Was SSO ist und warum TenderB-Sitzungen manchmal früh enden
Mit Single Sign-On (SSO) loggen Sie sich in TenderB über den Identity Provider Ihrer Organisation ein — bei den meisten unserer Kunden ist das Microsoft Entra ID (früher Azure AD), gelegentlich Google Workspace. Ihr Identity Provider authentifiziert Sie und gibt ein Token an TenderB aus. TenderB vertraut diesem Token, bis es abläuft, und leitet Sie dann zurück zum Identity Provider zur erneuten Authentifizierung.
Die Lebensdauer dieses Tokens — und damit, wie lange Ihre TenderB-Sitzung läuft, bevor SSO erneut eine Anmeldung verlangt — wird von Ihrem Microsoft-Tenant entschieden, nicht von TenderB. Die Microsoft-Defaults (dokumentiert auf der Microsoft-Learn-Seite zu Token-Lebenszeiten) sind ungefähr:
Access Tokens halten 60–90 Minuten, randomisiert, mit einem Default von rund 75 Minuten.
Conditional-Access-Sign-in-Frequency-Policies können eine Re-Authentifizierung in deutlich kürzerem Takt erzwingen — bei Bedarf alle paar Minuten, wenn Ihr Admin das so setzt.
Continuous Access Evaluation (CAE) kann die Sitzungsdauer verlängern, kann aber auch eine sofortige Neuauthentifizierung erzwingen, wenn sich etwas ändert (Netzwerkwechsel, erhöhtes Anmelderisiko, Passwortänderung, Gruppen-Mitgliedschaftswechsel etc.).
Referenz: Microsofts Dokumentationsseite Configurable token lifetimes in Microsoft Entra ID.
Werden Sie häufiger als einmal pro Stunde zur erneuten Anmeldung aufgefordert, liegt es fast immer an einem dieser drei Punkte:
Ihre IT-Abteilung hat eine Conditional-Access-Policy, in der Sign-in Frequency für Cloud-Apps unter 60 Minuten gesetzt ist.
CAE greift — meist weil Ihr Laptop das Netzwerk wechselt (WLAN ↔ VPN ↔ Ethernet) oder sich Ihr Sicherheitskontext ändert.
Die randomisierte Default-Tokenlebensdauer landet am unteren Ende des 60–90-Minuten-Fensters.
Warum TenderB das nicht von unserer Seite ändern kann
TenderB weiß über Ihre Sitzung nur, was Ihr Identity Provider uns mitteilt. Sagt Microsoft „Dieses Token ist abgelaufen" oder „Dieser Benutzer muss erneut authentifizieren", honorieren wir das — auf TenderB-Seite gibt es keine Einstellung, die Microsofts Token-Policy überschreibt. Die Lösung muss von einer von zwei Stellen kommen:
Ihr Entra-Admin lockert die Policy, oder
Sie umgehen SSO über den One-time login link.
Option A — Entra-Admin um Policy-Anpassung bitten
Der saubere Fix sitzt in Ihrem Microsoft-Tenant. Bremsen wiederholte Logouts Ihr Team aus, schicken Sie Ihrem IT- oder Entra-Admin etwa folgende Anfrage:
„Unser Team nutzt TenderB (eine SaaS-Anwendung, erreichbar per SSO aus unserem Entra-Tenant). Die aktuelle Conditional-Access-Sign-in-Frequency-Policy loggt uns während aktiver Nutzung mehr als einmal pro Stunde aus. Kannst du die Sign-in Frequency für TenderB auf 8 Stunden anheben oder TenderB von der Policy zur persistenten Re-Authentifizierung ausnehmen, passend zum Produktivitätsbedarf des Teams?"
Ihr Admin kann das pro Anwendung setzen, ohne das globale Sicherheitsniveau zu senken — Microsofts Referenz ist die oben genannte Configurable-token-lifetimes-Seite. Das ist die richtige strukturelle Lösung.
Option B — One-time login link nutzen, um SSO zu umgehen
Können Sie auf eine Policy-Änderung nicht warten (Deadline, Admin nicht erreichbar, Organisation will die Policy nicht ändern), loggen Sie sich ohne SSO über einen Magic Link ein.
Öffnen Sie den TenderB-Login-Bildschirm.
Geben Sie Ihre E-Mail-Adresse im Feld Email ein.
Klicken Sie unten im Login-Formular auf One-time login link (neben Reset password).
Schauen Sie in Ihren Posteingang — Sie erhalten von TenderB eine E-Mail mit einem Einmal-Login-Link.
Klicken Sie auf den Link. Sie sind nun direkt in TenderB eingeloggt — mit einer Sitzung, die unabhängig von der Lebensdauer Ihres Entra-Tokens ist.
Diese Sitzung läuft so lange wie eine normale TenderB-Sitzung — typischerweise mehrere Tage — und wird nicht durch Microsofts Token-Ablauf-Redirects unterbrochen, weil kein SSO-Token im Spiel ist.
Wann der One-time login link die richtige Wahl ist
Sie sind in der Deadline-Phase und können sich keinen Redirect mitten im Schreiben leisten.
Ihr Laptop wechselt häufig das Netzwerk (Pendeln, Hot-Desking, VPN ↔ direkt).
Sie präsentieren oder teilen den Bildschirm und wollen kein Login-Fenster mitten in der Demo.
Wann SSO trotzdem die bessere Wahl bleibt
Sie möchten, dass Ihr TenderB-Zugang automatisch entzogen wird, sobald Sie die Organisation verlassen. (SSO leistet das; der Magic Link erst, wenn Ihre E-Mail aus dem Workspace entfernt wird.)
Ihre Sicherheits-Policy verlangt, dass jede Anmeldung über Entra läuft (Audit/Compliance).
Sie sind Admin und müssen MFA bei jedem Login erzwingen.
Der One-time login link ist ein Produktivitäts-Workaround, kein Sicherheits-Bypass. Sie brauchen weiterhin Zugriff auf Ihren E-Mail-Posteingang, umgehen aber die Conditional-Access-Policies Ihrer Organisation. Merken Sie, dass Sie ihn täglich nutzen, ist das ein klares Signal, Ihren Entra-Admin zu bitten, die Sign-in Frequency für TenderB zu lockern — statt sich auf den Link zu verlassen.
Wenn der Link nicht ankommt
Schauen Sie in den Spam-/Junk-Ordner.
Prüfen Sie, dass die eingegebene E-Mail-Adresse exakt der in Ihrem TenderB-Workspace entspricht.
Manche Organisationen filtern „Magic-Link"-E-Mails am Mail-Gateway. Tut Ihre das, ist Option A (Admin-Policy-Anpassung) der einzige Weg — einen SSO-Bypass-Workaround, der nicht von der Mail-Zustellung abhängt, gibt es nicht.
Workspace-Admins können den E-Mail-Login aus Sicherheitsgründen deaktivieren. Hat Ihr Admin das getan, ist der One-time login link zwar weiterhin im Formular sichtbar, aber die Mail wird nicht versendet. Wenden Sie sich an Ihren TenderB-Workspace-Admin.