Enterprise-Authentifizierung selbst zu implementieren kostet Zeit, birgt Sicherheitsrisiken und muss dauerhaft gewartet werden. SSO-Protokolle, SCIM-Provisioning, MFA-Flows und Audit Logs sind aufwändig – und für die meisten Projekte kein Kerngeschäft. WorkOS löst dieses Problem als Authentication-as-a-Service: Es liefert Enterprise-SSO, SCIM, MFA, Audit Logs und ein Admin Portal als fertige, gehostete Infrastruktur, ohne dass Auth-Logik im eigenen Projekt gebaut werden muss.
Die TYPO3-Extension workos_auth bringt diese Infrastruktur direkt in TYPO3 v14. Sie ersetzt nicht den Standard-TYPO3-Login, sondern ergänzt ihn: Frontend-Nutzer:innen und Backend-Administrator:innen können sich über WorkOS AuthKit anmelden – mit allen Enterprise-Funktionen, die WorkOS mitbringt.
Inhaltsverzeichnis
Überblick
Funktionen im Detail
Installation
Fazit
Überblick
WorkOS ist ein Authentication-as-a-Service-Anbieter, der vor allem für B2B-SaaS-Produkte entwickelt wurde. Enterprise-SSO (SAML, OIDC), SCIM-Provisioning, MFA, Audit Logs und ein Admin Portal sind als gehostete Services verfügbar. Wer WorkOS nutzt, baut keine eigene Auth-Logik – weder SSO-Protokollverhandlung noch User-Provisioning-Pipelines.
WorkOS AuthKit ist die zugehörige Frontend-Bibliothek, die fertige UI-Komponenten für den gesamten Auth-Flow liefert. Die Extension workos_auth nutzt AuthKit als Grundlage und bettet es in TYPO3 v14 ein – für Frontend-Plugins ebenso wie für den Backend-Login.
User-Provisioning erfolgt automatisch: Aus jeder WorkOS-Identität werden fe_users- bzw. be_users-Datensätze angelegt und bei jeder Anmeldung synchronisiert. Die Verbindung zwischen TYPO3-User und WorkOS-Identität hält die Tabelle tx_workosauth_identity.
Diese Extension setzt TYPO3 ^14.3 und PHP ^8.2 voraus (CI getestet: PHP 8.2–8.5). Die Abhängigkeit workos/workos-php ^5.0.3 wird via Composer aufgelöst. TYPO3 v14 LTS ist seit dem 21. April 2026 verfügbar. Eine Unterstützung für TYPO3 v13 ist nicht geplant.
WorkOS-MCP-Konfiguration im Backend: Endpoint-Status, Auth-Modus und Discovery-URLs werden direkt im TYPO3-Modul sichtbar, ohne sensible Zugangsdaten im Screenshot offenzulegen.
Funktionen im Detail
Die Extension liefert drei Frontend-Plugins:
| Plugin | Funktion |
|---|---|
| Login (AuthKit-Card) | Fertige WorkOS-AuthKit-Komponente für Anmeldung und Registrierung; unterstützt SSO, Social Sign-In, Magic Auth und Passkeys |
| Account Center | Profilverwaltung, Passwortänderung, MFA-Setup, Session-Übersicht und Organisationsverwaltung für angemeldete Nutzer:innen |
| Team | Einladungsverwaltung und Admin Portal für SSO-/SCIM-Konfiguration sowie Audit Logs – für Organisations-Administrator:innen |
Backend-Module
Drei Backend-Module ergänzen die Extension:
| Modul | Aufgabe |
|---|---|
| Setup Assistant | Geführte Erstkonfiguration: WorkOS-API-Keys, Redirect-URIs und Client-IDs eingeben |
| User Management | Übersicht aller verknüpften Identitäten (tx_workosauth_identity), Rollen und Synchronisationsstatus |
| MCP-Server-Konfiguration | Bearer-Token-Verwaltung für den /workos-auth/mcp-Endpoint |
Sicherheitsmaßnahmen
Die Extension wurde mit PHPStan Level Max analysiert. CSRF-Schutz ist auf allen state-changing Actions aktiv. Open-Redirect-Angriffe werden durch strikte Redirect-URI-Validierung verhindert. Die Lokalisierung umfasst Englisch und Deutsch (XLIFF 2.0 mit ICU-Pluralisierung).
Installation
composer config repositories.workos vcs https://github.com/dirnbauer/workos.git
composer require dirnbauer/workos:@devHäufige Fragen
Fazit
workos_auth bringt Enterprise-Authentifizierung nach TYPO3 v14 – ohne eigene Auth-Logik bauen zu müssen. SSO, Magic Auth, Social Sign-In, MFA, Audit Logs und ein abgesicherter MCP-Endpoint stehen nach Installation und Konfiguration bereit. Für Teams, die TYPO3 in Enterprise-Umgebungen oder mit KI-Agenten betreiben, ist das eine einsatzbereite Grundlage.
Dank an das WorkOS-Team für die Dokumentation und AuthKit sowie der TYPO3-Community für Tests und Rückmeldungen. Die Extension steht unter der GPL.