Einrichtung von SSO mit einem externen OpenID-Authentifizierungsserver
Dieses Dokument beschreibt den Betrieb und die Konfiguration von BlueMind mit einem externen OpenID-Authentifizierungsserver.
Voraussetzungen
- Einen funktionierenden OpenID-Server haben
- den BlueMind Authentifizierungsclient auf dem OpenID-Server autorisiert haben.
Notieren Sie sich nach der Konfiguration die folgenden Informationen, die Sie für die Konfiguration von BlueMind verwenden werden:
- URL des Drittanbieter-OpenID-Servers
- OpenId (manchmal auch als Application ID bezeichnet)
- Kundengeheimnis OpenId.
Funktionsweise der OpenID-Authentifizierung
Für eine erste Authentifizierung :
- Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
- Da er noch nicht authentifiziert wurde, leitet der BlueMind-Server ihn zur Authentifizierung an den OpenID-Server um.
- Nach der Authentifizierung wird ein openID-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket, das er einlösen muss, zu BlueMind weitergeleitet wird.
- Der BlueMind Server :
- sieht dieses Ticket,
- fragt den openID-Server, ob er gültig ist,
- Ist dies der Fall, erlaubt das System die Verbindung und setzt ein BlueMind-Cookie im Browser.
Bei der nächsten Authentifizierung :
- Der Kunde fordert erneut Zugang zum BlueMind Server an.
- Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.
OpenID-Konfiguration für eine einzelne oder primäre Domain
-
Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.
ℹ️ Compte administrateur
La procédure concerne la configuration du domaine, il est donc possible et préférable d'utiliser un compte administrateur de domaine plutôt que le superutilisateur admin0. -
Wählen Sie im Dropdown-Menü den Authentifizierungsmodus OpenID aus und füllen Sie die entsprechenden Felder aus:

- URL des OpenID-Servers eines Drittanbieters: Geben Sie die URL des OpenID-Servers an, über den die Liste der Endpunkte abgerufen werden kann.
Par exemple, sur Keycloak, c'est une URL de la forme :https://{openid-server}/realms/{realm}/.well-known/openid-configuration
Remplacer:{openid-server}durch den Hostnamen des OpenID-Servers{realm}durch den auf dem Server konfigurierten Realm
- Kundennummer OpenId
- Kundengeheimnis OpenId.
- URL des OpenID-Servers eines Drittanbieters: Geben Sie die URL des OpenID-Servers an, über den die Liste der Endpunkte abgerufen werden kann.
-
Klicken Sie auf "Speichern", um die Änderungen zu speichern.
Die Benutzer werden automatisch zum OpenID-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen**.
OpenID-Konfiguration in einer gemeinsam genutzten Umgebung
Die Nutzung eines einzigen Authentifizierungsservers für mehrere Domänen erfolgt durch die Konfiguration eines Servers für eine primäre Domäne, der die anderen Domänen zugeordnet sind.
-
Richten Sie eine erste Domäne gemäß der oben beschriebenen Vorgehensweise ein; diese wird dann als primäre Domäne betrachtet.
-
Geben Sie eine externe URL für die primäre Domain an (siehe Externe URLs).
Die Konfiguration der externen URL ist für die ordnungsgemäße Funktion der Authentifizierung bei allen Domänen zwingend erforderlich. -
Notieren Sie sich die Kennung der sekundären Domäne(n) (Domänen-UID oder Domain UID) aus der Domänenliste oder dem jeweiligen Verwaltungsdatensatz.
-
Rufen Sie die Verwaltungsseite der primären Domäne auf > Registerkarte Sicherheit. Sous le formulaire de configuration OpenID apparaît désormais un lien "Ajouter" :

→ cliquer pour ajouter autant de domaines secondaires que désiré. -
Dans les champs ajoutés, renseigner les UID des domaines à lier :
-
Klicken Sie auf „Speichern“, um die Eingabe zu bestätigen.
-
Dans la fiche de gestion des domaines secondaires, onglet Sécurité, le formulaire est désormais remplacé par une information contenant l'UID du domaine primaire :
