im Alltag?

Das Wichtigste in Kürze

  • SSO bedeutet: Dein Team loggt sich einmal ein und hat Zugriff auf alle verbundenen Tools.
  • Authentik ist ein Open-Source-Identity-Provider, der SAML, OAuth2/OpenID Connect und LDAP unterstützt.
  • Die meisten Open-Source-Tools (Mattermost, Seafile, GitLab, Nextcloud, Paperless-ngx, Grafana) lassen sich (z.B. per OpenID-Connect Protokoll) mit Authentik verbinden.
  • Onboarding wird zum Ein-Klick-Vorgang, Offboarding auch – und genau da liegt der größte Sicherheitsgewinn.
  • Im Vergleich zu Okta, Auth0, Microsoft Entra und dergleichen sparst du bereits bei 20 Usern schnell über 1,000 Euro im Jahr.

Warum SSO auch für kleine Teams wichtig ist

SSO klingt nach Konzern-IT. Aber gerade in kleinen Teams ist es besonders wertvoll – weil dort niemand die Zeit hat, sich um Nutzerverwaltung in zehn verschiedenen Tools zu kümmern.

Das Passwort-Problem: Ohne SSO hat jede:r im Team dutzende Zugangsdaten – in der Praxis heißt das: gleiche Passwörter überall, Post-its am Monitor, ständige „Passwort vergessen“-Anfragen. Ein Passwort-Manager wie Vaultwarden oder KeePassXC hilft, löst aber das Grundproblem nicht: zu viele Accounts an zu vielen Stellen.

Das Offboarding-Problem: Jemand verlässt das Team. Du deaktivierst den Mattermost-Account – aber vergisst GitLab. Oder Seafile. Oder das Projektmanagement-Tool, das nur zwei Leute im Team nutzen. Ohne zentrales Identity Management ist Offboarding ein Risiko.

Das Onboarding-Problem: Eine neue Kollegin fängt an – und du legst Accounts in zehn Tools an, setzt Berechtigungen und verschickst Einladungs-E-Mails. Pro neuem Teammitglied summiert sich das schnell auf eine halbe Stunde oder mehr.

So funktioniert SSO mit Authentik in der Praxis

Topologie: Nutzer:innen melden sich einmal bei Authentik an und erreichen alle verbundenen Tools per SSO

Onboarding: Ein Account, alle Tools

Mit Authentik sieht Onboarding so aus:

  1. Du legst die neue Kollegin in Authentik an und weist sie einer Gruppe zu (z.B. „Entwicklung“ oder „Marketing“).
  2. Sie erhält per E-Mail einen Link zur Erstanmeldung und richtet Passwort und Zwei-Faktor-Authentifizierung ein.
  3. Sie loggt sich via Authentik ein – und hat sofort Zugriff auf alle Tools, die für ihre Gruppe freigegeben sind.

Kein Account-Anlegen in zehn verschiedenen Tools. Keine zehn verschiedenen Einladungs-E-Mails. Keine vergessenen Passwörter am ersten Arbeitstag.

Offboarding: Ein Klick, alle Zugänge gesperrt

Noch wichtiger als das Onboarding: Wenn jemand das Team verlässt, deaktivierst du einen einzigen Account in Authentik. Ab diesem Moment kann sich die Person in keinem verbundenen Tool mehr einloggen – nicht im Chat, nicht bei den Dateien, nicht auf dem Code, nicht auf die Passwörter.

Das ist vor allem ein Sicherheitsthema: Vergessene Accounts ehemaliger Teammitglieder sind ein klassisches Einfallstor – mit einem zentralen Identity Provider ist diese Lücke zuverlässig geschlossen.

Alltag: Ein Login, keine Reibung

Im Alltag merken deine Mitarbeiter:innen von SSO hauptsächlich eins: weniger Passwort-Eingaben. Mattermost öffnen – automatisch angemeldet. Zu Seafile wechseln – eingeloggt. Das Authentik-Login gilt für die gesamte Browser-Session.

Übrigens: Die Authentik-Startseite zeigt nach dem Login alle freigegebenen Anwendungen als Kacheln – als Team-Startseite ersetzt sie die Bookmark-Sammlung.

Welche Tools funktionieren mit Authentik?

Die kurze Antwort: fast alle. Authentik spricht SAML 2.0, OAuth2/OpenID Connect und LDAP – mindestens eines davon unterstützen die meisten modernen Webanwendungen. Diese Tools aus unserem Portfolio haben sich in der Praxis bewährt:

Tool Protokoll Anmerkung
Mattermost OpenID Connect Seit Mattermost v11 nativ ab dem kostenlosen Entry-Plan; in der Team-Edition über unser Mattermost OIDC Plugin
MostlyMatter OpenID Connect Wie die Team-Edition: über unser Mattermost OIDC Plugin
Seafile OAuth2 Funktioniert mit Community und Pro Edition
Nextcloud SAML / OAuth2 Über die Apps „Social Login“ oder „SSO & SAML authentication“
GitLab SAML / OAuth2 Login auch in der Community Edition; SAML-Gruppensync erfordert GitLab Premium
Forgejo OpenID Connect Native Unterstützung
Vaultwarden OpenID Connect Seit Version 1.35 nativ unterstützt
Paperless-ngx OpenID Connect Seit Version 2.5 unterstützt
Wiki.js OpenID Connect Native Unterstützung
BookStack SAML / OIDC Native Unterstützung
HedgeDoc OAuth2 Native Unterstützung
Docmost SAML / OIDC Ab dem kostenpflichtigen Business-Plan
Zammad SAML Native Unterstützung
Snipe-IT SAML Native Unterstützung
DocuSeal SAML Nur im kostenpflichtigen Pro-Plan
Twenty CRM SAML / OIDC Nur im kostenpflichtigen Organization-Plan
Odoo OAuth2 Über das mitgelieferte OAuth-Modul
Grafana OAuth2 Native Unterstützung
Node-RED OpenID Connect Nativ per Passport-Strategie
Uptime Kuma Proxy Auth Über Authentik Proxy Provider

Für Anwendungen ohne natives SSO bietet Authentik einen Proxy Provider: Authentik schaltet sich als Reverse Proxy vor die Anwendung und übernimmt die Authentifizierung. Falls du das bei server.camp nutzen möchtest kannst du dich einfach bei unserem Support melden.

Best Practices für die Einführung

Drei Dinge, die bei der SSO-Einführung immer wieder den Unterschied machen:

Schrittweise statt „Big Bang“: Bewährt hat sich der Start mit einer unkritischen Anwendung – etwa dem Wiki oder Uptime Kuma. Läuft die rund, ziehen Chat und Dateien nach. Die meisten Tools erlauben SSO parallel zum bisherigen Login, sodass der lokale Login erst abgeschaltet wird, wenn alle sicher angekommen sind.

E-Mail-Adressen vorher abgleichen: Der klassische Stolperstein bei bestehenden Installationen. Die meisten Tools verknüpfen SSO-Logins über die E-Mail-Adresse mit vorhandenen Accounts. Stimmt die Adresse in Authentik nicht mit der im Tool überein, entsteht ein Duplikat-Account. Ein kurzer Abgleich vor der Umstellung erspart das Aufräumen danach.

Einen Notfall-Admin behalten: In jedem wichtigen Tool sollte ein lokaler Admin-Account bestehen bleiben, dessen Zugangsdaten z.B. in Vaultwarden liegen. Ist Authentik einmal nicht erreichbar, bleibst du damit trotzdem handlungsfähig.

Was kostet SSO? Der Vergleich

Kommerzielle Identity Provider berechnen pro User pro Monat. Bei kleinen Teams summiert sich das schnell:

Anbieter Kosten bei 20 Usern/Monat Kosten/Jahr
Okta (Workforce Identity) ab ca. 7 $/User → ~140 $ ~1.700 $
Auth0 (B2B Essentials) Paketpreis ab ca. 180 $ ~2.150 $
Microsoft Entra ID P1 ab ca. 7 $/User → ~140 $ ~1.700 $
Google Cloud Identity (Premium) ab ca. 7 $/User → ~140 $ ~1.700 $
Authentik (Self-Hosted) 0 € (nur Serverkosten) ~60–120 € (VPS)
Authentik (Managed bei server.camp) Festpreis ab 25 € ab 300 €

Alle Preise sind Bruttopreise inklusive 19 % Mehrwertsteuer; die Netto-Listenpreise von Okta, Auth0, Microsoft und Google haben wir für die Vergleichbarkeit umgerechnet. Die Zahlen sind grobe Richtwerte für ein 20-Personen-Team (Stand 2026) – Tarife ändern sich regelmäßig und haben oft Mindestabnahmen oder Paketgrenzen. Als Vergleich haben wir jeweils das Paket ausgewählt, das einen ähnlichen Feature-Umfang wie Authentik bietet, um die o.g. Use Cases (z.B. LDAP-Integration, „conditional access“-Regeln, etc.) umzusetzen.

Der wichtigste Unterschied im Pricing: Bei Okta, Auth0, Microsoft und Google steigen die Kosten mit jedem neuen Teammitglied (sofern die Gratis-Pakete überschritten werden), bei Authentik zahlst du für die Instanz, nicht pro User.

Sicherheit: Mehr als nur Bequemlichkeit

Neben dem Komfort bringt SSO einige Sicherheitsfunktionen mit, die sonst nur schwer umzusetzen sind:

Zwei-Faktor-Authentifizierung zentral durchsetzen: In Authentik kannst du festlegen, dass alle Nutzer:innen 2FA aktivieren müssen – per TOTP-App, WebAuthn/FIDO2 (z.B. YubiKey) oder beidem. Das gilt automatisch für alle verbundenen Tools.

Kontextabhängige Zugriffsregeln: Über Richtlinien lassen sich Regeln definieren wie „GitLab nur aus dem Firmennetz“ oder „Seafile nur mit 2FA“. Das geht in den einzelnen Tools oft gar nicht.

Audit-Log: Authentik protokolliert alle Anmeldungen zentral – du siehst auf einen Blick, wer sich wann wo eingeloggt hat, statt in zehn Logs zu suchen.

Häufige Fragen zu SSO mit Authentik

Ab wie vielen Tools lohnt sich SSO? Faustregel: ab drei bis vier Tools und einer Handvoll Personen. Wie so ein Tool-Stack mit Authentik als Bindeglied aussehen kann, zeigt unser Beitrag Das perfekte IT-Setup für dein Startup. Aber auch für Freelancer kann SSO den Alltag erleichtern.

Ist Authentik wirklich kostenlos? Die Open-Source-Edition ja, ohne User-Limit. Du zahlst nur den Serverbetrieb – anders als bei Okta oder Auth0, die nach Nutzerzahl abrechnen.

Was passiert, wenn der zentrale Login ausfällt? Dann ist Authentik ein Single Point of Failure – deshalb gehören Backups und ein zuverlässiger Betrieb dazu. Genau das federt ein Managed-Setup ab. Für den Notfall hilft zusätzlich ein lokaler Admin-Account in den wichtigsten Tools (siehe Best Practices).

Fazit

Wenn du mehr als drei Tools im Einsatz hast und mehr als eine Handvoll Mitarbeiter:innen, wird zentrale Nutzerverwaltung mit der Zeit eher zur Notwendigkeit als zur Option. Authentik deckt das mit überschaubarem Aufwand ab: Open Source, keine Pro-User-Kosten, volle Kontrolle über deine Identitätsdaten.

Der größte Effekt zeigt sich nicht am ersten Tag, sondern beim nächsten Onboarding, beim nächsten Offboarding und beim nächsten Sicherheits-Audit – wenn alle Zugänge an einem Ort liegen, statt über zehn Admin-Panels verstreut.

Jetzt starten

Authentik als Managed SSO

Bei server.camp bekommst du Authentik fertig konfiguriert – plus Mattermost, Seafile, GitLab und mehr als SSO-fähiges Setup aus einer Hand. EU-hosted und DSGVO-konform.

Authentik live testen
30 Tage kostenlos testen Unterstützung bei der Migration Hosting in DE (DSGVO-konform)