Was ist Single Sign-On (SSO) und warum brauchen KMU es?

SSO bedeutet: Mitarbeitende loggen sich einmal ein (z.B. mit dem Microsoft-Konto) und nutzen dann automatisch alle anderen Apps (Bexio, Slack, Trello, HubSpot, Salesforce) – ohne separate Passwörter. Vorteil: weniger schwache Passwörter, schnelleres Onboarding/Offboarding, MFA zentral durchsetzbar, Audit-Logs an einer Stelle. Für KMU ab 10–15 Mitarbeitenden ist SSO ein klarer Sicherheits- und Effizienzgewinn.

Welcher Identity-Provider passt zu Schweizer KMU?

Microsoft Entra ID (in M365 oft inklusive) gewinnt bei 70% der Schweizer KMU – kostenlos in Business Premium, hoch ausgereift, riesiger App-Katalog. Google Workspace SSO für Google-Häuser. Okta für Enterprise-Anforderungen. JumpCloud als Cross-Platform-Alternative. Authentik / Keycloak für Self-Hosting-Liebhaber. Wichtig: SSO-Lizenzen der Drittapp prüfen („SSO-Tax“).

Was kostet SSO für 30 Mitarbeitende?

Entra ID Free (in M365) reicht für SAML/OIDC-SSO zu Standard-Apps – CHF 0 Aufpreis. Entra ID P1 (für Conditional Access, Self-Service Password Reset, Hybrid AD): CHF 6/User/Mt. = CHF 2’160/Jahr. Okta Workforce Identity ab USD 2 (SSO) bis USD 8 (Adaptive MFA + Lifecycle). JumpCloud ab USD 9/User. Authentik self-hosted: nur Server-Kosten.

Was ist die SSO-Tax und wie umgehe ich sie?

Viele SaaS-Anbieter (Atlassian, HubSpot, Slack, Notion, Zoom) verlangen für SAML-/OIDC-SSO einen Aufpreis – oft den nächsthöheren Tier („Business Plan“). Liste auf sso.tax. Tipps: Anbieter mit kostenfreiem SSO bevorzugen (Microsoft, Google, Cloudflare, Tailscale). Bei kritischen Apps verhandeln. Open-Source-Alternativen prüfen. Oder OIDC ohne offizielles SSO via Plugins/Connector lösen.

SSO Single Sign-On für KMU Schweiz 2026: Entra ID, Okta, JumpCloud

Kurz vorweg: Studien zeigen: Mitarbeitende verwalten im Schnitt 80–100 Passwörter, davon viele schwach oder mehrfach genutzt. Wer beim Off-Boarding 30 verschiedene Tool-Logins manuell deaktivieren muss, vergisst 2–3 davon – ein gefährlicher Schwachpunkt. SSO + Conditional Access + MFA an zentraler Stelle löst beide Probleme. Für die meisten Schweizer KMU mit Microsoft 365 ist das technische Fundament bereits bezahlt – es muss „nur“ richtig konfiguriert werden.

Warum SSO 2026 Standard ist

Eine Identität, ein MFA

User loggen sich einmal mit Konto + MFA ein. Alle SSO-Apps öffnen sich nahtlos. Kein App-spezifisches Passwort, kein App-spezifisches MFA.

Konkret: Phishing-resistente Passkeys auf 1 Konto schützen 30+ Apps. Statt 30× Passwort + 30× MFA.

Off-Boarding in 60 Sekunden

Account in Entra ID / Okta deaktivieren = sofortiger Logout aus allen verbundenen Apps. Keine vergessenen Slack-/Trello-/Bexio-Logins.

Konkret: Mitarbeiter verlässt das Unternehmen Freitag 17:00 – Samstag um 09:00 sind alle Zugänge gesperrt. Auditierbar.

Conditional Access

Regeln pro App: nur aus CH/EU, nur von verwaltetem Gerät, nur mit MFA – pro App granular einstellbar.

Konkret: Bexio-Zugang ja, aber nur aus CH und mit MFA. Salesforce: nur von Intune-verwaltetem Notebook. Keine VPN-Tricks nötig.

Audit & Compliance

Alle Logins, alle App-Zugriffe in einem zentralen Log. revDSG, ISO 27001, ISG-Anforderungen erfüllbar.

Konkret: „Wer hat wann auf was zugegriffen?“ in 3 Klicks beantwortbar – statt in 12 Tools nachsuchen.

Mitarbeiter-Erfahrung

Onboarding-Tag 1: ein Login, alle Tools sofort offen. Self-Service Passwort-Reset, MyApps-Portal mit Lieblings-Apps.

Konkret: Setup-Zeit für neue MA von 4h auf 30 Min. – Tools sind ab Tag 1 produktiv.

Identity-Provider im Vergleich

IdP	Stärke	Preis (Mt./User)	Empfehlung für
Microsoft Entra ID Free	In M365 inkl., SAML/OIDC zu allen Standard-Apps	CHF 0 (in M365)	M365-Häuser bis 25 MA
Microsoft Entra ID P1	Conditional Access, Self-Service Password Reset, Hybrid AD	CHF 6	M365-Häuser ab 25 MA, mit On-Prem AD
Microsoft Entra ID P2	P1 + Identity Protection (Risk-based MFA, PIM)	CHF 9	Compliance-getrieben (FINMA, ISG)
Google Workspace SSO	Wenn Sie Workspace nutzen, SSO bereits inkl.	in WS-Lizenz	Google Workspace-Häuser
Okta Workforce Identity	Marktführer, riesiger App-Katalog, top Lifecycle-Mgmt	USD 2–15	Multi-Cloud / Cross-Stack KMU
JumpCloud	Cross-Platform IdP + Device Mgmt + RADIUS	USD 9 (SSO)	Heterogene KMU (Mac/Linux/Windows mix)
Cloudflare Zero Trust	SSO via E-Mail-OTP / SAML, gratis bis 50 User	USD 0–7	Cloudflare-Stack-Häuser, Web-App-SSO
Authentik / Keycloak	Open Source self-hosted, vollständige Kontrolle	CHF 0 (Server)	IT-affine KMU mit Datenschutz-Fokus

Für die meisten Schweizer KMU gewinnt Entra ID P1: integriert in Microsoft 365 Business Premium, mit Conditional Access und MFA – ein einziger Identity-Provider deckt 90% der Use Cases. Wer auf Google Workspace setzt, nutzt dessen SSO. Okta bleibt der Best-of-Breed-Spezialist für komplexe Multi-Cloud-Stacks. Authentik / Keycloak ist die Wahl für IT-affine KMU mit Datenschutz-Vorgaben.

Achtung: Die SSO-Tax

Viele SaaS-Anbieter verstecken SSO im teuersten Lizenz-Tier („SSO ist Enterprise-Feature“). Das nennt sich SSO-Tax und kann das Tool-Budget massiv verschieben. Beispiele:

Tool	Plan ohne SSO	Plan mit SSO	Aufpreis pro User/Mt.
Slack	Pro CHF 7.25	Business+ CHF 12.50	+ CHF 5.25
Notion	Plus CHF 10	Business CHF 15	+ CHF 5
HubSpot	Starter CHF 30	Pro CHF 90	+ CHF 60
Zoom	Pro CHF 14	Business CHF 19	+ CHF 5
Mailchimp	Standard	Premium	+ ca. CHF 250
Atlassian Jira	Standard CHF 7.75	Premium CHF 15.25	+ CHF 7.50
Microsoft 365	in jedem Plan	in jedem Plan	CHF 0 (kein SSO-Tax)
Cloudflare, Tailscale	inkl.	inkl.	CHF 0 (kein SSO-Tax)

Tipp: Nicht jede App braucht SAML-SSO. Browser-Erweiterung (Bitwarden, 1Password) mit Auto-Fill auf MFA-geschützten Accounts ist eine günstige Alternative für Tools mit hoher SSO-Tax. Für kritische Tools (HR, Finanz, Production) lohnt der Aufpreis.

Einführung in 4 Wochen

Woche 1: App-Inventar erstellen – jedes SaaS-Tool im Einsatz, mit Anzahl Usern und SSO-Fähigkeit. Kritische Apps (Finanz, HR, CRM, ERP) markieren.
Woche 2: IdP wählen (i.d.R. Entra ID, da bereits in M365). Konditionalpolicies definieren: MFA für alle Externen, Geräte-Compliance für sensible Apps.
Woche 3: Top-5-Apps SSO-aktivieren (per SAML/OIDC im IdP konfigurieren). Pilot mit 5–10 Mitarbeitenden, Self-Service-Portal aktivieren.
Woche 4: Restliche Apps anbinden, Off-Boarding-Workflow definieren (Account-Disable + Lizenz-Recall + Mailbox-Litigation-Hold). Mitarbeiter-Schulung.
Ab Monat 2: Conditional Access verfeinern (Risk-based MFA, Geo-Block, Compliance), Passkeys als bevorzugte MFA-Methode rollen, regelmässige Access Reviews.
Nach 6 Monaten: SSO-Coverage prüfen (Ziel: 80%+ aller Apps), Lifecycle-Management (Joiner/Mover/Leaver) automatisieren, Audit-Reports einführen.

Typische Stolpersteine

„Big Bang“-Migration – alle Apps gleichzeitig SSO-aktivieren ist Stress pur. Lieber phasenweise pro Abteilung oder App-Kategorie.
Notfall-Konto vergessen – wenn IdP ausfällt, kommt niemand mehr in die Apps. Ein Break-Glass-Account (Notfall-Admin mit Passwort offline gelagert) ist Pflicht.
MFA für Admins nicht erzwungen – Admins sind das Hauptziel von Phishing. Phishing-resistente MFA (Passkey, FIDO2) für alle Privileged-Accounts ist Pflicht.
Externe / Lieferanten / Praktikanten ignoriert – Guest-Accounts in Entra ID brauchen ebenso Conditional Access. Standardmässig: Externe nur mit MFA, nur kurzfristig, mit Access Review.
Local-Account in M365 / Bexio – User mit lokalem Passwort umgehen SSO. Hartes Aus: alle User über IdP, Local-Logins blockieren.
SSO-Tax nicht eingerechnet – Tool-Lizenzen werden plötzlich 2–3× teurer. Vorher prüfen, ggf. günstigere Tools wählen oder mit Anbieter verhandeln.

Fazit: Identity ist die neue Firewall

Die Sicherheitsperimeter klassischer Firmen-Netze sind durch Cloud, Mobile und Home-Office obsolet. 2026 ist Identität die wichtigste Verteidigungslinie – und SSO mit MFA und Conditional Access ist die zentrale Schaltstelle.

Empfehlung: Entra ID P1 in Microsoft 365 Business Premium reicht in 90% der Schweizer KMU. Phishing-resistente MFA (Passkeys, FIDO2 Security Keys) für alle, Conditional Access für sensible Apps, sauberes Off-Boarding und ein Notfall-Konto. Kosten unter CHF 10/User/Monat – der Schutz, den Sie dafür bekommen, ist um ein Vielfaches grösser.

SSO für Ihr KMU einführen

Wir wählen den passenden IdP, binden Ihre Top-Apps an, schreiben Conditional-Access-Policies und automatisieren Joiner/Mover/Leaver – inkl. Notfall-Konto.

Beratung anfragen

SSO für KMU Schweiz 2026:
Entra ID, Okta, JumpCloud

Warum SSO 2026 Standard ist

Eine Identität, ein MFA

Off-Boarding in 60 Sekunden

Conditional Access

Audit & Compliance

Mitarbeiter-Erfahrung

Identity-Provider im Vergleich

Achtung: Die SSO-Tax

Einführung in 4 Wochen

Typische Stolpersteine

Fazit: Identity ist die neue Firewall

SSO für Ihr KMU einführen

Passende Leistungen für Ihr KMU

SSO für KMU Schweiz 2026: Entra ID, Okta, JumpCloud

Warum SSO 2026 Standard ist

Eine Identität, ein MFA

Off-Boarding in 60 Sekunden

Conditional Access

Audit & Compliance

Mitarbeiter-Erfahrung

Identity-Provider im Vergleich

Achtung: Die SSO-Tax

Einführung in 4 Wochen

Typische Stolpersteine

Fazit: Identity ist die neue Firewall

SSO für Ihr KMU einführen

Passende Leistungen für Ihr KMU

SSO für KMU Schweiz 2026:
Entra ID, Okta, JumpCloud