diff --git a/Sources/ManaCore/Auth/SharedKeychainGroup.swift b/Sources/ManaCore/Auth/SharedKeychainGroup.swift
new file mode 100644
index 0000000..7bec138
--- /dev/null
+++ b/Sources/ManaCore/Auth/SharedKeychainGroup.swift
@@ -0,0 +1,36 @@
+import Foundation
+
+/// Kanonische Cross-App-Keychain-Group für alle nativen mana-e.V.-Apps.
+///
+/// Apps, die diese Group im `keychain-access-groups` Entitlement haben
+/// und denselben String als `ManaAppConfig.keychainAccessGroup`
+/// liefern, teilen ihre Auth-Tokens auf demselben Device. Ein Login in
+/// einer App bedeutet damit: alle anderen mana-Apps starten direkt im
+/// `.signedIn`-Status.
+///
+/// Wird der Wert geändert, müssen ALLE Apps in dieser Liste:
+///   - `project.yml` `keychain-access-groups` Entitlement aktualisieren
+///   - `AppConfig.keychainAccessGroup` aktualisieren
+///   - **plus** Apple-Dev-Portal-Capability "Keychain Sharing" mit
+///     dem neuen Group-Namen aktivieren (sonst OSStatus -34018
+///     errSecMissingEntitlement beim ersten Token-Write)
+///
+/// Apps, die Cross-App-SSO **nicht** wollen (z.B. wenn der Login
+/// bewusst getrennt bleiben soll), setzen `keychainAccessGroup: nil`
+/// und tragen kein `keychain-access-groups` Entitlement.
+public let ManaSharedKeychainGroup = "ev.mana.session"
+
+/// Convenience-Hilfe für SwiftUI-Apps: liefert den Wert, den
+/// `ManaAppConfig.keychainAccessGroup` bekommen muss, damit Cross-App-
+/// SSO greift. iOS resolved den String automatisch über die
+/// Team-ID des installierten Profiles — `$(AppIdentifierPrefix)` muss
+/// im Entitlement-File stehen, im Code reicht der bloße Name.
+///
+/// Pendant zum entitlement-Eintrag:
+///   ```
+///   keychain-access-groups:
+///     - $(AppIdentifierPrefix)ev.mana.session
+///   ```
+public func manaSharedKeychainAccessGroup() -> String {
+	ManaSharedKeychainGroup
+}