Single-Sign-On

Der OAuth- und Open-ID-Connect-Server ermöglicht es anderen Anwendungen IServ zur Anmeldung zu verwenden. Damit Anwendungen IServ zur Anmeldung verwenden können, müssen diese unter Verwaltung -> Module -> OAuth-Server registriert werden.

Hinweis

Für die generelle Verwendung von OAuth muss dem Benutzer das Recht OAuth verwenden zugewiesen sein.

Clients registrieren

Klicken Sie auf Hinzufügen und geben dann die notwendigen Informationen ein.

Allgemein

  • Name: Ein aussagekräftiger Name der die Anwendung beschreibt.

  • Vertrauenswürdig: Hiermit bestimmen Sie, ob eine Loginanfrage der Clientanwendung ohne die Zustimmung des Benutzers direkt akzeptiert wird. Sie sollten diese Option nur auf Ja setzen wenn Sie die Anwendung selber betreiben und sicher gestellt ist das die Informationen nicht ohne Zustimmung an Dritte gelangen können.

  • Client-ID und Client-Geheimnis: Diese Informationen müssen Sie in der Clientanwendung eintragen damit sich diese später authentifizieren kann.

Rechte

Möchten Sie den Zugriff auf die entsprechende Clientanwendung auf Gruppen oder Rollen beschränken, so tragen Sie diese hier entsprechend ein. Wenn Sie diese Felder leer lassen dürfen alle Benutzer auf die Clientanwendung zugreifen.

Beschränkungen

Diese Angaben beschreiben, wie sich die Clientanwendung authentifizieren muss und welche Informationen an den Client übermittelt werden sollen.

Erlaubte Grant-Typen

Mindestens einer der folgenden Typen muss ausgewählt sein damit sich die Clientanwendung anmelden kann.

  • Autorisierungs-Code: Dies ist die vielseitigste Möglichkeit und wird von den meisten Anwendungen unterstützt.

  • Implizit: vereinfachte Variante für Clients, die direkt im Browser ausgeführt werden, z.B. Javascript-basierte Anwendungen

  • Passwort: Hierbei werden der Benutzername und das zugehörige Passwort zur Authentifizierung verwendet. Dies sollte nur genutzt werden wenn die sichere Übertragung dieser Daten garantiert werden kann, z.B. bei intern laufenden Anwendungen

  • Client-Anmeldedaten: Hierbei werden die unter Allgemein erwähnte Client-ID samt Client-Geheimnis für für das Erlangen eines Access Token verwendet.

  • Erneuerungs-Token: Dieses lange gültige Token wird zur Erlangung eines neuen Access Tokens verwendet.

Auf Scopes beschränken

Hiermit bestimmen Sie auf welche Bereiche/Informationen die Clientanwendung zugreifen darf. Wenn Sie keine Auswahl treffen ist der Zugriff auf alle Beriche erlaubt.

  • E-Mail: Die IServ-E-Mail-Adresse des Benutzers.

  • Edupool: Daten, die für die Anbindung an Edupool benötigt werden. Diese Option steht nur zur Auswahl, wenn das Modul Edupool installiert ist.

  • Gruppen: Die Gruppenmitgliedschaften des Benutzers.

  • Profil: Allgemeine Informationen des Benutzers (Vor- und Nachname).

Anwendung

  • Weiterleitungs-URIs: Die URIs auf die weitergeleitet werden soll, wenn die Bestätigung der Anmeldung durch den User erfolgt ist, dient zur Verifizierung, die genaue Weiterleitungs-URI teilt der Client in der Anmeldeanforderung mit. Dies ist in der Dokumentation der Clientanwendung nachzulsesen.

Sonstiges

Weiterführende Informationen und einen guten Einstieg in das Thema OAuth und OpenID-Connect bietet der Atikel unter https://www.heise.de/developer/artikel/Flexible-und-sichere-Internetdienste-mit-OAuth-2-0-2068404.html?seite=all.