Administration Login (SSO) mit Microsoft, Google, Okta, SAML, uvm.

Installation & Einrichtung

Schritt 1: Installation im Plugin-Manager Logge dich in die Administrationsoberfläche von Shopware 6 ein. Installiere das Plugin-Paket unter "Erweiterungen". Aktiviere das Plugin, um mit der weiteren Einrichtung beginnen zu können.

1. Mit dem Feld "Name" bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit Microsoft".
   Kopiere nun die generierte Rücksende-URL in deine Zwischenablage.
2. Logge dich jetzt in die Administration von Microsoft Entra ID ein. Klicke unter "Alle Dienste", "App-Registrierungen" auf den Punkt "Neue Registrierung".
3. Vergib nun unter "Name" eine eindeutige Bezeichnung, wie z.B. "Shopadministrationslogin".
   Lege unter "Unterstützte Kontotypen" fest, wer berechtigt sein soll. Sollen alle deine Mitarbeiter Zugang erhalten, wähle hier den obersten Punkt – "Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant)".
   Jetzt füge die aus Shopware zwischengespeicherte Rücksende-URL in das Feld "Umleitungs-URl" ein.
   Kopiere die "Client-ID" in Entra und füge sie in Shopware 6 im Feld "Anwendungsschlüssel" ein.
   Kopiere außerdem die "Tenant-ID" und füge sie in Shopware 6 im Feld "Verzeichnis-ID" ein.
4. Wechsle nun links zum Punkt "Zertifikate & Geheimnisse". Erstelle jetzt bei "Geheime Clientschlüssel" einen neuen Schlüssel und benenne ihn eindeutig – z.B. "Shopware 6 Administrationslogin". Lege die Gültigkeitsdauer für die Berechtigung fest (1 Jahr / 2 Jahre / oder ohne Ablaufdatum "nie"). Kopiere den Schlüssel-Wert und füge diesen in Shopware im Feld "Anwendungsgeheimnis" ein.
5. Gehe zu "API-Berechtigung". Lege hier über die Suchleiste fest, dass die Anwendung die Berechtigung "openid" erhalten soll.
6. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
7. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via Microsoft Entra ID verwenden.
   

1. Mit dem Feld "Name" bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit Google". Kopiere nun die generierte Rücksende-URL in deine Zwischenablage.
2. Logge dich jetzt in die Google API Console ein.
   Erstelle dort zunächst ein Projekt, indem du oben links auf "Projekt auswählen" und in dem neuen Fenster auf "Neues Projekt" klickst.
3. Vergib nun unter "Projektname" eine eindeutige Bezeichnung, wie z.B. "Shopadministrationslogin".
   Wähle unter "Organisation" und unter "Speicherort" deinen Workspace aus - dies ist meistens bereits richtig vorkonfiguriert.
4. Nachdem du dein Projekt erstellt hast, klicke im Bereich "Schnellzugriff" auf "APIs und Dienste". Falls der Punkt hier nicht sichtbar ist, findest du diesen nach Klick auf "Alle Produkte ansehen".
5. Unter "OAuth-Zustimmungsbildschirm" wähle nun als "User Type" "Intern" aus und klicke anschließend auf "Erstellen".
   Gib nun einen "Anwendungsname", sowie eine "Nutzersupport-E-Mail" an. Diese werden Benutzern bei der erstmaligen Anmeldung über Google angezeigt.
   Gib außerdem unter "Kontaktdaten des Entwicklers" deine E-Mail-Adresse an.
   Speichere die Änderungen durch Klick auf den Button "Speichern und fortfahren".
6. Nun bist sollst du Bereiche angeben, auf die die Applikation Zugriff bekommen soll.
   Klicke hier auf "Bereiche hinzufügen oder entfernen" und füge hier den Bereich "openid" hinzu. Speichere den neuen Bereich durch Klick auf "Aktualisieren", am Ende der Auswahl-Seite.
   Speichere nun alle Änderungen mit dem Button "Speichern und fortfahren".
7. Wechsle nun in den Bereich "Anmeldedaten" und klicke oben auf "Anmeldedaten erstellen" und anschließend auf "OAuth-Client-ID".
   Wähle als "Anwendungstyp" "Webanwendung" aus und füge unter "Autorisierte Weiterleitungs-URIs" die Shopware 6 Rücksende-URL aus Schritt 1 hinzu.
   Klicke anschließend auf "Erstellen".
   Kopiere die "Client-ID" und füge sie in Shopware 6 in das Feld "Client-ID" ein.
   Kopiere den "Clientschlüssel" und füge sie in Shopware 6 in das Feld "Clientschlüssel" ein.
8. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
9. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via Google verwenden.
   

1. Mit dem Feld "Name" in Shopware 6 bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit JumpCloud".
2. Lade die Metadata Datei über die "Metadaten-URL" herunter.
3. Logge dich jetzt in JumpCloud und füge unter "User Authentication" > "SSO" eine neue Applikation hinzu.
4. Wähle nun "Custom SAML App" aus. Vergib der App einen Namen ("Display Label") z.B. "Shopware Login".
5. Wechsle nun in den Tab SSO und lade dort über den Button "Upload Metadata" die Metadata Datei aus Schritt 2 hoch.
   Vergib unter "IdP Entity ID" einen eindeutigen Namen z.B. "jumpcloud.my-comany.de".
   Stelle sicher, dass du unter "Attributes" den JumpCloud-Attributen "email", "firstname" und "lastname" einen Namen zuordnest.
6. Gib im Tab "User Groups" nun an, welche Benutzer sich in dieser App anmelden dürfen.
7. Speichere die Einstellungen in JumpCloud mit Klick auf den Button "activate".
   Öffne die gespeicherte App erneut und lade die JumpCloud Metadata Datei aus dem Tab "SSO" herunter.
8. Füge in Shopware 6 den Inhalt der JumpCloud Metadata Datei in dem Feld "Metadata XML" ein.
9. Damit die Benutzerinfos (Vorname, Nachname, E-Mail, ...) dem Benutzer zugeordnet werden können, gib in Shopware 6 unter Attribut-Zuweisung die Attribut-Namen an, welche du in Schritt 5 den JumpCloud Attributen zugewiesen hast.
10. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
11. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via JumpCloud verwenden.

1. Mit dem Feld "Name" bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit Keycloak". Kopiere nun die generierte Rücksende-URL in deine Zwischenablage.
2. Logge dich jetzt in die Administration von Keycloak ein. Klicke unter "Clients" auf den Button "Erstellen".
3. Vergib nun unter "Client-ID" eine eindeutige Bezeichnung, wie z.B. "shop-admin-login". Unter "Client Protocol" wählst du jetzt "openid-connect" aus.
   Klicke anschließend auf "Speichern".
4. Du wirst nun auf die Detail-Einstellungen in Keycloak weitergeleitet.
   Wähle unter "Access Type" "confidential" aus.
   Unter "Valid Redirect URIs" fügst du die "Rücksend-URL" aus Shopware 6 ein.
   Die Option "Backchannel Logout Session Required" schaltest du aus.
   Speichere die Einstellungen mit Klick auf den Button "Speichern" am Ende der Seite.
5. Wechsle nun links zum Punkt "Installation". Wähle dort die "Format Option" "Keycloak OIDC JSON" aus. Kopiere den Inhalt des Textfeldes und füge den Inhalt in das Shopware 6 Feld "Keycloak OIDC JSON" ein.
6. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
7. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via Keycloak verwenden.
   

1. Mit dem Feld "Name" bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit Okta". Kopiere nun die generierte Rücksende-URL in deine Zwischenablage.
2. Logge dich jetzt in die Administration von Okta ein.
   Klicke unter "Applicarions", “Applications” auf den Punkt "Create Integration".
   Wähle als “Sign-in method” “OIDC - OpenID Connect” und “Web Application” als “Application type” aus.
   Vergib nun als "App integration name" eine eindeutige Bezeichnung, wie z.B. "Shopadministrationslogin".
   Stelle sicher, dass “Authorization Code” als “Grant type” ausgewählt ist.
3. Jetzt füge die aus Shopware zwischengespeicherte Rücksende-URL in das Feld "Sign-in redirect URIs" ein.
   Das Feld “Sign-out redirect URIs” kannst du mit dem “X” leeren.
   Wähle unter “Assignments”, “Controlled access” aus, wer sich aus deiner Organisation anmelden darf.
   Speichere die Einstellungen durch Klick auf den Button “Save”.
4. Kopiere die "Client-ID" in Okta und füge sie in Shopware 6 im Feld "Client-ID" ein.
   Kopiere außerdem den “Client secret” aus Okta und füge diesen in Shopware 6 im Feld "Clientschlüssel" ein.
5. Gib als letztes deine Okta-Organisations-URL in das Feld “Okta Organisations-URL“ ein. Bspw. https://my-company.okta.com
6. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
7. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via Okta verwenden.
   

1. Mit dem Feld "Name" bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit OneLogin". Kopiere nun die generierte Rücksende-URL in deine Zwischenablage.
2. Logge dich jetzt in die Administration von OneLogin ein.
   Klicke unter "Applicarions", “Custom Connectors” auf den Punkt "New Connector".
   Gib oben links durch Klick auf “Untitled” einen aussagekräftigen Namen (z.B. "Shopadministrationslogin") für deinen Connector ein und bestätige diesen durch Klick auf den grünen Haken.
3. Wähle als “Sign on method” “OpenID Connect” aus.
   Jetzt füge die aus Shopware zwischengespeicherte Rücksende-URL in das Feld "Redirect URI" ein.
   Speichere die Änderungen durch Klick auf “Save” in der oberen, rechten Ecke.
4. Gehe nun im Menü “More Actions” auf “Add App to Connector”.
   Speichere die voreingestellten Daten mit einem Klick auf “Save”.
5. Öffne den Bereich “SSO” aus dem linken Seitenmenü.
   Wähle nun als “Application Type” “Web”.
   Unter “Token Endpoint” wähle “POST” als “Authentication Method” aus.
   Speichere die Daten mit “Save”.
6. Öffne den Bereich “SSO“ erneut.
   Kopiere die "Client ID" in OneLogin und füge sie in Shopware 6 im Feld "Client-ID" ein.
   Klicke auf “Show client secret” und kopiere den “Client secret” aus OneLogin, um diesen in Shopware 6 im Feld "Clientschlüssel" einzufügen.
7. Gib als letztes deine OneLogin-Organisations-URL in das Feld “Okta Organisations-URL“ ein. Bspw. https://my-company.onelogin.com
8. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
9. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via OneLogin verwenden.
   

1. Mit dem Feld "Name" bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit Cidaas". Kopiere nun die generierte Rücksende-URL in deine Zwischenablage.
2. Logge dich jetzt in die Administration von Cidaas ein.
   Klicke unter "Apps", “App Einstellungen” auf den Punkt "Neue App erstellen".
   Vergib nun unter "App Name" eine eindeutige Bezeichnung, wie z.B. "Shopadministrationslogin".
   Als “App-Typ” wählst du “Regular” aus.
   Klicke auf “Weiter”.
3. Wähle nun unter “Scope” die Optionen “openid” und “profile” aus.
   Unter “Redirect-URLs” und “Erlaubte Abmelde-URLs” fügst du die aus Shopware zwischengespeicherte Rücksende-URL ein.
   Fahre nun durch Klick auf “Weiter” fort.
4. Gib jetzt noch Informationen über den App-Betreiber (also dich) an. Konkret mindestens den Frimennamen, die Firmenanschrift und die Website.
   Speichere die neue App durch einen Klick auf “Speichern”.
5. Suche in der App-Übersicht nun deine App heraus und klicke auf den Bearbeiten-Button.
   Kopiere die "Client-ID" in Cidaas und füge sie in Shopware 6 im Feld "Client-ID" ein.
   Kopiere jetzt ebenso den “Client secret” aus Cidaas, um diesen in Shopware 6 im Feld "Clientschlüssel" einzufügen.
6. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
7. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via Cidaas verwenden.
   

1. Mit dem Feld "Name" bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit Atlassian".
2. Logge dich nun in die Developer Administration in Atlassian ein.
   Klicke auf "Create a new App". Vergib einen eindeutigen Namen, wie "Shopadministration" und fahre mit "Create" fort.
3. Unter "App details" findest du jetzt bereits die zwei für das Plugin benötigten Schlüssel. "Client ID" fügst du in Shopware in das Feld "Anwendungs ID" ein und "Secret" in das Feld "Anwendungsgeheimnis".
   Kopiere nun für den nächsten Schritt direkt die Rücksende-URL in deine Zwischenablage.
4. Wechsle zurück zu Atlassian und wechsle links in den Bereich "OAuth 2.0". Dort fügst du die Rücksende-URL im Feld "Callback URL" ein.
5. Lege jetzt unter "User identity API" die Berechtigung "read:me" fest.
6. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
7. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via Atlassian verwenden.
   

1. Mit dem Feld "Name" in Shopware 6 bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit <Name des Identity Providers>".
   Kopiere nun die generierte Rücksende-URL in deine Zwischenablage.
2. Logge dich jetzt in die Administration deines Identity Providers ein.
   Erstelle dort einen neuen Client bzw. eine neue Anwendung und gib die "Rücksende-URL" aus Schritt 1 an.
   Fragt dein Identity Provider nach Berechtigungen, Bereichen oder Scopes, wähle dort den Scope "openid" aus.
3. Wenn dein Identity Provider eine Metadaten-Datei anbietet, kannst du den Link zu dieser einfach in Shopware 6 in das Feld "OpenID Connect Konfiguration" kopieren. Die restliche Konfiguration wird dann automatisch abgerufen.
   Sollte dein Identity Provider keine Metadaten-Datei anbieten, lasse das Feld "OpenID Connect Konfiguration" leer und fülle stattdessen in Shopware 6 die Felder "Autorisierungs-Endpunkt", "Token-Endpunkt" und "Benutzer-Info-Endpunkt" aus. Die entsprechenden URLs erhältst du von deinem Identity Provider.
4. Unter "Client-ID" und "Clientschlüssel" gibst du die Client-ID und den Client-Secret ein, welchen dir dein Identity Provider für diesen Client mitgeteilt hat.
5. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
6. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via OpenID Connect verwenden.

1. Mit dem Feld "Name" in Shopware 6 bestimmst du den Text des SSO-Login-Buttons auf der Anmeldeseite für den Administrationsbereich. Wähle hier etwas Eindeutiges, wie etwa "Login mit <Name des Identity Providers>".
   Kopiere nun die generierte Rücksende-URL in deine Zwischenablage.
2. Logge dich jetzt in die Administration deines Identity Providers ein.
   Erstelle dort einen neuen Client bzw. eine neue Anwendung und gib die "Rücksende-URL" aus Schritt 1 an.
   Fragt dein Identity Provider nach einer Metadaten-Datei, findest du den Link zu dieser unter der Rücksende-URL aus Schritt 1.
   Das aktuelle Zertifikat und öffentlicher Schlüssel werden dort ebenfalls angezeigt. Das Zertifikat wird bei Login automatisch innerhalb von 30 Tagen vor Ablauf erneuert.
3. Wenn dein Identity Provider eine Metadaten-XML anbietet, kannst du den Link zu dieser oder dessen Inhalt einfach in Shopware 6 in das Feld "Metadata URL" bzw. "Metadata XML" kopieren. Die restliche Konfiguration wird dann automatisch abgerufen.
   Sollte dein Identity Provider keine Metadaten-XML anbieten, lasse die entsprechenden Felder leer und fülle stattdessen in Shopware 6 die Felder "Entitäts-ID", "Login-URL" und "Zertifikat (PEM)" aus. Die entsprechenden Daten erhältst du von deinem Identity Provider.
4. Damit die Benutzerinfos (Vorname, Nachname, E-Mail, ...) dem Benutzer zugeordnet werden können, gib in Shopware 6 unter Attribut-Zuweisung an, unter welchem Namen die Attribute von deinem Identity Provider übermittelt werden.
   Einige Standard-Zuweisungen sind bereits hinterlegt und können durch das Auswählen und anwenden einer Vorlage schnell und einfach konfiguriert werden.
   Unterstützt dein Identity Provider bspw. nicht die Übermittlung der Zeitzone oder Sprache, können diese Felder einfach leer gelassen werden.
5. Zum Abschluss musst du nun nur noch den SSO-Zugang in Shopware aktivieren. Wechsle wieder zur Plugin-Konfiguration in Shopware 6 und lege den Schalter für deinen erstellten Zugang um (Aktiv) und speichere alle deine Einstellungen.
6. Fertig: Dein Zugang ist erstellt und die definierte Nutzergruppe kann ab sofort den SSO-Login via SAML 2 verwenden.