Einsatzmöglichkeiten
Benutzer können Avendoo® per Single Sign-On (SSO) ohne eine zusätzliche Angabe von Benutzernamen und Passwort aufrufen. Die Authentifizierung besteht hierbei aus zwei Prüfungen: welcher Nutzer fragt an und ist dieser auf die angefragte Ressource berechtigt. Die Authentifizierung erfolgt einmalig an zentraler Stelle (z. B. durch die Anmeldung am Arbeitsplatz) und nicht nochmals zusätzlich beim Aufruf von Avendoo® über die Anmelde-Seite.
Dieses „einmalige Anmelden“ und dann anschließende Nutzen weiterer Programme (z.B. Avendoo®) wird als Single Sign-On (SSO) bezeichnet.
Für SSO ruft der Lernende dann eine URL zum Avendoo®-System auf, an die daraufhin noch Angaben für die SSO-Konfiguration angehangen werden. Als Ergebnis wird dem Lernenden dann nicht die Anmelde-Seite von Avendoo® gezeigt, sondern er/sie ist direkt auf der Startseite des Benutzerbereichs. Ein Service kann hierbei beispielsweise das Avendoo®-System sein.
„Global angemeldet“ bedeutet, dass der Benutzer in einer Umgebung authentifiziert und angemeldet ist. Beispiel für eine solche Umgebung ist die Windows-Domain. SSO ermöglicht somit den Zugriff auf einen Service, indem die Authentifizierung des zugreifenden Benutzers bei einem Identity Provider (IDP) überprüft werden kann. Beispiel für einen IDP ist Active Directory Federation Services (ADFS).
Avendoo® unterstützt folgende SSO-Technologien:
- Security Assertion Markup Language 2.0 (SAML2),
- SCIM 2.0 und
- OpenID Connect.
Auf dieser Seite sind die SSO-Technologien SAML2 und OpenID Connect beschrieben. Ein Kapitel mit SCIM 2.0 folgt demnächst.
Voraussetzungen
Hinsichtlich der SSO-Konfigurationen und IDPs kann es in Avendoo® systemweit nur eine SSO-Konfiguration geben, an der verschiedene IDPs hinterlegt werden. Es ist zu empfehlen, nur ein Standard-IDP pro Mandanten festzulegen. Dafür gibt der Autor einen Wert im Eingabefeld Identity Provider Id ein, d.h. den Präfix der SSO-Konfiguration im Mandanten-Assistenten auf dem Reiter Optionen ein.
Schnell-Überblick für SSO per SAML2
Die Realisierung einer SSO-Schnittstelle erfolgt mit der sogenannten Security Assertion Markup Language 2.0 (SAML2). Das ist ein Protokoll für das Austauschen von Authentifizierungs- und Autorisierungsinformationen zwischen zwei abgesicherten Systemen. Das SAML-Protokoll basiert auf XML.
Der Benutzer, der sich über SSO in der Lernwelt anmeldet, authentifiziert sich über ein bestimmtes Attribut aus den Nutzerdaten. Entweder er authentifiziert sich gegen das Feld „Login“ oder gegen das Feld „IDPUserID“.
SSO-Link aufrufen
Der SSO-Link wird vom Benutzer über den Browser aufgerufen, d.h. der Link zum Avendoo®-System plus Angabe des SSO-Parameters.
Zum IDP umleiten
Durch die Auswertung des SSO-Attributes wird der Benutzer zu seinem/ihrem IDP umgeleitet.
SAML-Antwort bestätigen
Falls dieser Nutzer Benutzer ist, bestätigt der IDP durch eine signierte SAML-Antwort (SAMLResponse), dass der Benutzer global angemeldet ist und eine Session mit dem IDP besteht.
Falls der Benutzer aktuell nicht (am IDP) angemeldet ist, können einige IDPs auch Anmeldedaten abfragen. Das kann bei einem Aufruf des Avendoo®-Systems per SSO von unterwegs oder aus dem Home-Office relevant sein.
Anmeldung ausführen
Über den Browser des Benutzers wird die SAML-Response an das Avendoo®-System weitergeleitet und ausgewertet. Für den Benutzer wird dann eine Anmeldung ausgeführt und anschließend der Benutzerbereich angezeigt.
Schnell-Überblick für SSO per OpenID Connect
Die OpenID Connect Konfiguration wird mit Hilfe der SSO- und Import-Konfiguration erstellt. Es ermöglicht z. B. einen Browser die Identität des Endbenutzers, basierend auf der von einem Autorisierungsserver (analog IDP) durchgeführten Authentifizierung, zu überprüfen (= SSO) und darüber hinaus auch grundlegende Profilinformationen über den Endbenutzer zu erhalten. Damit kann mit OpenID Connect neben dem SSO auch eine Benutzerdatensatz angelegt werden, falls beim Zugriff in Avendoo® noch kein Benutzerdatensatz existiert.
Ab Version 17.49 können Sie beim Anmelden mit OpenID Connect mehrere Benutzerdatenquellen verwenden. Sie können zwischen folgenden drei Optionen im Assistenten SSO- und Import-Konfigurationen wählen:
- Mithilfe der Option 1 können Sie Benutzer ohne Registrierungscode aktualisieren
Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist diese Option eingeschaltet und Sie können sie auswählen.
Wenn neue OpenID Connect Konfigurationen zum Einsatz kommen, ist diese Option ausgeschaltet und Sie können sie nicht auswählen. - Mithilfe der Option 2 können Sie IDP-Provider-ID prüfen
Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist diese Option eingeschaltet und Sie können sie nicht auswählen.
Wenn neue OpenID Connect Konfigurationen zum Einsatz kommen, ist diese Option ausgeschaltet und Sie können sie nicht auswählen. - Mithilfe der Option 3 können Sie die Konfiguration auf aktiv oder inaktiv schalten
Wenn ein alter Datensatz mit den OpenID Connect Einstellungen aus der Systemeinstellung „openidconnect.configuration“ migriert wird, ist diese Option eingeschaltet und Sie können sie nicht auswählen.
Wenn neue OpenID Connect Konfigurationen zum Einsatz kommen, ist diese Option ausgeschaltet und Sie können sie nicht auswählen.
Sie finden Option 3 im Assistenten SSO- und Import-Konfigurationen auf dem Reiter Stammdaten. Sie können in der Übersicht der SSO- und Import-Konfigurationen nach dem Status in der Tabelle schauen, sowie nach dem Status filtern.
SSO-Link aufrufen
Der SSO-Link wird vom Benutzer über den Browser aufgerufen, d.h. der Link zum Avendoo®-System plus Angabe des SSO-Parameters.
Zum IDP umleiten
Durch die Auswertung des SSO-Attributes wird der User zu seinem/ihrem IDP umgeleitet.
Hierbei können sich durch die Option IDP Provider ID prüfen (Unterreiter Attribut-Zuordnung des Reiters Konfiguration im Assistenten SSO- und Import-Konfigurationen) nur Benutzer mit dieser Konfiguration anmelden, bei denen die Identity-Provider-ID übereinstimmt. Falls Sie diese Überprüfung nicht wünschen, deaktivieren Sie bitte das Häkchen im Assistenten SSO- und Import-Konfigurationen.
IDP bestätigt globale Anmeldung und Zurückleitung zu Avendoo®
Falls der Benutzer bereits am IDP authentifiziert ist, bestätigt der IDP, dass der Benutzer global angemeldet ist und eine Session mit dem IDP besteht.
Anschließend wird der Benutzer zu Avendoo® zurückgeleitet. Avendoo® und der IDP kommunizieren, sodass Benutzerdaten ausgetauscht und eine Avendoo®-Anmeldung durchgeführt werden kann.
Anmeldung ausführen
Falls der Benutzer aktuell nicht (am IDP) angemeldet ist, können einige IDPs auch Anmeldedaten abfragen. Das kann bei einem Aufruf des Avendoo®-Systems per SSO von unterwegs oder aus dem Home-Office relevant sein.
Avendoo® und der IDP kommunizieren, sodass Benutzerdaten ausgetauscht und eine Avendoo®-Anmeldung im Benutzerbereich durchgeführt werden kann.
