Info |
---|
Das OAuth-Login über Drittdienste ermöglicht es, die Benutzerdatenbank eines Drittdienstes zu nutzen, um Benutzer:innen im PEIQ PORTAL zu authentifizieren und ggf. zu autorisieren. In diesem Fall ist das PORTAL der OAuth-Client, während der Drittdienst als OAuth-Server dient. |
Funktionalitäten des OAuth-Login über Drittdienste
Authentifizierung im PORTAL über ein externes System
Abgleich der benutzerbezogenen Zugangsdaten mit den hinterlegten Daten im externen System
Inhaltsverzeichnis
Expand | ||||
---|---|---|---|---|
| ||||
|
Workflows
Nach erfolgter Autorisierung seitens des Benutzers bzw. der Benutzerin der Benutzer:innen im Drittdienst, verwendet das PEIQ PORTAL Name und Mailadresse der Drittdienst-Datenbank, um ein lokales (= in der Datenbank des PORTALs gespeichertes) Benutzer:innen-Konto zu erstellen. Alle vom Drittdienst übertragenen Daten können in der PEIQ-Anwendung bearbeitet werden. Es werden in der Regel vom PEIQ PORTAL aktiv keine Daten an den Drittdienst zurückübertragen.
Grundsätzlich können OAuth-Login mit Drittdiensten auf zwei Weisen im PORTAL implementiert werden:
- Einfacher OAuth-2.0-Login (Standard)
- Pseudo-SSO-Workflow: Prüfung & Aktualisierung der Daten des PEIQ-Benutzers bzw. der PEIQ-Benutzerin Benutzer:in anhand der Datenbank des Drittdienstes bei jedem Login
Registrierung / Erstmaliger Login mit einem Drittdienst im PORTAL
- Einfacher OAuth-2.0-Login (Standard)
In der Regel wird auf der Registrieren-Seite ein Button "Mit [Drittdienst]
anmelden" angeboten. Mit Klick auf den Button wird die Registrierung gestartet.
- Pseudo-SSO-Workflow
Das PORTAL-Formular zur Registrierung wird hier in der Regel ausgeblendet und nicht verlinkt. Stattdessen wird der oder bzw. die Benutzer:in auf die Registrierungsmöglichkeit des Drittdienstes verwiesen.
Beim erstmaligen Anmelden (= Registrierung) über den Drittdienst wird nach Autorisierung durch den oder die Benutzer:in im Drittdienst ein Token an das PORTAL übermittelt, welches mindestens diese Daten enthält:
Name
Vorname
E-Mail-Adresse
Fremd-ID
im Drittdienst
Je nach Drittdienst werden weitere Daten über das Token übertragen und können ggf. zur Erstellung des PORTAL-Benutzers bzw. der PORTAL-Benutzerin genutzt werden. Es ist ebenfalls möglich, entsprechende Mappings (z. B. Anrede im Drittdienst auf Geschlecht im PORTAL) zu hinterlegen.
Prüf-Workflows
Das PORTAL prüft dann, ob ein:e entsprechende:r Benutzer:in bereits im PORTAL angelegt wurde. Dabei werden folgende Prüfschritte durchlaufen:
- Einfacher OAuth-2.0-Login (Standard)
Es wird überprüft, ob bereits ein:e Benutzer:in mit der entsprechenden
Fremd-ID
existiert. Falls ja, wird der oder die Benutzer:in eingeloggt.Es wird überprüft, ob bereits ein:e Benutzer:in mit der entsprechenden
E-Mail-Adresse
existiert. Falls ja, wird der oder die Benutzer:in eingeloggt und über dieFremd-ID
mit dem Drittdienst-Konto entsprechend verknüpft.Es wird ein:e lokale:r Benutzer:in mit Profilseite im PORTAL angelegt. Hierfür werden die Daten aus dem Token verwendet.
Note |
---|
Bei dieser Implementierung sind die Daten des Benutzers bzw. der Benutzerin im PORTAL unabhängig von den Angaben im Drittdienst. Die übertragenen Benutzer:innendaten (außer der ID) können im PEIQ PORTAL nachträglich geändert werden. |
- Pseudo-SSO-Workflow
Es wird überprüft, ob bereits ein:e Benutzer:in mit der entsprechenden
Fremd-ID
existiert. Falls ja, wird der oder die Benutzer:in eingeloggt und seine/ihre PORTAL-Daten mit den Daten aus dem Token überschrieben.Es wird überprüft, ob bereits ein:e Benutzer:in mit der entsprechenden
E-Mail-Adresse
existiert. Falls ja, wird der oder die Benutzer:in eingeloggt, seine/ihre PORTAL-Daten mit den Daten aus dem Token überschrieben und über dieFremd-ID
mit dem Drittdienst-Konto entsprechend verknüpft.Es wird ein:e lokale:r Benutzer:in mit Profilseite im PORTAL angelegt. Hierfür werden die Daten aus dem Token verwendet.
Note |
---|
Es empfiehlt sich bei dieser Implementierung, die Bearbeitung der Benutzer:innendaten über die Account-Einstellungen im PEIQ PORTAL zu sperren. |
Der Drittdienst-Account und der PEIQ-Account sind über die Fremd-ID miteinander verknüpft.
Login
- Einfacher OAuth-2.0-Login (Standard)
In der Regel wird auf der Login-Seite ein Button "Mit [Drittdienst]
anmelden" angeboten. Mit Klick auf den Button wird der Login gestartet.
- Pseudo-SSO-Workflow
Das PORTAL-Formular zum Login im PORTAL wird hier in der Regel ausgeblendet und nicht verlinkt. Stattdessen wird der oder die Benutzer:in direkt auf den Login über den Drittdienst verwiesen.
Nach erfolgreicher Registrierung kann sich der oder die Benutzer:in mit dem
[Drittdienst]
einloggen.Klickt der oder die Benutzer:in auf den Login-Link bzw. Button und ist noch nicht im Drittdienst angemeldet, wird diese:r zuerst auf die Drittdienst-Login-Seite weitergeleitet, um dort Benutzername und Passwort einzugeben.
Nach erfolgreicher Authentifizierung des Benutzers bzw. der Benutzerin Benutzer:in im Drittdienst erhält das PORTAL wiederum ein entsprechendes Token (siehe Registrierung).
Auch beim Login mit dem Drittdienst laufen in der Regel die unter Registrierung beschriebenen Prüf-Workflows.
Passwort vergessen
- Einfacher OAuth-2.0-Login (Standard)
Der oder die Benutzer:in kann sich zusätzlich (über die Passwort vergessen-Funktion) ein weiteres Passwort in PEIQ vergeben. Damit steht ihm oder ihr ebenfalls der PORTAL-Login zur Verfügung.
- Pseudo-SSO-Workflow
Die Passwort-vergessen-Funktion wird bei diesem Workflow in der Regel deaktiviert.
Account-Einstellungen: Account (Persönliche Daten)
- Einfacher OAuth-2.0-Login (Standard)
Bei dieser Implementierung sind die Daten des Benutzers bzw. der Benutzerin Benutzer:in im PORTAL unabhängig von seinen/ihren Angaben im Drittdienst. Die übertragenen Benutzer:innendaten Benutzerdaten (außer der ID) können im PEIQ PORTAL nachträglich geändert werden.
- Pseudo-SSO-Workflow
Es empfiehlt sich bei dieser Implementierung, die Bearbeitung der Benutzer:innendaten Benutzerdaten über die Account-Einstellungen im PEIQ PORTAL zu sperren.
Mehr dazu unter: https://peiq.atlassian.net/wiki/spaces/PPSD/pages/303956511/Account-Einstellungen#%5BhardBreak%5DKonfigurationsm%C3%B6glichkeit-bei-SSO
Account-Einstellungen: Verknüpfte Accounts
- Einfacher OAuth-2.0-Login (Standard)
Mehr dazu unter: https://peiq.atlassian.net/wiki/spaces/PPSD/pages/303956511/Account-Einstellungen#Verkn%C3%BCpfte-Accounts-OPTIONAL
- Pseudo-SSO-Workflow
Es empfiehlt sich bei dieser Implementierung, den Reiter Verknüpfte Accounts auszublenden.
Verwandte Seiten
Filter by label (Content by label) | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
|
Include Page | ||||
---|---|---|---|---|
|
Nur für PEIQ-Mitarbeiter:innen
https://peiq.atlassian.net/wiki/x/84A1Jw