WorkOS-Authentifizierung für TYPO3 v14: SSO, Magic Auth und MCP-Endpoint in einer Extension

Die Extension workos_auth integriert WorkOS AuthKit als vollständige Authentifizierungslösung für Frontend und Backend von TYPO3 v14 – inklusive Enterprise-SSO, Magic Auth, Social Sign-In und einem abgesicherten MCP-Endpoint.

Auf einen Blick

  • WorkOS AuthKit übernimmt die gesamte Authentifizierung für Frontend und Backend von TYPO3 v14 – SSO, MFA, Audit Logs und Admin Portal inklusive.
  • Im Backend stehen Magic Auth (6-stelliger Code), Social Sign-In und „Continue with WorkOS" parallel zum Standard-TYPO3-Login bereit.
  • Ein abgesicherter MCP-Endpoint (/workos-auth/mcp) ermöglicht KI-Agenten authentifizierten Zugriff per Bearer-Token.
  • User-Provisioning erfolgt automatisch: fe_users und be_users werden aus WorkOS-Identitäten angelegt und synchronisiert.
  • Drei Frontend-Plugins: Login (AuthKit-Card), Account Center (Profil, MFA, Sessions) und Team (Einladungen, Admin Portal für SSO/SCIM).

Enterprise-Authentifizierung selbst zu implementieren kostet Zeit, birgt Sicherheitsrisiken und muss dauerhaft gewartet werden. SSO-Protokolle, SCIM-Provisioning, MFA-Flows und Audit Logs sind aufwändig – und für die meisten Projekte kein Kerngeschäft. WorkOS löst dieses Problem als Authentication-as-a-Service: Es liefert Enterprise-SSO, SCIM, MFA, Audit Logs und ein Admin Portal als fertige, gehostete Infrastruktur, ohne dass Auth-Logik im eigenen Projekt gebaut werden muss.

Die TYPO3-Extension workos_auth bringt diese Infrastruktur direkt in TYPO3 v14. Sie ersetzt nicht den Standard-TYPO3-Login, sondern ergänzt ihn: Frontend-Nutzer:innen und Backend-Administrator:innen können sich über WorkOS AuthKit anmelden – mit allen Enterprise-Funktionen, die WorkOS mitbringt.


Inhaltsverzeichnis  

Überblick

Was WorkOS ist und wie die Extension es in TYPO3 v14 integriert.

Funktionen im Detail

Frontend-Plugins, Backend-Login, BE-Module, MCP-Endpoint und Sicherheitsmaßnahmen.

Installation

Composer-Installation und Einrichtung des Setup Assistants.

Fazit

Einschätzung und Dank an WorkOS und die TYPO3-Community.

Überblick  

WorkOS ist ein Authentication-as-a-Service-Anbieter, der vor allem für B2B-SaaS-Produkte entwickelt wurde. Enterprise-SSO (SAML, OIDC), SCIM-Provisioning, MFA, Audit Logs und ein Admin Portal sind als gehostete Services verfügbar. Wer WorkOS nutzt, baut keine eigene Auth-Logik – weder SSO-Protokollverhandlung noch User-Provisioning-Pipelines.

WorkOS AuthKit ist die zugehörige Frontend-Bibliothek, die fertige UI-Komponenten für den gesamten Auth-Flow liefert. Die Extension workos_auth nutzt AuthKit als Grundlage und bettet es in TYPO3 v14 ein – für Frontend-Plugins ebenso wie für den Backend-Login.

User-Provisioning erfolgt automatisch: Aus jeder WorkOS-Identität werden fe_users- bzw. be_users-Datensätze angelegt und bei jeder Anmeldung synchronisiert. Die Verbindung zwischen TYPO3-User und WorkOS-Identität hält die Tabelle tx_workosauth_identity.

Nur für TYPO3 v14

Diese Extension setzt TYPO3 ^14.3 und PHP ^8.2 voraus (CI getestet: PHP 8.2–8.5). Die Abhängigkeit workos/workos-php ^5.0.3 wird via Composer aufgelöst. TYPO3 v14 LTS ist seit dem 21. April 2026 verfügbar. Eine Unterstützung für TYPO3 v13 ist nicht geplant.

Funktionen im Detail  

Die Extension liefert drei Frontend-Plugins:

PluginFunktion
Login (AuthKit-Card)Fertige WorkOS-AuthKit-Komponente für Anmeldung und Registrierung; unterstützt SSO, Social Sign-In, Magic Auth und Passkeys
Account CenterProfilverwaltung, Passwortänderung, MFA-Setup, Session-Übersicht und Organisationsverwaltung für angemeldete Nutzer:innen
TeamEinladungsverwaltung und Admin Portal für SSO-/SCIM-Konfiguration sowie Audit Logs – für Organisations-Administrator:innen

Backend-Module  

Drei Backend-Module ergänzen die Extension:

ModulAufgabe
Setup AssistantGeführte Erstkonfiguration: WorkOS-API-Keys, Redirect-URIs und Client-IDs eingeben
User ManagementÜbersicht aller verknüpften Identitäten (tx_workosauth_identity), Rollen und Synchronisationsstatus
MCP-Server-KonfigurationBearer-Token-Verwaltung für den /workos-auth/mcp-Endpoint

Sicherheitsmaßnahmen  

Die Extension wurde mit PHPStan Level Max analysiert. CSRF-Schutz ist auf allen state-changing Actions aktiv. Open-Redirect-Angriffe werden durch strikte Redirect-URI-Validierung verhindert. Die Lokalisierung umfasst Englisch und Deutsch (XLIFF 2.0 mit ICU-Pluralisierung).

Installation  

Häufige Fragen  

Fazit  

workos_auth bringt Enterprise-Authentifizierung nach TYPO3 v14 – ohne eigene Auth-Logik bauen zu müssen. SSO, Magic Auth, Social Sign-In, MFA, Audit Logs und ein abgesicherter MCP-Endpoint stehen nach Installation und Konfiguration bereit. Für Teams, die TYPO3 in Enterprise-Umgebungen oder mit KI-Agenten betreiben, ist das eine einsatzbereite Grundlage.

Dank

Dank an das WorkOS-Team für die Dokumentation und AuthKit sowie der TYPO3-Community für Tests und Rückmeldungen. Die Extension steht unter der GPL.

Lassen Sie uns über Ihr Projekt sprechen

Standorte

  • Mattersburg
    Johann Nepomuk Bergerstraße 7/2/14
    7210 Mattersburg, Austria
  • Wien
    Ungargasse 64-66/3/404
    1030 Wien, Austria

Dieser Inhalt wurde teilweise mithilfe von KI erstellt.