Skip to main content
server.camp Docs
server.camp Docs
Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Zurück zur Startseite
  1. Dokumentation
  2. /
  3. Dienste
  4. /
  5. Vaultwarden
  6. /
  7. Single Sign-On (SSO) einrichten

Single Sign-On (SSO) einrichten

Feedback zu dieser Seite

Du kannst deine Vaultwarden-Instanz so konfigurieren, dass sich Nutzer per Single Sign-On (SSO) gegen deinen Identity-Provider anmelden. Vaultwarden unterstützt dafür den OpenID-Connect-Standard – und funktioniert daher mit Authentik, Keycloak, Zitadel, Google Workspace, Microsoft Entra ID und anderen OIDC-Providern.

Voraussetzungen

  • Eine aktive Vaultwarden-Subscription auf server.camp
  • Eine erreichbare OIDC-fähige Identity-Provider-Instanz
  • Admin-Zugriff auf beide Systeme

Schritt 1 – OAuth2/OpenID-Provider beim IdP anlegen

Lege bei deinem Identity-Provider eine neue OAuth2/OpenID-Anwendung für Vaultwarden an. Die genaue Vorgehensweise unterscheidet sich je nach Provider – Vaultwarden pflegt eine sehr gute Provider-Anleitung im offiziellen Wiki:

Wichtig ist in jedem Fall: Trage die folgende Redirect-URI beim IdP ein:

https://<deine-vaultwarden-domain>/identity/connect/oidc-signin-callback

Wenn du eine eigene Custom-Domain für Vaultwarden nutzt, ergänze deren Callback-URL zusätzlich.

Notiere dir am Ende Client ID, Client Secret und die Issuer-URL (auch “Authority” oder “OpenID Configuration Issuer” genannt). Die Issuer-URL ist die Basis-URL, unter der /.well-known/openid-configuration erreichbar ist.

Schritt 2 – Vaultwarden im server.camp-Portal konfigurieren

Öffne im Kundenportal die Konfiguration deiner Vaultwarden-Subscription und trage unter “Erweiterte Konfiguration” diese vier Werte ein:

Schlüssel Wert
SSO aktivieren Haken gesetzt
SSO Issuer-URL Issuer-URL aus deinem IdP
SSO Client-ID aus deinem IdP kopiert
SSO Client Secret aus deinem IdP kopiert

Speichern und das Deployment abwarten (ca. 1–2 Minuten). Beim nächsten Login erscheint im Vaultwarden-Web-Vault ein zusätzlicher Button “Enterprise Single Sign-On”.

Optionale Feinabstimmung

Die folgenden Werte sind optional und müssen normalerweise nicht gesetzt werden – Vaultwarden hat sinnvolle Defaults. Setze sie nur, wenn du gezielt davon abweichen willst:

Schlüssel Default Wirkung
nur SSO false Haken setzen, um die klassische Master-Password-Anmeldung zu deaktivieren. Achtung: Sperrt dich aus, wenn der IdP ausfällt.
SSO Scopes email profile Nur überschreiben, wenn dein IdP zusätzliche Claims liefert.
SSO PKCE true PKCE-Flow für erhöhte Sicherheit. Nur deaktivieren, wenn es dein Anbieter erfordert.
SSO mit bestehenen Konten verknüpfen true Verknüpft SSO-Logins über die E-Mail-Adresse mit bestehenden Vaultwarden-Konten.
Unbekannten E-Mail-Verifizierungsstatus zulassen false Ignoriert den Verifizierungsstatus der E-Mail-Adresse des Identity Providers. Nur aktivieren, wenn die E-Mail-Adressen im IdP garantiert stimmen und nicht geändert werden können.

Login-Ablauf für deine Nutzer

  1. Vaultwarden-Web-Vault öffnen
  2. E-Mail-Adresse eingeben und “Enterprise Single Sign-On” klicken
  3. Weiterleitung zum IdP, dort anmelden
  4. Zurück im Vault: Master-Passwort einmalig setzen bzw. eingeben – dieses verschlüsselt weiterhin lokal den Tresor und ist auch bei aktivem SSO erforderlich.

Troubleshooting

  • “redirect_uri mismatch” beim IdP: Prüfe, ob die Redirect-URI exakt – inkl. Pfad und Schrägstrich – beim Provider hinterlegt ist.
  • Kein SSO-Button sichtbar: sso_enabled korrekt auf true? Deployment im Portal abgeschlossen?
  • “Invalid issuer”: sso_authority muss exakt der Issuer-URL aus /.well-known/openid-configuration entsprechen, inklusive abschließendem Slash, falls vorhanden.

Bei weiteren Fragen erreichst du den Support über das Kundenportal.

Vaultwarden – Erste Schritte Wiki.js