Benötige ich sowohl SAML SSO als auch SCIM?

Nein. Du kannst SAML SSO allein mit Just-in-Time-Bereitstellung nutzen (Benutzer werden bei der ersten Anmeldung erstellt). SCIM wird für Organisationen empfohlen, die eine vollständige Lebenszyklusautomatisierung wünschen.

Können einige Benutzer weiterhin mit Passwort anmelden, während andere SSO verwenden?

Ja, solange die SSO-Erzwingung deaktiviert ist. Wenn die Erzwingung aktiviert ist, wird SSO zur einzigen Anmeldemethode für Benutzer in deiner verifizierten Domain.

Was passiert mit bestehenden Benutzern, wenn ich SSO aktiviere?

Bestehende Benutzer behalten ihre Konten. Beim nächsten Anmelden werden sie durch SSO weitergeleitet. Ihre Daten, Links und Analysen bleiben erhalten.

Wie ordnet Papermark SCIM-Gruppen Rollen zu?

Du ordnest Identity-Provider-Gruppen den Papermark-Rollen (Admin, Mitglied, Betrachter) in der SCIM-Konfiguration zu. Änderungen an der Gruppenmitgliedschaft aktualisieren die Rolle des Benutzers bei der nächsten Synchronisierung.

Ist SAML SSO in günstigeren Tarifen verfügbar?

Nein. SAML SSO und SCIM sind Teil des Enterprise-Tarifs. Kontaktiere support@papermark.com, wenn du sie evaluieren möchtest.

Funktioniert SAML SSO für Besucher von Datenräumen?

SAML SSO regelt die Anmeldung bei Papermark selbst für deine Teammitglieder. Besucher von Datenräumen authentifizieren sich weiterhin über E-Mail-Verifizierung, Passwort oder andere Link-Berechtigungen.

Wie richtet man SAML SSO und SCIM-Provisionierung in Papermark ein?

Für Enterprise-Teams sollte das Passwort, das Ihre Mitarbeiter für die Anmeldung bei Papermark verwenden, dasselbe sein, das sie überall sonst verwenden. Papermark unterstützt SAML 2.0 Single Sign-On (SSO) und SCIM-Verzeichnissynchronisierung, sodass Sie Ihren Identity-Provider verbinden, SSO für alle Benutzer erzwingen und Konten automatisch provisionieren oder deprovisionieren können, wenn Mitarbeiter eintreten oder ausscheiden.

SAML SSO und SCIM sind im Enterprise-Plan verfügbar. Kontaktieren Sie support@papermark.com, um sie für Ihren Workspace zu aktivieren.

Was Sie erhalten

Feature	Was es macht
SAML 2.0 SSO	Benutzer melden sich bei Papermark mit ihrem Corporate-Identity-Provider an
SCIM-Verzeichnissynchronisierung	Neue Benutzer werden automatisch provisioniert, Ausscheidende werden deprovisioniert
SSO-Erzwingung	Passwort- und Google-Logins werden blockiert, sodass SSO der einzige Zugangsweg ist
Vorgefertigte Provider-Presets	Einrichtung mit einem Klick für Okta, Azure AD, Google Workspace, OneLogin und mehr
Just-in-Time-Provisionierung	Benutzer werden beim ersten SSO-Login erstellt, wenn SCIM nicht verwendet wird

Unterstützte Identity-Provider

Papermark funktioniert mit jedem SAML 2.0-konformen Identity-Provider. Wir bieten vorgefertigte Presets für:

Okta
Microsoft Entra ID (Azure AD)
Google Workspace
OneLogin
JumpCloud
Auth0
Benutzerdefinierte SAML-Provider

Für die SCIM-Bereitstellung werden dieselben Anbieter über den SCIM 2.0-Standard unterstützt.

Schritt für Schritt: SAML SSO aktivieren

Schritt 1: SSO-Einstellungen in Papermark öffnen

Melde dich bei Papermark als Workspace-Inhaber an.
Gehe zu Einstellungen, dann Sicherheit, dann SSO.
Klicke auf SAML SSO konfigurieren.

Schritt 2: Identitätsanbieter auswählen

Wähle deinen Anbieter aus der Liste der Voreinstellungen. Papermark zeigt dir die genauen Metadaten, die Papermark benötigt (Entity ID, ACS URL, Audience URI), damit du sie in deinen Identitätsanbieter einfügen kannst.

Schritt 3: Anwendung in deinem Identitätsanbieter konfigurieren

In deinem Identitätsanbieter:

Erstelle eine neue SAML-Anwendung mit dem Namen "Papermark".
Füge die Papermark Entity ID, ACS URL und Audience URI aus dem vorherigen Schritt ein.
Ordne die folgenden Attribute zu:
- email zur E-Mail-Adresse des Benutzers
- firstName zum Vornamen des Benutzers
- lastName zum Nachnamen des Benutzers
Lade die Metadaten-XML des Identitätsanbieters herunter oder kopiere die IdP Entity ID, die Single Sign-On URL und das X.509-Zertifikat.

Schritt 4: IdP-Details zurück in Papermark einfügen

Lade die Metadaten-XML hoch oder füge die einzelnen Felder in Papermark ein.
Klicke auf Speichern.
Klicke auf SSO-Verbindung testen, um zu überprüfen, ob der gesamte Ablauf funktioniert.

Sobald der Test erfolgreich ist, ist SSO für deinen Workspace aktiv. Benutzer mit E-Mail-Adressen, die deiner verifizierten Domain entsprechen, können sich jetzt über deinen Identitätsanbieter anmelden.

Schritt für Schritt: SCIM-Verzeichnissynchronisierung aktivieren

Schritt 1: SCIM-Endpunkt und Token generieren

Gehe in Papermark zu Einstellungen, dann Sicherheit, dann SCIM.
Klicke auf SCIM aktivieren.
Kopiere die angezeigte SCIM-Basis-URL und das Bearer-Token.

Schritt 2: SCIM in deinem Identity Provider konfigurieren

Aktiviere die Bereitstellung in der Papermark-Anwendung deines Identity Providers.
Füge die SCIM-Basis-URL als Mandanten-URL ein.
Füge das Bearer-Token als geheimes Token ein.
Aktiviere die folgenden Operationen:
- Benutzer erstellen
- Benutzerattribute aktualisieren
- Benutzer deaktivieren
Ordne dein Gruppen- oder Rollenattribut der Rollenzuordnung von Papermark zu (Admin, Mitglied, Betrachter).

Schritt 3: Bereitstellung testen

Weise in deinem Identity Provider einen Testbenutzer der Papermark-Anwendung zu.
Bestätige, dass der Benutzer innerhalb weniger Minuten in den Team-Einstellungen von Papermark erscheint.
Entferne den Benutzer und bestätige, dass er automatisch deaktiviert wird.

Sobald die Bereitstellung für den Testbenutzer funktioniert, kannst du die Papermark-App allen relevanten Benutzern und Gruppen in deinem Identity Provider zuweisen.

SSO für alle Benutzer erzwingen

Nachdem SAML SSO verifiziert wurde, kannst du SSO erzwingen, sodass Passwort- und Google-Anmeldungen für deine Domain gesperrt werden:

Schalte unter Einstellungen, Sicherheit, SSO die Option SSO erzwingen ein.
Bestätige die Änderung. Alle aktiven Sitzungen außerhalb von SSO werden ungültig.

Workspace-Inhaber können sich bei einer Fehlkonfiguration von SSO weiterhin über einen Wiederherstellungsablauf anmelden, sodass du nie aus deinem Workspace ausgesperrt bist.

Anwendungsfälle

IT-Compliance: Authentifizierung über den Identity Provider für jeden Mitarbeiter erzwingen, der auf Papermark zugreift.
Offboarding: Ausgeschiedene Mitarbeiter im Identity Provider deaktivieren – SCIM entfernt sie automatisch aus Papermark.
Onboarding neuer Mitarbeiter: Weise die Papermark-App der Gruppe eines neuen Mitarbeiters zu, und er wird am ersten Tag mit der richtigen Rolle bereitgestellt.
Audit-Bereitschaft: Jede Anmeldung läuft über deinen Identity Provider, sodass alle Zugriffsprotokolle an einem Ort gespeichert sind.