Zum Hauptinhalt springen
Single Sign-On (SSO) ist in den Tarifen Business und Enterprise verfügbar und ermöglicht eine sichere, zentralisierte Authentifizierung in deiner Organisation. Mit SSO können sich Nutzer mit einem einzigen Satz von Zugangsdaten bei Lovable anmelden – das vereinfacht das Zugriffsmanagement und erhöht die Sicherheit.
Nur vom Dienstanbieter (SP) initiierte Anmeldung: Nutzer müssen den Anmeldevorgang in Lovable (SP) starten.Vom Identity Provider (IdP) initiiertes SSO (Start über eine Kachel im IdP-Dashboard) wird nicht unterstützt.

Unterstützte SSO-Protokolle

Lovable unterstützt sowohl OIDC als auch SAML 2.0 und ermöglicht so die Integration mit allen wichtigen Identity Providern (IdP) wie Okta, Auth0, Microsoft Entra ID (Azure AD) und weiteren.
  • OpenID Connect (OIDC): empfohlen; eine moderne Identitätsschicht auf Basis von OAuth 2.0, die die Überprüfung von Identitäten ermöglicht.
  • SAML (Security Assertion Markup Language) 2.0: XML-basiertes Protokoll zum Austausch von Authentifizierungs- und Autorisierungsdaten, das in Unternehmensumgebungen weit verbreitet ist.

Voraussetzungen

Um deinen Identity Provider über OIDC oder SAML mit Lovable zu verbinden, benötigst du:
  • IdP-Administratorzugriff (Okta, Auth0, Microsoft Entra ID oder ein anderer Provider, den du verwendest)
  • Inhaber- oder Administratorrolle des Lovable-Arbeitsbereichs
  • Eine verifizierte Domain in Lovable

SSO-Einrichtung in Lovable starten

Die SSO-Konfiguration ist eine wechselseitige Einrichtung zwischen Lovable und deinem Identitätsanbieter (IdP):
  • Lovable → IdP: Kopiere die Lovable-URLs und -Einstellungen in deine IdP-App.
  • IdP → Lovable: Kopiere den Issuer, die Metadaten und die Zertifikate deines IdP in Lovable.
Der Workspace-Eigentümer oder ein Administrator kann SSO einrichten. Um zu starten, gehe zu Settings → Workspace → Identity → Add SSO provider und wähle dann OIDC oder SAML.

IdP-Konfigurationsreferenz

Wenn du die Einrichtung deines SSO-Anbieters in Lovable startest, siehst du:
  • Was du in deinem IdP konfigurieren musst (zum Beispiel App-Typ, Scopes und Attributzuordnungen)
  • Lovable-URLs und -Bezeichner, die du eventuell im IdP eintragen musst.
Nutze die folgende Referenz, während du OIDC oder SAML in deinem IdP konfigurierst.
  • Anwendungstyp: Web Application
  • Grant-Typ: Authorization Code
  • Token-Methode: POST (falls konfigurierbar)
  • Redirect-URI, die du kopieren und in deinem IdP eintragen musst: https://auth.lovable.dev/__/auth/handler
  • OAuth-Scopes:
    • Erforderlich: openid, email
    • Empfohlen: profile

Anbieterspezifische Einrichtungsanleitungen

Wenn du Okta, Auth0 oder Microsoft Entra verwendest, findest du anbieterspezifische Dokumentation zur Einrichtung von SSO. Wenn du einen anderen Anbieter verwendest, lies Andere Anbieter konfigurieren. Bevor du beginnst, führe zunächst SSO-Einrichtung in Lovable starten aus, um die Einstellungen und Werte zu erhalten, die du in deinem IdP verwenden musst.

Richte Okta als deinen SSO-Anbieter ein

1

Erstelle eine Anwendung in der Okta Admin Console

  • Unter Applications, klicke auf Create App Integration und wähle OIDC aus. Wähle anschließend den Anwendungstyp Web Application.
  • Gib der App einen Namen, zum Beispiel Lovable OIDC SSO.
2

Konfiguriere die OIDC-Integration

  • Setze Grant type auf Authorization Code.
  • Entferne die standardmäßigen Redirect-URIs.
  • Füge die Lovable-Redirect-URL in Okta unter Sign-in redirect URIs hinzu: https://auth.lovable.dev/__/auth/handler
  • Unter Assignments: Weise die Anwendung den Benutzer:innen/Gruppen zu, die Zugriff auf Lovable haben sollen.
3

Speichere die Anwendung

Klicke auf Save. Deine Anwendung ist jetzt in Okta erstellt.
4

Konfiguriere die Okta Issuer URL

Gehe in Okta zu Sign On → OpenID Connect ID Token, wähle im Issuer-Dropdown Okta URL aus und klicke auf Save.
5

Stelle Lovable deine IdP-Informationen bereit

Kopiere in Okta den folgenden Wert aus dem Tab Sign On und füge ihn in Lovable ein.
  • Okta Issuer URL → Lovable OIDC Issuer URL/Discovery Endpoint
Kopiere in Okta die folgenden Werte aus dem Tab General und füge sie in Lovable ein.
  • Okta Client ID → Lovable OAuth Client ID/Application ID
  • Okta Client Secret → Lovable OAuth Client Secret
6

(Optional) Teste die Konfiguration in Lovable

Klicke in Lovable auf Test configuration. Wenn alles korrekt konfiguriert ist, sollte die Validierung erfolgreich sein.
7

Schließe die OIDC-Anbieterkonfiguration in Lovable ab

Klicke in Lovable auf Configure provider, um die Konfiguration von Okta als deinen OIDC-SSO-Anbieter abzuschließen.

Auth0 als deinen SSO-Provider konfigurieren

1

Anwendung im Auth0 Admin-Dashboard erstellen

  • Unter Applications auf Create application klicken. Wähle den Anwendungstyp Regular Web Applications aus.
  • Gib der App einen Namen, zum Beispiel Lovable OIDC SSO.
  • Klicke auf Create.
2

Allowed Callback URLs konfigurieren

Navigiere in Auth0 zu den Anwendungseinstellungen, füge bei Allowed Callback URLs Folgendes hinzu: https://auth.lovable.dev/__/auth/handler und klicke auf Save.
3

Lovable deine IdP-Informationen bereitstellen

Kopiere in Auth0 die folgenden Werte aus dem Tab Settings und trage sie in Lovable ein.
  • Auth0 Domain → Lovable OIDC Issuer URL/Discovery Endpoint (einschließlich https://)
  • Auth0 Client ID → Lovable OAuth Client ID/Application ID
  • Auth0 Client Secret → Lovable OAuth Client Secret
4

(Optional) Konfiguration in Lovable testen

Klicke in Lovable auf Test configuration. Wenn du alles korrekt konfiguriert hast, sollte die Überprüfung erfolgreich sein.
5

OIDC-Provider-Konfiguration in Lovable abschließen

Klicke in Lovable auf Configure provider, um die Konfiguration von Auth0 als deinen OIDC-SSO-Provider abzuschließen.

Microsoft Entra ID als SSO-Provider konfigurieren

1

Enterprise-Anwendung im Microsoft Entra Admin Center erstellen

  • Unter Enterprise applications wähle New application.
  • Wähle Create your own application und dann Integrate any other application you don’t find in the gallery (Non-gallery).
  • Gib der App einen Namen, zum Beispiel Lovable SAML SSO.
  • Klicke auf Create. Die Anwendung wird nun erstellt.
2

SAML-SSO konfigurieren

Navigiere in Microsoft Entra zur Seite Single sign-on und wähle SAML. Gib unter Basic SAML Configuration Folgendes ein:
  • Identifier (Entity ID): https://auth.lovable.dev/__/auth/handler
  • Reply URL (Assertion Consumer Service URL): https://auth.lovable.dev/__/auth/handler
Lass die anderen Werte leer und klicke auf Save.
3

Lovable deine IdP-Informationen zur Verfügung stellen

Wenn die Anwendung eingerichtet ist, kopiere die folgenden Werte und füge sie in Lovable ein.
  • Microsoft Entra Login URL → Lovable SAML SSO Sign-on URL from your IdP
  • Microsoft Entra Microsoft Entra Identifier → Lovable Identity Provider Entity ID / Issuer
  • Microsoft Entra X509Certificate → Lovable X.509 Signing Certificate (public key)
    Du kannst das Zertifikat (Base 64) herunterladen oder die App Federation Metadata URL in einem neuen Tab öffnen und den Wert von X509Certificate kopieren. Füge den Zertifikatswert zwischen die Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- ein.
4

SAML-Provider-Konfiguration in Lovable abschließen

Klicke in Lovable auf Configure SAML Provider → Confirm & Enable SSO, um die Konfiguration von Microsoft Entra ID als deinen SAML-SSO-Provider abzuschließen.

Andere Provider konfigurieren

Du kannst jeden OIDC- oder SAML-kompatiblen Provider mit Lovable SSO konfigurieren. Bevor du beginnst, führe SSO-Einrichtung in Lovable starten aus, um die Einstellungen und Werte zu erhalten, die du in deinem IdP verwenden musst.
Provider-ZuordnungGängige Feldnamen bei verschiedenen Providern:
  • Redirect URI: Callback URL, Sign-in redirect URI
  • Issuer/Domain: Issuer URL, Authority, Okta domain, Auth0 domain, Tenant domain
  • Client credentials: Client ID und Client Secret
Schritte
1

Vertrauliche OIDC-App erstellen

Erstelle eine neue OIDC-Webanwendung in deinem Identity-Provider.
2

Redirect-URI konfigurieren

Füge unter Redirect/Callback-URLs https://auth.lovable.dev/__/auth/handler hinzu.
3

Erforderliche Scopes aktivieren

Stelle sicher, dass die Scopes openid und email aktiviert sind und bei Bedarf die Zustimmung erteilt wurde.
4

Lovable mit deinen IdP-Informationen versorgen

Kopiere in deinem IdP die folgenden Werte und trage sie in Lovable ein:
  • Domain oder Issuer URL → Lovable OIDC Issuer URL/Discovery Endpoint
  • Client ID → Lovable OAuth Client ID/Application ID
  • Client Secret → Lovable OAuth Client Secret

Fehlerbehebung

Stelle sicher, dass die Redirect-/Callback-URL in deinem IdP exakt https://auth.lovable.dev/__/auth/handler entspricht.
Verwende die OIDC-Issuer-URL des Anbieters (nicht nur die Domain).
  • Für Okta: Kopiere sie aus dem Tab Sign-on
  • Für Auth0: Verwende deine Tenant-Domain.
Gewähre den email-Scope und stelle sicher, dass das Benutzerkonto eine primäre E-Mail-Adresse hat.
Verwende Authorization Code mit einem vertraulichen Client und Client-Secret. Vermeide Implicit- oder reine PKCE-App-Typen.

FAQ

Wenn du dein Konto mit einer anderen Anmeldemethode erstellt hast (z. B. E-Mail/Passwort, Google oder GitHub), musst du dich zuerst über diese Methode anmelden. Sobald du angemeldet bist, navigiere zu Settings → Your account → Link SSO. Dadurch wird dein bestehendes Konto mit dem SSO deines Unternehmens verknüpft.
Wichtig: Wenn du versuchst, dich mit SSO anzumelden, bevor du dein bestehendes Konto verknüpft hast, wird dir ein Fehler angezeigt. Dies ist eine Sicherheitsmaßnahme, um unbefugten Zugriff zu verhindern. Melde dich zuerst mit deiner ursprünglichen Methode an, um den Verknüpfungsprozess abzuschließen.
Lovable unterstützt die branchenüblichen OIDC- und SAML-Protokolle, sodass du jeden SSO-Anbieter integrieren kannst, der diese unterstützt.
Nein. Ein Arbeitsbereich kann jeweils nur einen aktiven SSO-Anbieter konfiguriert haben.
Ja. Der Eigentümer oder Admin des Arbeitsbereichs kann Enforce SSO in Settings → Workspace → Identity aktivieren und die Sitzungsdauer festlegen, um zu konfigurieren, wie lange Nutzer angemeldet bleiben, bevor eine erneute Authentifizierung erforderlich ist (24 Stunden, 48 Stunden oder 7 Tage).Dadurch müssen alle Mitglieder des Arbeitsbereichs SSO für die Authentifizierung verwenden. Externe Mitwirkende und Einladungslinks werden deaktiviert.
Nein. IdP-initiiertes SSO (Start über eine Kachel im IdP-Dashboard) wird nicht unterstützt.Lovable unterstützt ausschließlich vom Dienstanbieter (SP) initiierte Anmeldung. Nutzer müssen die Anmeldung bei Lovable starten.
Lovable unterstützt JIT-Bereitstellung (just-in-time): Benutzerkonten werden automatisch erstellt, wenn sich jemand zum ersten Mal über SSO anmeldet, und sie werden zu deinem Unternehmensarbeitsbereich hinzugefügt.Du kannst außerdem eine Standardrolle für JIT-erstellte Benutzer festlegen (Admin, Editor oder Viewer), die angewendet wird, wenn sie zum ersten Mal über SSO beitreten.
Deine Tenant-ID ist der {tenantId}-Wert, der in deiner SSO-Login-URL verwendet wird:
https://lovable.dev/sso-login/{tenantId}. Er entspricht der SSO-Anmeldekennung, die du beim Einrichten deines SSO-Anbieters in Lovable konfiguriert hast.Du findest sie außerdem unter Settings → Workspace → Identity, nachdem du deinen Anbieter konfiguriert hast.