SSO mit OpenID Connect

Login ohne Passworteingabe

Über die letzten Monate haben wir viel Zeit in die Umsetzung von Integrationen rund um Benutzerauthentifizierungsmethoden investiert. Bedeutet, dass als zusätzliche Möglichkeit zum direkten Login in TimeTool alternativ eine delegierte Benutzerauthentifizierung verwendet werden kann. Dieses Verfahren ist bekannt als «Single Sign On» (auch SSO genannt). TimeTool Benutzerkonten werden mit weiteren Benutzerkonten verknüpft (über die E-Mail Adresse). Somit kann z.B. ein Microsoft Account zur Anmeldung in TimeTool verwendet werden.

Das vereinfacht die Bedienung für die Benutzer:innen und bietet Systemadministratoren weitere Möglichkeiten.

Der modernste, sicherste und vielseitigste Technologie Standard ist «OpenID Connect», basierend auf dem Autorisierungsframework OAuth 2.0 (nachfolgend OIDC genannt). OIDC erlaubt es Clients (TimeTool), die Identität eines Anwenders mit Hilfe eines Authentifizierungsservers («Identity Provider», nachfolgend IdP genannt) zu überprüfen, und andererseits grundlegende Profilinformationen auf interoperable Weise zu erhalten.

230926 ss0 mit openid

Vereinfacht läuft ein Login-Flow im TimeTool Web-Client folgendermassen ab:

Schritt 1
Benutzer:in startet den Login-Flow Durch Click auf SSO Button auf Login Page oder durch direkten Aufruf/Redirect auf OIDC URL auf TimeTool Webserver.

Schritt 2:
Benutzer:in wird automatisch weitergeleitet zum konfigurierten IdP des Kunden.

​Schritt 3:
Der IdP führt die Authentifizierung des Benutzers durch evtl. ist der Benutzer:in dort bereits identifiziert, ansonsten muss er/sie sich beim IdP anmelden mit einem Benutzerkonto, welches vom Kunden verwaltet wird und unter Erfüllung der nötigen Sicherheitsmassnahmen des Kunden (z. Bsp. Multi-Factor SMS Code).

Schritt 4:
TimeTool erhält vom IdP ein verschlüsseltes Identität Token, das die E-Mail Adresse des Benutzers/der Benutzerin enthält.

Schritt 5:
TimeTool prüft das Token und ob ein TimeTool Account mit dieser E-Mail Adresse vorhanden ist.

Schritt 6:
Benutzer:in ist in TimeTool angemeldet. Das fühlt sich grundsätzlich extrem technisch und komplex an. Am Ende des Tages bietet die SSO-Integration jedoch in Bezug auf Sicherheit und Benutzererlebnis einen absoluten Mehrwert. Sind Sie an weiteren

 

Informationen rund ums Thema SSO interessiert? Für eine persönliche Beratung sind wir jederzeit für Sie da.