# SSO auf Organisationsebene

Verwalten Sie die einmalige Anmeldung (SSO) für alle Konten in Ihrer Organisation.

Wenn Ihr Unternehmen mehrere Stripe-Konten nutzt und zur Nutzerauthentifizierung die einmalige Anmeldung (SSO) verwendet, können Sie SSO mit Stripe Organizations zentral konfigurieren. Konten, für die SSO bereits konfiguriert ist, können Sie zu einer Organisation hinzufügen oder SSO auch erst für alle Ihre Konten konfigurieren, nachdem Sie eine Organisation erstellt haben.

Informationen zum erstmaligen Einrichten von SSO auf Stripe finden Sie unter [Single Sign-On](https://docs.stripe.com/get-started/account/sso.md).

## Konten hinzufügen, für die Sie SSO bei einer Organisation konfiguriert haben

Wenn Sie mehrere Konten mit konfiguriertem SSO haben, können Sie deren individuelle SSO-Einstellungen in Ihrer Organisation nicht beibehalten. Sie müssen [mehrere Authentifizierungs-Apps](https://docs.stripe.com/get-started/account/orgs/sso-consolidation.md) in einer einzigen Authentifizierungs-App für mehrere Konten konsolidieren.

Wenn Sie Ihre Organisation erstellen, konsolidiert Stripe die SSO-Einstellungen Ihrer Konten unter den [Single-Sign-On](https://dashboard.stripe.com/org/settings/security/sso)-Einstellungen Ihrer Organisation. Dadurch werden die SSO-Einstellungen in jedem einzelnen Konto auf schreibgeschützt aktualisiert. Sie können sich weiterhin bei einzelnen Konten anmelden, müssen jedoch Einstellungen wie verifizierte Domains und Durchsetzung ausschließlich über die Organisation bearbeiten.

Nachdem Sie Ihre Organisation mit SSO eingerichtet haben, können Sie Konten mit derselben SSO-Konfiguration wie Ihre Organisation hinzufügen. Wenn SSO in der Einrichtung Ihrer Organisation auf **Optional** gesetzt ist, können Sie auch Konten hinzufügen, die SSO nicht verwenden. Sie können keine Konten hinzufügen, die eine separate SSO-Authentifizierung haben.

## SSO für die gesamte Organisation konfigurieren

Anstatt SSO in jedem Konto einzeln einzurichten, können Sie SSO zentral für alle Konten in Ihrer Organisation konfigurieren. Alle auf Organisationsebene verifizierten Domains oder SSO-Konfigurationen gelten für alle Konten innerhalb einer Organisation.

### SSO-Einstellungen für jede Domain

Sie können separate SSO-Einstellungen für jede verifizierte Domain konfigurieren oder dieselben SSO-Einstellungen für mehrere Domains wiederverwenden. So können Sie beispielsweise innerhalb einer Organisation SSO für eine Domain benötigen und SSO für eine andere Domain auf **Optional** setzen oder SSO vollständig deaktivieren, um die Anmeldung per E-Mail und Passwort zu aktivieren.

### Mehrere Identitätsanbieter

Stripe erlaubt Ihnen, mehrere Identitätsanbieter zu haben, wenn jede verifizierte Domain nur einen Identitätsanbieter hat. Sie können beispielsweise Nutzer/innen mit einer E-Mail-Adresse von `rocketrides.com` so konfigurieren, dass sie sich bei Okta authentifizieren. Nutzer/innen mit E-Mail-Adressen von `rocketdelivery.com` konfigurieren Sie hingegen so, dass die Authentifizierung mit Entra-ID abläuft.

## Zuweisen von Rollen auf Kontoebene und auf Organisationsebene

SSO auf Organisationsebene funktioniert ähnlich wie das SSO für ein einzelnes Konto. Wenn Stripe eine SAML-Assertion von einem Identitätsanbieter erhält, prüfen wir die in dieser SAML-Assertion angegebenen Konten und Rollen. Basierend auf diesen Informationen weist Stripe der Nutzerin/dem Nutzer Rollen zu. Sie können eine einzelne Rolle auf Kontoebene, eine einzelne Rolle auf Organisationsebene oder eine Kombination aus Rollen auf Kontoebene und Organisationsebene zuweisen.

Wenn Sie diese Rollen zuweisen, verwenden Sie die Präfixe `Stripe-Role-{accountID}` oder `Stripe-Role-{org-id}` für die Konto- bzw. Organisations-IDs. Wir weisen Ansprüche, die eine Konto-ID enthalten auf Kontoebene zu, und Ansprüche, die Organisations-IDs enthalten auf Organisationsebene zu. Erfahren Sie mehr über [Rollen auf Konto- und Organisationsebene](https://docs.stripe.com/get-started/account/orgs/team.md).

Im folgenden Snippet einer SAML-Assertion werden für die Nutzerin/den Nutzer drei Ansprüche angegeben:

1. In `acct_ONE` wird dem/der Nutzer/in die Rolle `developer` zugewiesen
1. In `acct_TWO` wird dem/der Nutzer/in die Rolle `developer` zugewiesen
1. In `org_ALPHA` wird dem/der Nutzer/in die Rolle `view-only` zugewiesen

In Folge dieser Assertionen gewährt Stripe dieser Nutzerin/diesem Nutzer eine Sitzung mit der Rolle `Entwickler/in` in den Konten `acct_ONE` und `acct_TWO`. Zusätzlich weisen wir die Rolle `view_only` in der Organisation `org_ALPHA` und allen Konten innerhalb dieser Organisation zu:

```
      <saml2:Attribute Name="Stripe-Role-acct_ONE" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="Stripe-Role-acct_TWO" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="Stripe-Role-org_ALPHA" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">view_only</saml2:AttributeValue>
      </saml2:Attribute>
    </saml2:AttributeStatement>
```