Zum Hauptinhalt gehen
Version: 5.6

Einrichtung von SSO mit einem externen OpenID-Authentifizierungsserver

Dieses Dokument beschreibt den Betrieb und die Konfiguration von BlueMind mit einem externen OpenID-Authentifizierungsserver.

Voraussetzungen

  • Einen funktionierenden OpenID-Server haben
  • den BlueMind Authentifizierungsclient auf dem OpenID-Server autorisiert haben.

Notieren Sie sich nach der Konfiguration die folgenden Informationen, die Sie für die Konfiguration von BlueMind verwenden werden:

  • URL des Drittanbieter-OpenID-Servers
  • OpenId (manchmal auch als Application ID bezeichnet)
  • Kundengeheimnis OpenId.

Funktionsweise der OpenID-Authentifizierung

Für eine erste Authentifizierung :

  1. Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
  2. Da er noch nicht authentifiziert wurde, leitet der BlueMind-Server ihn zur Authentifizierung an den OpenID-Server um.
  3. Nach der Authentifizierung wird ein openID-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket, das er einlösen muss, zu BlueMind weitergeleitet wird.
  4. Der BlueMind Server :
    1. sieht dieses Ticket,
    2. fragt den openID-Server, ob er gültig ist,
    3. Ist dies der Fall, erlaubt das System die Verbindung und setzt ein BlueMind-Cookie im Browser.

Bei der nächsten Authentifizierung :

  1. Der Kunde fordert erneut Zugang zum BlueMind Server an.
  2. Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.

OpenID-Konfiguration für eine einzelne oder primäre Domain

  1. Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.

    ℹ️ Compte administrateur
    La procédure concerne la configuration du domaine, il est donc possible et préférable d'utiliser un compte administrateur de domaine plutôt que le superutilisateur admin0.

  2. Wählen Sie im Dropdown-Menü den Authentifizierungsmodus OpenID aus und füllen Sie die entsprechenden Felder aus:

    • URL des OpenID-Servers eines Drittanbieters: Geben Sie die URL des OpenID-Servers an, über den die Liste der Endpunkte abgerufen werden kann.
      Par exemple, sur Keycloak, c'est une URL de la forme : https://{openid-server}/realms/{realm}/.well-known/openid-configuration
      Remplacer:
      • {openid-server}durch den Hostnamen des OpenID-Servers
      • {realm} durch den auf dem Server konfigurierten Realm
    • Kundennummer OpenId
    • Kundengeheimnis OpenId.
  3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.

Die Benutzer werden automatisch zum OpenID-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen**.

OpenID-Konfiguration in einer gemeinsam genutzten Umgebung

Die Nutzung eines einzigen Authentifizierungsservers für mehrere Domänen erfolgt durch die Konfiguration eines Servers für eine primäre Domäne, der die anderen Domänen zugeordnet sind.

  1. Richten Sie eine erste Domäne gemäß der oben beschriebenen Vorgehensweise ein; diese wird dann als primäre Domäne betrachtet.

  2. Geben Sie eine externe URL für die primäre Domain an (siehe Externe URLs).

    Die Konfiguration der externen URL ist für die ordnungsgemäße Funktion der Authentifizierung bei allen Domänen zwingend erforderlich.
  3. Notieren Sie sich die Kennung der sekundären Domäne(n) (Domänen-UID oder Domain UID) aus der Domänenliste oder dem jeweiligen Verwaltungsdatensatz.

  4. Rufen Sie die Verwaltungsseite der primären Domäne auf > Registerkarte Sicherheit. Sous le formulaire de configuration OpenID apparaît désormais un lien "Ajouter" :

    → cliquer pour ajouter autant de domaines secondaires que désiré.

  5. Dans les champs ajoutés, renseigner les UID des domaines à lier :

  6. Klicken Sie auf „Speichern“, um die Eingabe zu bestätigen.

  7. Dans la fiche de gestion des domaines secondaires, onglet Sécurité, le formulaire est désormais remplacé par une information contenant l'UID du domaine primaire :

Weiterführende Informationen

Lesen Sie die BlueMind-Dokumentation in Verbindung mit