Einsatzmöglichkeiten
Benutzer können Avendoo® per Single Sign-On (SSO) ohne eine zusätzliche Angabe von Benutzernamen und Passwort aufrufen. Die Authentifizierung besteht hierbei aus zwei Prüfungen: welcher Nutzer fragt an und ist dieser auf die angefragte Ressource berechtigt. Die Authentifizierung erfolgt einmalig an zentraler Stelle (z. B. durch die Anmeldung am Arbeitsplatz) und nicht nochmals zusätzlich beim Aufruf von Avendoo® über die Anmelde-Seite.
Dieses „einmalige Anmelden“ und dann anschließende Nutzen weiterer Programme (z.B. Avendoo®) wird als Single Sign-On (SSO) bezeichnet.
Für SSO ruft der Lernende dann eine URL zum Avendoo®-System auf, an die daraufhin noch Angaben für die SSO-Konfiguration angehangen werden. Als Ergebnis wird dem Lernenden dann nicht die Anmelde-Seite von Avendoo® gezeigt, sondern er/sie ist direkt auf der Startseite des Benutzerbereichs. Ein Service kann hierbei beispielsweise das Avendoo®-System sein.
„Global angemeldet“ bedeutet, dass der Benutzer in einer Umgebung authentifiziert und angemeldet ist. Beispiel für eine solche Umgebung ist die Windows-Domain. SSO ermöglicht somit den Zugriff auf einen Service, indem die Authentifizierung des zugreifenden Benutzers bei einem Identity Provider (IDP) überprüft werden kann. Beispiel für einen IDP ist Active Directory Federation Services (ADFS).
Avendoo® unterstützt folgende SSO-Technologien:
- Security Assertion Markup Language 2.0 (SAML2) und
- OpenID Connect
Voraussetzungen
Hinsichtlich der SSO-Konfigurationen und IDPs kann es in Avendoo® systemweit nur eine SSO-Konfiguration geben, an der verschiedene IDPs hinterlegt werden. Es ist zu empfehlen, nur ein Standard-IDP pro Mandanten festzulegen.
Schnell-Überblick für SSO per SAML2
Die Realisierung einer SSO-Schnittstelle erfolgt mit der sogenannten Security Assertion Markup Language 2.0 (SAML2). Das ist ein Protokoll für das Austauschen von Authentifizierungs- und Autorisierungsinformationen zwischen zwei abgesicherten Systemen. Das SAML-Protokoll basiert auf XML.
Der Benutzer, der sich über SSO in der Lernwelt anmeldet, authentifiziert sich über ein bestimmtes Attribut aus den Nutzerdaten. Entweder er authentifiziert sich gegen das Feld „Login“ oder gegen das Feld „IDPUserID“.
SSO-Link aufrufen
Der SSO-Link wird vom Benutzer über den Browser aufgerufen, d.h. der Link zum Avendoo®-System plus Angabe des SSO-Parameters.
Zum IDP umleiten
Durch die Auswertung des SSO-Attributes wird der Benutzer zu seinem/ihrem IDP umgeleitet.
SAML-Antwort bestätigen
Falls dieser Nutzer Benutzer ist, bestätigt der IDP durch eine signierte SAML-Antwort (SAMLResponse), dass der Benutzer global angemeldet ist und eine Session mit dem IDP besteht.
Falls der Benutzer aktuell nicht (am IDP) angemeldet ist, können einige IDPs auch Anmeldedaten abfragen. Das kann bei einem Aufruf des Avendoo®-Systems per SSO von unterwegs oder aus dem Home-Office relevant sein.
Anmeldung ausführen
Über den Browser des Benutzers wird die SAML-Response an das Avendoo®-System weitergeleitet und ausgewertet. Für den Benutzer wird dann eine Anmeldung ausgeführt und anschließend der Benutzerbereich angezeigt.
Schnell-Überblick für SSO per OpenID Connect
Die OpenID Connect Konfiguration wird mit Hilfe der SSO- und Import-Konfiguration erstellt. Es ermöglicht z. B. einen Browser die Identität des Endbenutzers, basierend auf der von einem Autorisierungsserver (analog IDP) durchgeführten Authentifizierung, zu überprüfen (= SSO) und darüber hinaus auch grundlegende Profilinformationen über den Endbenutzer zu erhalten. Damit kann mit OpenID Connect neben dem SSO auch eine Benutzerdatensatz angelegt werden, falls beim Zugriff in Avendoo® noch kein Benutzerdatensatz existiert.
SSO-Link aufrufen
Der SSO-Link wird vom Benutzer über den Browser aufgerufen, d.h. der Link zum Avendoo®-System plus Angabe des SSO-Parameters.
Zum IDP umleiten
Durch die Auswertung des SSO-Attributes wird der User zu seinem/ihrem IDP umgeleitet.
IDP bestätigt globale Anmeldung und Zurückleitung zu Avendoo®
Falls der Benutzer bereits am IDP authentifiziert ist, bestätigt der IDP, dass der Benutzer global angemeldet ist und eine Session mit dem IDP besteht.
Anschließend wird der Benutzer zu Avendoo® zurückgeleitet. Avendoo® und der IDP kommunizieren, sodass Benutzerdaten ausgetauscht und eine Avendoo®-Anmeldung durchgeführt werden kann.
Anmeldung ausführen
Falls der Benutzer aktuell nicht (am IDP) angemeldet ist, können einige IDPs auch Anmeldedaten abfragen. Das kann bei einem Aufruf des Avendoo®-Systems per SSO von unterwegs oder aus dem Home-Office relevant sein.
Avendoo® und der IDP kommunizieren, sodass Benutzerdaten ausgetauscht und eine Avendoo®-Anmeldung im Benutzerbereich durchgeführt werden kann.
