Das OAuth-Login über Drittdienste ermöglicht es, die Benutzerdatenbank eines Drittdienstes zu nutzen, um Benutzer:innen im PEIQ PORTAL zu authentifizieren und ggf. zu autorisieren. In diesem Fall ist das PORTAL der OAuth-Client, während der Drittdienst als OAuth-Server dient.
Funktionalitäten des OAuth-Login über Drittdienste
Authentifizierung im PORTAL über ein externes System
Abgleich der benutzerbezogenen Zugangsdaten mit den hinterlegten Daten im externen System
Inhaltsverzeichnis
Workflows
Nach erfolgter Autorisierung seitens des Benutzers bzw. der Benutzerin im Drittdienst, verwendet das PEIQ PORTAL Name und Mailadresse der Drittdienst-Datenbank, um ein lokales (= in der Datenbank des PORTALs gespeichertes) Benutzer-Konto zu erstellen. Alle vom Drittdienst übertragenen Daten können in der PEIQ-Anwendung bearbeitet werden. Es werden in der Regel vom PEIQ PORTAL aktiv keine Daten an den Drittdienst zurückübertragen.
Grundsätzlich können OAuth-Login mit Drittdiensten auf zwei Weisen im PORTAL implementiert werden:
- Einfacher OAuth-2.0-Login (Standard)
- Pseudo-SSO-Workflow: Prüfung & Aktualisierung der Daten des PEIQ-Benutzers bzw. der PEIQ-Benutzerin anhand der Datenbank des Drittdienstes bei jedem Login
Registrierung / Erstmaliger Login mit einem Drittdienst im PORTAL
- Einfacher OAuth-2.0-Login (Standard)
In der Regel wird auf der Registrieren-Seite ein Button "Mit [Drittdienst]
anmelden" angeboten. Mit Klick auf den Button wird die Registrierung gestartet.
- Pseudo-SSO-Workflow
Das PORTAL-Formular zur Registrierung wird hier in der Regel ausgeblendet und nicht verlinkt. Stattdessen wird der oder die Benutzer:in auf die Registrierungsmöglichkeit des Drittdienstes verwiesen.
Beim erstmaligen Anmelden (= Registrierung) über den Drittdienst wird nach Autorisierung durch den oder die Benutzer:in im Drittdienst ein Token an das PORTAL übermittelt, welches mindestens diese Daten enthält:
Name
Vorname
E-Mail-Adresse
Fremd-ID
im Drittdienst
Je nach Drittdienst werden weitere Daten über das Token übertragen und können ggf. zur Erstellung des PORTAL-Benutzers bzw. der PORTAL-Benutzerin genutzt werden. Es ist ebenfalls möglich, entsprechende Mappings (z. B. Anrede im Drittdienst auf Geschlecht im PORTAL) zu hinterlegen.
Prüf-Workflows
Das PORTAL prüft dann, ob ein:e entsprechende:r Benutzer:in bereits im PORTAL angelegt wurde. Dabei werden folgende Prüfschritte durchlaufen:
- Einfacher OAuth-2.0-Login (Standard)
Es wird überprüft, ob bereits ein:e Benutzer:in mit der entsprechenden
Fremd-ID
existiert. Falls ja, wird der oder die Benutzer:in eingeloggt.Es wird überprüft, ob bereits ein:e Benutzer:in mit der entsprechenden
E-Mail-Adresse
existiert. Falls ja, wird der oder die Benutzer:in eingeloggt und über dieFremd-ID
mit dem Drittdienst-Konto entsprechend verknüpft.Es wird ein:e lokale:r Benutzer:in mit Profilseite im PORTAL angelegt. Hierfür werden die Daten aus dem Token verwendet.
Bei dieser Implementierung sind die Daten des Benutzers bzw. der Benutzerin im PORTAL unabhängig von den Angaben im Drittdienst. Die übertragenen Benutzer:innendaten (außer der ID) können im PEIQ PORTAL nachträglich geändert werden.
- Pseudo-SSO-Workflow
Es wird überprüft, ob bereits ein:e Benutzer:in mit der entsprechenden
Fremd-ID
existiert. Falls ja, wird der oder die Benutzer:in eingeloggt und seine/ihre PORTAL-Daten mit den Daten aus dem Token überschrieben.Es wird überprüft, ob bereits ein:e Benutzer:in mit der entsprechenden
E-Mail-Adresse
existiert. Falls ja, wird der oder die Benutzer:in eingeloggt, seine/ihre PORTAL-Daten mit den Daten aus dem Token überschrieben und über dieFremd-ID
mit dem Drittdienst-Konto entsprechend verknüpft.Es wird ein:e lokale:r Benutzer:in mit Profilseite im PORTAL angelegt. Hierfür werden die Daten aus dem Token verwendet.
Es empfiehlt sich bei dieser Implementierung, die Bearbeitung der Benutzer:innendaten über die Account-Einstellungen im PEIQ PORTAL zu sperren.
Der Drittdienst-Account und der PEIQ-Account sind über die Fremd-ID miteinander verknüpft.
Login
- Einfacher OAuth-2.0-Login (Standard)
In der Regel wird auf der Login-Seite ein Button "Mit [Drittdienst]
anmelden" angeboten. Mit Klick auf den Button wird der Login gestartet.
- Pseudo-SSO-Workflow
Das PORTAL-Formular zum Login im PORTAL wird hier in der Regel ausgeblendet und nicht verlinkt. Stattdessen wird der oder die Benutzer:in direkt auf den Login über den Drittdienst verwiesen.
Nach erfolgreicher Registrierung kann sich der oder die Benutzer:in mit dem
[Drittdienst]
einloggen.Klickt der oder die Benutzer:in auf den Login-Link bzw. Button und ist noch nicht im Drittdienst angemeldet, wird diese:r zuerst auf die Drittdienst-Login-Seite weitergeleitet, um dort Benutzername und Passwort einzugeben.
Nach erfolgreicher Authentifizierung des Benutzers bzw. der Benutzerin im Drittdienst erhält das PORTAL wiederum ein entsprechendes Token (siehe Registrierung).
Auch beim Login mit dem Drittdienst laufen in der Regel die unter Registrierung beschriebenen Prüf-Workflows.
Passwort vergessen
- Einfacher OAuth-2.0-Login (Standard)
Der oder die Benutzer:in kann sich zusätzlich (über die Passwort vergessen-Funktion) ein weiteres Passwort in PEIQ vergeben. Damit steht ihm oder ihr ebenfalls der PORTAL-Login zur Verfügung.
- Pseudo-SSO-Workflow
Die Passwort-vergessen-Funktion wird bei diesem Workflow in der Regel deaktiviert.
Account-Einstellungen: Account (Persönliche Daten)
- Einfacher OAuth-2.0-Login (Standard)
Bei dieser Implementierung sind die Daten des Benutzers bzw. der Benutzerin im PORTAL unabhängig von seinen/ihren Angaben im Drittdienst. Die übertragenen Benutzer:innendaten (außer der ID) können im PEIQ PORTAL nachträglich geändert werden.
- Pseudo-SSO-Workflow
Es empfiehlt sich bei dieser Implementierung, die Bearbeitung der Benutzer:innendaten über die Account-Einstellungen im PEIQ PORTAL zu sperren.
Mehr dazu unter: https://peiq.atlassian.net/wiki/spaces/PPSD/pages/303956511/Account-Einstellungen#%5BhardBreak%5DKonfigurationsm%C3%B6glichkeit-bei-SSO
Account-Einstellungen: Verknüpfte Accounts
- Einfacher OAuth-2.0-Login (Standard)
Mehr dazu unter: https://peiq.atlassian.net/wiki/spaces/PPSD/pages/303956511/Account-Einstellungen#Verkn%C3%BCpfte-Accounts-OPTIONAL
- Pseudo-SSO-Workflow
Es empfiehlt sich bei dieser Implementierung, den Reiter Verknüpfte Accounts auszublenden.
Verwandte Seiten
Filter by label
There are no items with the selected labels at this time.
Disclaimer
Für die vorliegende Systemübersicht/Publikation behalten wir uns alle Rechte vor. Nachdruck, Vervielfältigung und Verbreitung (auch auszugsweise) ist nur mit schriftlicher Genehmigung der PEIQ Publishing GmbH & Co. KG erlaubt. Wir behalten uns vor, die Systemübersicht/Publikation jederzeit ohne vorherige Ankündigung zu ändern und/oder zu erweitern. Die vorliegenden Angaben dienen lediglich Informationszwecken. Die PEIQ Publishing GmbH & Co. KG übernimmt keinerlei Haftung und/oder Garantie für Fehler und/oder unvollständige Angaben in der Systemübersicht/Publikation, mit Ausnahme von vorsätzlich falschen oder arglistig verschwiegenen Angaben. Da unsere Software laufend weiter entwickelt wird, handelt es sich bei den vorliegenden nur um allgemeine Angaben. Es handelt sich weder um eine Zusicherung von Mindestvertragsinhalten, noch um Beschaffenheitsgarantien im Sinne des § 443 BGB.