Zum Hauptinhalt gehen

Einrichtung von SSO mit einem externen OpenID-Authentifizierungsserver

Dieses Dokument beschreibt den Betrieb und die Konfiguration von BlueMind mit einem externen OpenID-Authentifizierungsserver.

Voraussetzungen

  • Einen funktionierenden OpenID-Server haben
  • den BlueMind Authentifizierungsclient auf dem OpenID-Server autorisiert haben.
Siehe z.B.: Einrichtung eines Keycloak eines Drittanbieters

Notieren Sie sich nach der Konfiguration die folgenden Informationen, die Sie für die Konfiguration von BlueMind verwenden werden:

  • URL des Drittanbieter-OpenID-Servers
  • OpenId (manchmal auch als Application ID bezeichnet)
  • Kundengeheimnis OpenId.

Funktionsweise der OpenID-Authentifizierung

Für eine erste Authentifizierung :

  1. Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
  2. Da er noch nicht authentifiziert wurde, leitet der BlueMind-Server ihn zur Authentifizierung an den OpenID-Server um.
  3. Nach der Authentifizierung wird ein openID-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket, das er einlösen muss, zu BlueMind weitergeleitet wird.
  4. Der BlueMind Server :
    1. sieht dieses Ticket,
    2. fragt den openID-Server, ob er gültig ist,
    3. Wenn dies der Fall ist, erlaubt die Verbindung und setzt ein BlueMind Cookie in den Browser.

Bei der nächsten Authentifizierung :

  1. Der Kunde fordert erneut Zugang zum BlueMind Server an.
  2. Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.

Konfiguration

  1. Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.

    ℹ️ Administratorkonto
    Das Verfahren betrifft die Einrichtung der Domäne, daher ist es möglich und besser, ein Domänenadministrator-Konto anstelle des Supernutzers admin0 zu verwenden.

  2. Wählen Sie die Authentifizierungsmethode OpenID aus dem Dropdown-Menü und füllen Sie die entsprechenden Felder aus:

    • URL des OpenID-Servers eines Drittanbieters: Geben Sie die URL des OpenID-Servers an, über den die Liste der Endpunkte abgerufen werden kann. Auf Keycloak ist es z.B. eine URL der Form: https://{openid-server}/realms/{realm}/.well-known/openid-configuration
      Ersetzen:
      • {openid-server}durch den Hostnamen des OpenID-Servers
      • {realm} durch den auf dem Server konfigurierten Realm
    • Kundennummer OpenId
    • Kundengeheimnis OpenId.

  3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.

Die Benutzer werden automatisch zum OpenID-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen**.

Weiterführende Informationen

Lesen Sie die BlueMind-Dokumentation in Verbindung mit

Letztes Update