Teams und Unternehmen

Entsperren von 1Password mit Okta konfigurieren

Erfahre mehr darüber, wie du 1Password zum Entsperren mit Okta einrichtest.

Mit 1Password Business kannst du deinen Teammitgliedern die Single Sign-On-Authentifizierung (SSO) ermöglichen, indem du Okta mit 1Password über „Mit SSO entsperren“ verbindest.

Entsperren mit SSO beinhaltet keine automatisierte Bereitstellung. Wenn du Nutzer und Gruppen erstellen, Zugriff verwalten und 1Password-Nutzer mit deinem Identitätsanbieter ausschließen möchtest, erfahre mehr darüber, wie du die Bereitstellung mit SCIM automatisierst.

Before you begin

Bevor du beginnst, überprüfe die Überlegungen und Anforderungen zum Entsperren mit SSO.

These steps were recorded in June 2025 and may have changed since. Refer to the Okta Help Center documentation  for the most up-to-date steps.

Schritt 1: Füge die 1Password Business-Anwendung zu Okta hinzu

To get started, sign in to your account on Okta.com  , select Admin in the top right, and follow these steps to set up the app integration:

  1. Wechsele in der Admin-Konsole zu Anwendungen > Anwendungen.
  2. Select Create App Integration.
  3. Wähle OIDC – OpenID Connect als Anmeldemethode aus.
  4. Wähle Native Anwendung als Anwendungstyp aus.
  5. Wähle Weiter aus.
  6. Gib der App einen Namen, wie zum Beispiel „1Password SSO“.
  7. Lass die URIs zur Anmeldeweiterleitung unverändert. Du füllst sie später mit deinen 1Password-Daten aus.
  8. Wähle die Zuweisungen aus, die du verwenden möchtest.
  9. Wähle Speichern aus.

Nachdem du die App-Integration erstellt hast, kopiere deine Client-ID aus dem Abschnitt „Client-Zugangsdaten“ auf der Anwendungsseite. Fahre dann mit dem nächsten Schritt fort, um „Entsperren mit SSO“ in deinem 1Password-Konto zu konfigurieren.

Schritt 2: Entsperren mit SSO konfigurieren

Wichtig

Die Änderungen, die du unten vornimmst, werden erst gespeichert, wenn du dich erfolgreich bei Okta authentifiziert hast. Dies verhindert, dass du den Zugriff auf 1Password verlierst.

2.1: Richte Unlock mit SSO ein

  1. Öffne eine neue Browser-Registerkarte oder ein neues Fenster und melde dich an, bei deinem Konto auf 1Password.com.
  2. Wähle in der Seitenleiste Richtlinien aus.
  3. Wähle Verwalten unter Identitätsanbieter konfigurieren aus.
  4. Folge den Anweisungen auf dem Bildschirm, um „Entsperren mit SSO“ einzurichten.
    • Wenn du nach deiner Kunden-ID gefragt wirst, füge die von dir am Ende von Schritt 1 kopierte ein.
    • Informationen zur Suche deiner bekannten Okta-URL findest du in deiner Okta-Dokumentation. Sie können einem der folgenden Formate folgen: YOUR_OKTA_DOMAIN.okta.com/.well-known/openid-configuration oder YOUR_OKTA_DOMAIN.okta.com/oauth2/default/.well-known/openid-configuration
  5. Wenn du die Seite „Weiterleitungen einrichten“ erreichst, fahre mit Schritt 2.2 fort.

2.2: Konfiguriere die Okta-Anwendung

Go back to the application you created in Okta. Select the General tab, then select Edit in the General Settings section and add the following:

  • Logo: Lade ein Logo hoch, um es mit der Integration zu verknüpfen (optional).
  • Erteilen-Typ: Wähle Autorisierungsode.
  • Weiterleitung-URIs anmelden:
    • Kopiere die erste URI von der Seite „Weiterleitungen einrichten“. Diese Weiterleitung ermöglicht es Nutzern, sich über ihren Browser anzumelden.
    • Kopiere die zweite URI von der Seite „Weiterleitungen einrichten“. Okta sendet die Authentifizierungsantwort und das ID-Token für die Anmeldeanfrage des Nutzers an diese URI und ermöglicht es den Nutzern, sich über die 1Password-Apps anzumelden.
  • Weiterleitung-URIs abmelden: Diese werden von 1Password nicht verwendet, also entferne alle, die standardmäßig gesetzt wurden.

When you’re finished, select Save. You’ll be redirected to the settings page for the app integration.

2.3: Aufgaben und Einstellungen bearbeiten

Wenn du nach der Ersteinrichtung Änderungen an deiner 1Password-Konfiguration „Entsperren mit SSO“ vornimmst, musst du auch die OIDC-Einstellungen deiner Okta-Anwendungsintegration aktualisieren.

Aufgaben:

Wichtig

Du musst dich zunächst selbst der Okta-Anwendung zuweisen, die du gerade erstellt hast, bevor du „Entsperren mit SSO“ in 1Password konfigurieren kannst.

Die E-Mail-Adresse, die du für die Anmeldung bei 1Password verwendest, muss mit der E-Mail-Adresse übereinstimmen, die du für die Anmeldung bei Okta verwendest.

  1. Select the Assignments tab, and select Assign > Assign to People.
  2. Search for the email address associated with your 1Password admin account and select Assign.
  3. Confirm the user information, then select Save and Go Back.
  4. Wähle Fertig aus.

Client-Zugangsdaten:

Select the General tab, and select Edit to change any of the listed options.

Dieser Abschnitt enthält die Client-ID und die Client-Authentifizierungsinformationen für deine App-Integration. Du kannst den Authentifizierungstyp bearbeiten:

  • Client-Authentifizierung: Wähle Keine aus. Diese Option erfordert die Verwendung eines Nachweisschlüssels für Code-Austausch (PKCE) zur zusätzlichen Verifizierung. PKCE stellt sicher, dass das Zugriffstoken nur von dem Client eingelöst werden kann, der es angefordert hat.
  • Nachweisschlüssel für Code-Austausch (PKCE): Prüfe PKCE als zusätzliche Verifizierung erforderlich.

Select Save to commit your Client Credentials changes.

Allgemeine Einstellungen:

Select the General tab, and select Edit to change any of the listed options.

  • Anwendung:
    • Name der App-Integration: Du kannst den Namen bearbeiten, den du bei der Erstellung der App-Integration angegeben hast.
    • Erteilen-Typ: Du kannst den Erteilen-Typ bearbeiten, den du bei der Erstellung der App-Integration angegeben hast.
  • Anmeldung:
    • Weiterleitung-URIs anmelden: Du kannst die URI bearbeiten, die du beim Erstellen der App-Integration angegeben hast. Kopiere die URI von der Seite „Identitätsanbieter konfigurieren“. Das folgende Format wird verwendet, je nachdem, in welcher Region sich dein Konto befindet: https://YOUR_DOMAIN.1password.com/sso/oidc/redirect und onepassword://sso/oidc/redirect.

Select Save to commit your General Settings changes.

2.4: Erforderliche Ansprüche

1Password erfordert Ansprüche zu Betreff, Name und E-Mail von Okta. Bei den Standardeinstellungen von Okta ist keine Aktion deinerseits erforderlich. Standardmäßig stellt Okta einen Betreff-Anspruch bereit und Name und E-Mail-Adresse werden automatisch zugeordnet.

Falls erforderlich, kannst du Okta-Attribute den Attributen der 1Password-App im Profileditor zuordnen. 

2.5: Teste die Verbindung

Sobald du deine Einstellungen konfiguriert hast, wechsele zurück zur Seite „Identitätsanbieter konfigurieren“ und teste die Verbindung. Du wirst zu Okta weitergeleitet, um dich anzumelden, dann zu 1Password weitergeleitet, um dich anzumelden. Dies verifiziert die Verbindung zwischen 1Password und Okta.

Schritt 3: Bestimme, welche Teammitglieder 1Password mit Okta entsperren werden, und setze eine Kulanzfrist

Wichtig

Vorhandene Teammitglieder müssen sich mit ihrem Kontopasswort und ihrem Geheimschlüssel bei 1Password anmelden, bevor sie zu „Entsperren mit SSO“ wechseln. Wenn dein Unternehmen Emergency Kits ausgeschaltet hat oder eine Richtlinie zum Löschen des Browser-Caches hat, könnte dies dazu führen, dass Massen- Wiederherstellungen für Nutzer erforderlich sind, die ihre Anmeldedaten nicht haben.

Teammitglieder werden während des Wiederherstellungsprozesses aufgefordert, sich mit SSO anzumelden.

Nachdem du „Entsperren mit SSO“ konfiguriert hast, wirst du zur Einstellungsseite in deinem 1Password-Konto weitergeleitet. Bevor du deine Einstellungen konfigurierst, musst du Gruppen für die Teammitglieder erstellen, die 1Password mit Okta entsperren:

  1. Erstelle eine angepasste Gruppe.

    Gib der Gruppe zur Klarheit einen aussagekräftigen Namen, wie „Okta SSO“.

  2. Füge Teammitglieder der Gruppe hinzu.

    Wenn du zu einem späteren Zeitpunkt weitere Teammitglieder zum Testen von „Entsperren mit Okta“ einladen möchtest, erstelle für jede weitere Gruppe von Testern eine neue angepasste Gruppe.

Die Gruppe(n), die du erstellst, müssen nicht dauerhaft sein und du kannst schließlich festlegen, dass dein ganzes Team mit SSO entsperrt, sobald einige Gruppen erfolgreich migriert wurden.

3.1: Wähle, wer mit Okta entsperren wird

Wichtig

Nutzer in der Gruppe Eigentümer können nicht mit Okta entsperren und melden sich weiterhin mit ihrem Kontopasswort und Geheimschlüssel bei 1Password an. Dies trägt dazu bei, sie davor zu schützen, ausgesperrt zu werden, falls sie keinen Zugriff auf ihre verknüpften Apps und Browser haben und niemand sie wiederherstellen kann.

Erfahre mehr über die Implementierung eines Wiederherstellungsplans für dein Team.

Standardmäßig ist „Personen, die 1Password mit einem Identitätsanbieter entsperren“ auf „Niemand“ gesetzt. Dies ermöglicht es dir, dein Team schrittweise auf „Entsperren mit Okta“ zu migrieren. Um anzugeben, welche Teammitglieder 1Password mit Okta entsperren, wähle eine der Optionen:

  • Niemand: Um „Mit Okta entsperren“ auszuschalten, wähle Niemand aus.
  • Nur die von dir ausgewählten Gruppen: Nur die Teammitglieder in den von dir ausgewählten Gruppen melden sich bei Okta an. Erfahre mehr darüber, wie du angepasste Gruppen in 1Password Business verwendest.
  • Alle außer: Gruppen, die du ausschließt: Alle Teammitglieder, außer Eigentümern und Gruppen, die du ausschließt, melden sich bei Okta an. Bestehende Nutzer in diesem Bereich werden aufgefordert, zu „Entsperren mit Okta“ zu wechseln. Neue Nutzer, außer denen in ausgeschlossenen Gruppen, verwenden ihren Okta-Nutzernamen und ihr Passwort, wenn sie 1Password beitreten. Eigentümer melden sich mit einem Kontopasswort und einem Geheimschlüssel an.
  • Alle außer: Gäste:: Alle Teammitglieder, außer Eigentümern und Gästen, melden sich bei Okta an Alle bestehenden Nutzer werden aufgefordert, zu „Entsperren mit Okta“ zu wechseln und alle neuen Nutzer verwenden ihren Okta-Nutzernamen und ihr Passwort, wenn sie sich bei 1Password anmelden. Gäste und Eigentümer melden sich mit einem Kontopasswort und einem Geheimschlüssel an.
  • Alle: Gäste und alle Teammitglieder, außer Eigentümern, melden sich mit Okta an. Alle bestehenden Nutzer werden aufgefordert, zu „Entsperren mit Okta“ zu wechseln und alle neuen Nutzer verwenden ihren Okta-Benutzernamen und ihr Passwort, wenn sie sich bei 1Password anmelden.

3.2: Eine Nachfrist festlegen

Teammitglieder, die bereits 1Password-Konten haben, müssen zu „Entsperren mit Okta“ wechseln. Gib die Anzahl der Tage an, bevor die Teammitglieder wechseln müssen. Beachte Folgendes, wenn du die Nachfrist festlegst:

  • Standardmäßig ist die Nachfrist auf 5 Tage festgelegt. Sie kann auf 1 bis 30 Tage festgelegt werden.
  • Die Nachfrist beginnt, wenn ein Administrator eine Gruppe hinzufügt, nachdem er die Option Nur von dir ausgewählte Gruppen, ausgewählt hat oder wenn ein Administrator „Entsperren mit Okta“ für alle im Team konfiguriert. Die Nachfrist wird neben jeder Gruppe angezeigt, die für „Entsperren mit Okta“ konfiguriert ist.
  • Wenn ein Teammitglied zu mehr als einer Gruppe gehört, wird seine Nachfrist durch die erste mit SSO eingerichtete Gruppe bestimmt, auch wenn die Nachfristen für diese Gruppen unterschiedlich sind.
  • Wenn du ein Teammitglied, das Entsperren mit SSO nicht eingerichtet hat, einer Gruppe hinzufügst, deren Nachfrist abgelaufen ist, musst du oder muss ein anderer Administrator das Konto wiederherstellen, damit es sich erneut mit SSO anmelden kann.
  • Wenn du die Länge der Nachfrist bearbeitest, wird sie ab dem ursprünglichen Datum verlängert oder verkürzt, das du für das Entsperren der Gruppe mit SSO konfiguriert hast, .
  • Wenn du nach der Ersteinrichtung weitere Teammitglieder zum Entsperren mit Okta konfigurieren musst, erstelle eine neue angepasste Gruppe mit einer aktiven Nachfrist. Dies stellt sicher, dass neu zugewiesene Teammitglieder ihre Konten nicht wiederherstellen müssen.

Wichtig

Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit Okta“ wechselt, kann es sich nicht auf seinen Geräten bei seinem Konto anmelden und muss einen Administrator kontaktieren, um sein Konto wiederherzustellen. Das Teammitglied wechselt zu „Entsperren mit Okta“ während des Wiederherstellungsprozesses.

Optional: Füge eine 1Password-Kachel zum Okta-Dashboard deines Teams hinzu

Die Integration „Entsperren mit SSO“ für 1Password wird vorerst nicht in den Okta-App-Katalog einbezogen.

Wenn du eine 1Password-Kachel zu den Okta-Dashboards deiner Teammitglieder hinzufügen möchtest, findest du im Okta Help Center die Anleitung zum Erstellen einer Bookmark-App-Integration. 

Du wirst nach einer URL gefragt. Gib <YOURSUBDOMAIN>.1password.com/signin/ ein.

Manage settings

Um deine Einstellungen zu verwalten, melde dich bei deinem Konto auf 1Password.com an, wähle dann Richtlinien in der Seitenleiste aus und wähle Verwalten unter Identitätsanbieter konfigurieren aus.

Konfiguration

Um deine Konfiguration mit Okta zu ändern, wähle Konfiguration bearbeiten aus und folge dann den Anweisungen auf dem Bildschirm, um „Entsperren mit SSO“ einzurichten. Du kannst nur einen Identitätsanbieter einrichten, um mit SSO zu entsperren.

Du kannst eine Identitätsanbieterkonfiguration erst speichern, nachdem du die Verbindung erfolgreich getestet hast. Änderungen werden nicht gespeichert, wenn du dich nicht erfolgreich bei Okta authentifizieren kannst. Dies verhindert, dass du den Zugriff auf 1Password verlierst.

Personenzuweisungen und Biometrie

Wähle Bearbeiten unten auf der Einstellungsseite aus, um zu ändern, welche Nutzer zugewiesen sind, um 1Password mit Okta zu entsperren.

  • Um anzugeben, welche Teammitglieder 1Password mit Okta entsperren, wähle eine Option im Abschnitt Wer 1Password mit einem Identitätsanbieter entsperren kann aus.

    Empfohlen wird „Nur von dir ausgewählte Gruppen“. Erfahre mehr darüber, wie du angepasste Gruppen in 1Password Business verwendest. Um „Entsperren with SSO“ auszuschalten, wähle Niemand aus.

  • Gib die Anzahl der Tage an, bevor Teammitglieder zum Entsperren mit Okta wechseln müssen.

    Die standardmäßige Nachfrist beträgt 5 Tage. Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit Okta“ migriert, muss es seinen Administrator kontaktieren, um sein Konto wiederherzustellen.

  • Um Teammitgliedern das Entsperren mit Touch ID, Face ID, Windows Hello und anderen biometrischen Merkmalen zu ermöglichen, wähle Zulassen, dass Personen 1Password mit biometrischen Merkmalen entsperren. Lege die Anzahl der Tage oder Wochen fest, bevor sie aufgefordert werden, sich erneut bei Okta anzumelden.

    Wenn biometrisches Entsperren eingeschaltet ist, haben deine Teammitglieder bis zum angegebenen Zeitraum offline Zugriff auf 1Password. Nach Ablauf des Zeitraums ist der Zugriff auf den Tresor nur noch online möglich.

Wähle Änderungen überprüfen aus, um deine Auswahl zu verifizieren und wähle dann Speichern aus.

Next steps

Um „Entsperren mit Okta“ selbst zu verwenden, starte als Teammitglied mit 1Password mit Okta entsperren.

Erfahre mehr darüber, wie du 1Password mit Okta entsperren auf allen deinen Geräten verwendest und über verknüpfen von zusätzlichen Apps und Browsern mit deinem Konto.

Tipp

Wenn dein IT-Team eine Richtlinie hat, die Browserdaten beim Schließen eines Browsers löscht, schließe die Anmeldeadresse deines Teams von dieser Richtlinie aus, um sicherzustellen, dass deine Teammitglieder den Zugriff auf ihre verknüpften Browser nicht verlieren.

Du kannst dein Team auch dazu anregen, andere Apps und Browser mit ihren Konten zu verknüpfen, beispielsweise die 1Password-Desktop-App, nachdem sie sich registriert haben oder zum „Entsperren mit SSO“ wechseln.

Unterstützung erhalten

Du kannst deine Client-ID in der Okta Admin Console finden.

Informationen zur Suche deiner bekannten Okta-URL findest du in deiner Okta-Dokumentation. Es kann einem der folgenden Formate folgen: YOUR_OKTA_DOMAIN.okta.com/.well-known/openid-configuration oder YOUR_OKTA_DOMAIN.okta.com/oauth2/default/.well-known/openid-configuration. Das Format kann unterschiedlich sein, wenn du einen angepassten Autorisierungsserver hast.

Wenn ein Teammitglied von einer Gruppe, die mit Okta entsperrt, zu einer Gruppe wechselt, die dies nicht tut, wird es aufgefordert, ein Kontopasswort zu erstellen und sein Emergency Kit herunterzuladen.

Unterstützung erhalten, wenn du zu einem neuen Identitätsanbieter wechseln musst, nachdem du „Entsperren mit SSO“ eingerichtet hast.

Mehr erfahren


Published: