Einrichtung von SSO mit einem externen OpenID-Authentifizierungsserver

Dieses Dokument beschreibt den Betrieb und die Konfiguration von BlueMind mit einem externen OpenID-Authentifizierungsserver.

Voraussetzungen

• Einen funktionierenden OpenID-Server haben
• den BlueMind Authentifizierungsclient auf dem OpenID-Server autorisiert haben.

Siehe zum Beispiel: Einrichten eines OpenID-Clients für BlueMind mit einem Keycloak eines Drittanbieters

Notieren Sie sich nach der Konfiguration die folgenden Informationen, die Sie für die Konfiguration von BlueMind verwenden werden:

• URL des Drittanbieter-OpenID-Servers
• OpenId (manchmal auch als Application ID bezeichnet)
• Kundengeheimnis OpenId.

Funktionsweise der OpenID-Authentifizierung

Für eine erste Authentifizierung :

1. Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
2. Da er noch nicht authentifiziert wurde, leitet der BlueMind-Server ihn zur Authentifizierung an den OpenID-Server um.
3. Nach der Authentifizierung wird ein openID-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket, das er einlösen muss, zu BlueMind weitergeleitet wird.
4. Der BlueMind Server :
   1. sieht dieses Ticket,
   2. fragt den openID-Server, ob er gültig ist,
   3. Wenn dies der Fall ist, erlaubt die Verbindung und setzt ein BlueMind Cookie in den Browser.

Bei der nächsten Authentifizierung :

1. Der Kunde fordert erneut Zugang zum BlueMind Server an.
2. Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.

OpenID-Konfiguration für eine einzelne oder primäre Domain

1. Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.

   ℹ️ Administratorkonto
   Das Verfahren betrifft die Einrichtung der Domäne, daher ist es möglich und besser, ein Domänenadministrator-Konto anstelle des Supernutzers admin0 zu verwenden.

2. Wählen Sie die Authentifizierungsmethode OpenID aus dem Dropdown-Menü und füllen Sie die entsprechenden Felder aus:
   

   • URL des OpenID-Servers eines Drittanbieters: Geben Sie die URL des OpenID-Servers an, über den die Liste der Endpunkte abgerufen werden kann. Auf Keycloak ist es z.B. eine URL der Form: https://{openid-server}/realms/{realm}/.well-known/openid-configuration
     Ersetzen:
     • {openid-server}durch den Hostnamen des OpenID-Servers
     • {realm} durch den auf dem Server konfigurierten Realm
   • Kundennummer OpenId
   • Kundengeheimnis OpenId.

3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.

Die Benutzer werden automatisch zum OpenID-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen**.

OpenID-Konfiguration in einer gemeinsam genutzten Umgebung

Die Nutzung eines einzigen Authentifizierungsservers für mehrere Domänen erfolgt durch die Konfiguration eines Servers für eine primäre Domäne, der die anderen Domänen zugeordnet sind.

1. Aus der „ Domänen auflisten “:
   1. Wenn Sie eine erste Domain gemäß der oben beschriebenen Methode einrichten, wird diese als primäre Domain betrachtet.
   2. Notieren Sie sich die Kennung (Domain-UID oder Domain UID) der sekundären Domäne(n).
2. Rufen Sie die Verwaltungsseite der primären Domäne auf > Registerkarte Sicherheit. Unter dem OpenID-Konfigurationsformular erscheint nun ein Link „Hinzufügen“:
   
   → Klicken Sie darauf, um beliebig viele sekundäre Domains hinzuzufügen.
3. Geben Sie in den hinzugefügten Feldern die UIDs der zu verknüpfenden Domains ein:
   
4. Klicken Sie auf „Speichern“, um die Eingabe zu bestätigen.
5. Im Verwaltungsformular für sekundäre Domains, auf der Registerkarte „Sicherheit“, wird das Formular nun durch eine Information ersetzt, die die UID der primären Domain enthält:
   

Weiterführende Informationen

Lesen Sie die BlueMind-Dokumentation in Verbindung mit

• Einrichten eines OpenID-Clients für BlueMind mit einem Keycloak eines Drittanbieters