SSO / SAML-Setup

SAML 2.0 SSO ist ein Enterprise-Feature. Die Konfiguration ist per-Org; einmal aktiviert, authentifizieren sich Nutzer über deinen IdP und sehen die Moonborn-Passwort-Seite nie.

1. Hole die SP-Metadata

Moonborn belichtet seine SP- (Service-Provider) Metadata unter:

https://api.moonborn.co/v1/auth/sso/saml/metadata?orgId=org_...

Die IdP-seitige Config braucht:

• Entity-ID: https://api.moonborn.co/saml/{orgId}
• ACS-URL: https://api.moonborn.co/v1/auth/sso/saml/acs
• NameID-Format: emailAddress
• Signierte AuthnRequests: erforderlich
• Signierte Responses: erforderlich

2. Pushe die IdP-Metadata zu Moonborn

Hole die Metadata-URL oder XML des IdP, dann:

await client.config.setItem({
  key: 'identity.sso.saml.idp_metadata_url',
  value: 'https://your-idp.example.com/metadata',
  scope: 'org',
  scopeId: 'org_...',
});
 
await client.config.setItem({
  key: 'identity.sso.saml.enabled',
  value: true,
  scope: 'org',
  scopeId: 'org_...',
});

3. Attribut-Mapping

Erforderliche SAML-Attribute:

Optionales Rollen-Attribut (Default editor, wenn abwesend):

roles → 'editor' | 'viewer' | 'admin' | 'billing' | 'auditor'

4. Den Flow testen

SP-initiated: Anmelden auf https://app.moonborn.co/, Arbeits- E-Mail eingeben, an den IdP weiterleiten lassen, authentifiziert zurückkommen.

IdP-initiated: Füge Moonborn als Tile in deinem IdP hinzu; Nutzer klicken es an und landen authentifiziert.

5. Passwörter sperren

Nachdem SSO live ist, deaktiviere Password-Sign-in für die Org, sodass Nutzer sich nur über den IdP authentifizieren können:

await client.config.setItem({
  key: 'identity.credentials.enabled',
  value: false,
  scope: 'org',
  scopeId: 'org_...',
});

Provisioning vs Authentication

SAML handhabt wer sich anmelden kann. Für automatischen User- Lifecycle (Create / Disable bei IdP-Änderungen) paare mit SCIM-Provisioning.

Tarif

Enterprise.

Verwandt

• Enterprise RBAC + SSO use case.
• Workspace + RBAC setup tutorial.