DOCS/SAML SSO~ 8 MIN LESEDAUER

ENTERPRISE · SAML 2.0

Lassen Sie Ihr Team sich anmelden
mit dem Konto, das sie bereits haben.

Mit SAML-SSO melden sich Ihre Agenten in EasyLiveChat über den Identitätsanbieter an, den Ihr Unternehmen bereits einsetzt — Okta, Microsoft Entra, Google Workspace, JumpCloud, OneLogin. Kein zusätzliches Passwort, das man sich merken oder beim Ausscheiden eines Mitarbeiters widerrufen muss.

§ 00Was SAML SSO ist

SAML SSO verbindet EasyLiveChat mit dem Identitätsanbieter, den Ihr Unternehmen bereits betreibt — Okta, Microsoft Entra, Google Workspace oder einen beliebigen anderen SAML-2.0-IdP. Wenn ein Agent auf die EasyLiveChat-Kachel im IdP-Dashboard klickt (oder ein Lesezeichen öffnet), wird er zum IdP weitergeleitet, meldet sich dort mit dem Passwort an, das er für alles andere bereits nutzt, und landet wieder im EasyLiveChat-Posteingang. Es wird nie ein EasyLiveChat-Passwort eingegeben.

Wenn Sie schon einmal auf „Mit Google anmelden“ auf einer Webseite geklickt haben, kennen Sie die Verbrauchervariante dieses Musters. SAML ist das Unternehmensäquivalent — die Webseite (wir) vertraut allem, was der Identitätsanbieter (Ihr Okta / Microsoft / Google) über die Identität des Nutzers aussagt.

EasyLiveChat betreibt den Identitätsanbieter nie selbst. Sie bringen Ihren eigenen mit. Wir stellen die Empfängerseite bereit.

§ 01Tarif-Verfügbarkeit

SAML SSO ist eine Enterprise-Funktion. Es wird zusätzlich während der 14-tägigen kostenlosen Testphase freigeschaltet, damit Sie die Einrichtung vor der Entscheidung evaluieren können.

TarifSAML SSO
Kostenlose TestversionWährend der Testphase entsperrt
StarterGesperrt
GrowthGesperrt
EnterpriseEnthalten

§ 02Werte für Ihren IdP-Admin

Dies sind die EasyLiveChat-seitigen Bezeichner, die Ihr IdP kennen muss. Ersetzen Sie <slug> durch Ihren Arbeitsbereichs-Slug. Die Seite /settings/sso zeigt alle Werte mit Kopier-Buttons an.

Single-Sign-On / ACS-URLhttps://api.livechattools.com/api/saml/<slug>/callback
Zielgruppe / SP-Entity-IDhttps://api.livechattools.com/api/saml/<slug>/metadata
Name-ID-FormatE-Mail-Adresse
Erforderliches Attributemail (oder NameID = email)
Signierte AssertionErforderlich (signierte Response ist optional)

Die meisten IdPs können auch ein XML-Metadaten-Dokument direkt importieren — die Metadaten-URL ist mit der Entity-ID identisch und liefert das XML, das unser Backend erzeugt.

§ 03Okta einrichten

Diese Schritte setzen voraus, dass Sie Admin-Zugriff auf Ihren Okta-Arbeitsbereich haben. Die Okta-Dev-Stufe ist kostenlos und reicht zur Evaluierung.

  1. Melden Sie sich im Okta-Admin-Panel an → Applications → Create App Integration → SAML 2.0.
  2. Geben Sie der App einen Namen (z. B. „EasyLiveChat") und klicken Sie auf Next.
  3. Im Schritt „Configure SAML" füllen Sie diese Felder mit den Werten Ihrer EasyLiveChat-/settings/sso-Seite aus:
    • Single sign-on URL → die von uns bereitgestellte ACS-URL.
    • Aktivieren Sie „Use this for Recipient URL and Destination URL".
    • Audience URI (SP Entity ID) → die von uns bereitgestellte Entity-ID.
    • Name ID format → EmailAddress.
    • Application username → Email.
    • Attribute Statements → fügen Sie eine Zeile hinzu: emailuser.email — Name format Basic.
  4. Klicken Sie auf Next → „I'm an Okta customer adding an internal app" → Finish.
  5. Auf dem Sign-On-Tab der neuen App → „View SAML setup instructions". Kopieren Sie die IdP Single Sign-On URL, den IdP Issuer und das X.509-Zertifikat (im PEM-Format mit BEGIN/END-Markern).
  6. Weisen Sie die App Benutzern zu, deren E-Mail-Adressen mit vorhandenen Agenten in Ihrem EasyLiveChat-Arbeitsbereich übereinstimmen (People → Assignments).

§ 04Microsoft Entra (Azure AD) einrichten

Diese Schritte setzen voraus, dass Sie eine Rolle als Global Administrator oder Application Administrator in Microsoft Entra haben.

  1. Entra-Admin → Enterprise applications → New application → Create your own application → benennen (z. B. „EasyLiveChat") → Non-gallery app.
  2. Öffnen Sie die neue App → Single sign-on → SAML.
  3. Basic SAML Configuration → setzen Sie Identifier (Entity ID) und Reply URL (ACS) auf die Werte aus Ihrer EasyLiveChat-/settings/sso-Seite.
  4. Attributes & Claims → stellen Sie sicher, dass ein Claim die E-Mail-Adresse des Nutzers überträgt. Entweder verlassen Sie sich auf den Standard-emailaddress-Claim und fügen dessen URI in das Feld „Email claim" von EasyLiveChat ein, oder Sie fügen einen neuen Claim namens email mit dem Wert user.mail hinzu.
  5. SAML Signing Certificate → laden Sie die „Certificate (Base64)"-Datei (.cer) herunter. Öffnen Sie sie in einem Texteditor und kopieren Sie den vollständigen PEM-Inhalt (inklusive BEGIN/END-Marker) in das Feld für das Signaturzertifikat in EasyLiveChat.
  6. Unter „Set up <app name>" kopieren Sie die Login URL (→ IdP entry URL in EasyLiveChat) und den Microsoft Entra Identifier (→ IdP issuer). Weisen Sie Benutzer über Users and groups zu.

§ 05Google Workspace einrichten

Diese Schritte setzen voraus, dass Sie ein Workspace Super Admin sind.

  1. Google-Admin → Apps → Web and mobile apps → Add app → Add custom SAML app. Geben Sie ihm einen Namen wie „EasyLiveChat".
  2. Im Schritt IdP details laden Sie das X.509-Zertifikat herunter und kopieren die SSO URL und die Entity ID.
  3. Im Schritt Service provider details fügen Sie die ACS URL und die Entity ID aus Ihrer EasyLiveChat-/settings/sso-Seite ein. Setzen Sie Name ID format auf EMAIL und Name ID auf Basic Information > Primary email.
  4. Attribute mapping → Primary email → App-Attribut email zuordnen.
  5. Beenden, dann die App für die Organisationseinheit aktivieren, deren Nutzer sich anmelden können. Speichern Sie Zertifikat + URLs in EasyLiveChat.

§ 06In EasyLiveChat konfigurieren

Öffnen Sie https://app.livechattools.com/settings/sso. und fügen Sie die vier Werte ein, die Sie gerade von Ihrem IdP gesammelt haben:

  • IdP entry URLDie Single-Sign-On-URL, die der IdP Ihnen gegeben hat (z. B. https://yourcompany.okta.com/app/exk.../sso/saml).
  • IdP issuerDer Entity-Bezeichner des IdP (auf IdP-Seite manchmal Issuer URL oder Entity ID genannt).
  • IdP-Signaturzertifikat (PEM)Fügen Sie das X.509-Zertifikat inklusive der BEGIN CERTIFICATE / END CERTIFICATE-Marker ein.
  • Email-Claim (optional)Leer lassen, um die NameID zu verwenden. Fügen Sie eine Claim-URI ein, wenn Ihr IdP die E-Mail-Adresse unter einem bestimmten Attributnamen sendet.

Klicken Sie auf Save. Das Status-Badge wechselt zu CONFIGURED, und die SP-initiierte Anmelde-URL erscheint am unteren Seitenende.

§ 07Wie Agenten sich anmelden

Zwei Wege — beide enden am selben Ort (Ihr Posteingang) und sind mit einem frischen Session-Token authentifiziert.

  • SP-initiatedSenden Sie Agenten an https://api.livechattools.com/api/saml/<slug>/login. Diese lesezeichenfreundliche URL leitet sie zum IdP und zurück.
  • IdP-initiatedAgenten klicken auf die EasyLiveChat-Kachel im App-Dashboard ihres IdP (Okta-Dashboard, Microsoft-365-App-Launcher, Google-Workspace-App-Launcher). Sie landen direkt im EasyLiveChat-Posteingang.

§ 08Agenten-Zuordnung

EasyLiveChat ordnet den SAML-Nutzer per E-Mail einem vorhandenen Agent-Datensatz zu — der vom IdP authentifizierte Nutzer muss bereits als Agent in Ihrem Arbeitsbereich existieren. Wir legen beim ersten SSO-Login keine Agenten automatisch an (noch keine „Just-in-Time"-Provisionierung), damit SSO die Einladungs-Governance Ihres Teams nicht umgeht.

Hat der SAML-Nutzer keinen passenden Agent, leitet der Callback zurück zur EasyLiveChat-Login-Seite mit reason=agent_not_found. Laden Sie den Nutzer über Settings → Team mit der genauen E-Mail-Adresse ein, die der IdP sendet, und versuchen Sie es erneut.

§ 09Fehlerbehebung

Wenn ein Login fehlschlägt, leitet EasyLiveChat zu /login?saml_error=1&reason=<code> weiter. Der Code sagt Ihnen, was schiefgelaufen ist:

reason=Was passiert istLösung
missing_responseDer IdP hat keine SAMLResponse an unseren Callback gesendet.Überprüfen Sie die ACS / Single-Sign-On-URL auf der IdP-Seite genau — sie muss exakt mit der Callback-URL übereinstimmen, die wir Ihnen gezeigt haben, einschließlich des Workspace-Slugs.
validation_failedWir haben eine SAMLResponse erhalten, aber die Signatur konnte nicht validiert werden.Das in /settings/sso eingefügte Signaturzertifikat muss mit dem tatsächlichen Signaturzertifikat des IdP übereinstimmen. Kopieren Sie das PEM erneut (inklusive BEGIN/END-Marker) vom IdP.
no_emailSignatur in Ordnung, aber keine E-Mail in der Assertion.Stellen Sie sicher, dass der IdP die E-Mail des Nutzers sendet — entweder als NameID (Format EmailAddress) oder als Claim. Bei einem Claim fügen Sie dessen URI in das Feld Email claim ein.
agent_not_foundDie vom IdP zugesicherte E-Mail steht nicht in Ihrer Agentenliste.Laden Sie den Nutzer über Settings → Team mit genau dieser E-Mail ein und versuchen Sie den Login erneut.
Bearbeitung vorschlagen