DRACOON Cloud-Status:

Jetzt verfügbar:  VirenschutzMehr Infos

Beiträge in diesem Abschnitt

OpenID-Anbindung: XignIn

  • Aktualisiert
Folgen

Um XignIn als OpenID-Provider an DRACOON anzubinden, sind die in diesem Artikel beschriebenen Schritte erforderlich.

Themen dieses Artikels

Einstellungen im XignIn-Manager

Sie müssen im XignIn-Manager bereits die benötigten Rechte von DRACOON zugewiesen bekommen haben, damit Sie die folgenden Einstellungen vornehmen können.

  1. Loggen Sie sich im XignIn-Manager mit Ihrem Xign.Me-Account ein.
  2. Klicken Sie auf der linken Seite in der Navigationsleiste auf Dienste (1).
  3. Klicken Sie in der Zeile DRACOON-Int.-<Ihre Organisation> in der Spalte Aktion auf das Stift-Symbol (2).
  4. Klicken Sie unter Einstellungen auf die Schaltfläche Konfigurationshilfe herunterladen (3) und danach im angezeigten Fenster Konfigurationshilfen auf die Schaltfläche Dracoon (4), um an die Client-ID, das Client-Secret und die Redirect-URI für die spätere Einstellung in DRACOON zu kommen. Diese werden in Form einer PDF-Datei bereitgestellt.

  5. Die heruntergeladene PDF-Datei enthält alle wichtigen Informationen für die Anbindung an DRACOON (5-7).


Einstellungen in DRACOON

Die Einstellungen im XignIn-Manager sind nun abgeschlossen.
Als nächstes müssen die relevanten Werte in DRACOON hinterlegt werden.

Sie müssen in DRACOON die Rolle Konfigurationsmanager innehaben, um die folgenden Einstellungen festlegen zu können.

  1. Klicken Sie in der DRACOON Web App in der linken Seitenleiste auf Einstellungen und dann auf Authentifizierung (9).
  2. Klicken Sie auf das Register OpenID Connect (10).
  3. Aktivieren Sie den Schalter Anmeldung mit OpenID Connect aktivieren.
  4. Klicken Sie auf die Schaltfläche Hinzufügen (11) (bzw. bearbeiten Sie den vorhandenen OpenID-Provider).
  5. Geben Sie nun die Einstellungen für den OpenID-Provider Xign.Me in DRACOON an.
    Im Folgenden wird aufgelistet, wie die Werte, die im DRACOON gefordert werden, in der Xign.Me-Konfigurationsdatei benannt sind:
    Wert in DRACOON OpenID-Konfiguration
    Name Xign.Me (kann frei vergeben werden)
    IssuerURL https://xign.me
    Authorization Endpoint-URL https://xign.me/openid/authenticate
    Token Endpoint-URL https://xign.me/openid/token
    UserInfo Endpoint-URL https://xign.me/openid/user
    JWKS Endpoint-URL https://xign.me/openid/jwks
    Client-ID Ist in der heruntergeladenen PDF-Datei zu finden (5)
    Client-Secret Ist in der heruntergeladenen PDF-Datei zu finden (6)
    Scopes openid, email, profile
    Redirect-URIs Ist in der heruntergeladenen PDF-Datei zu finden (7)
    Authorization Mode Authorization Code
    Proof Key for Code Exchange (PKCE) deaktivieren
    PKCE Challenge Method plain
    Mapping Claim email
    Fallback User Mapping Claim sub (Empfehlung)
    User Info Source Identity Token
    Lokale Benutzer automatisch anlegen Sollte nur aktiviert werden, falls im XignIn-Manager der Dienst auf Einladung erforderlich steht. (Ausführliche Erklärung: siehe unten)
  6. Als nächsten Schritt speichern Sie die Einstellungen.
    OpenID kann nun als Authentifizierungsmethode in DRACOON genutzt werden.


OpenID bei Benutzern zulassen

Damit sich ein DRACOON-Benutzer mit OpenID anmelden kann, müssen Sie ihm diese Authentifizierungsmethode erst erlauben.

  1. Klicken Sie in der DRACOON Web App auf Einstellungen, und doppelklicken Sie auf den Benutzer, der sich über OpenID authentifizieren können soll.
  2. Wählen Sie im Feld Authentifizierungsmethode den Eintrag OpenID Connect.
  3. Wählen Sie den gewünschten OpenID-Provider aus, geben Sie den OpenID-Benutzernamen des Benutzers an, und klicken Sie auf Speichern.


Zusammenspiel von DRACOON und Xign.Me

Wenn Xign.Me als OpenID-Provider konfiguriert ist, kann es unterschiedliche Methoden zur Zuordnung zwischen den DRACOON-Benutzern und den Xign.Me-Benutzern geben. Dafür werden im Folgenden vier Szenarien für die Konfiguration und deren Auswirkungen dargestellt, abhängig von der jeweiligen Einstellung Einladung erforderlich im XignIn-Manager und Lokale Benutzer automatisch anlegen in DRACOON.
Die XignIn-Manager-Einstellung Einladung erforderlich kann hier (12) vorgenommen werden:

Die DRACOON-Einstellung Lokale Benutzer automatisch anlegen (13) finden Sie in der DRACOON Web App unter Einstellungen > Authentifizierung > OpenID Connect > Hinzufügen (bzw. Bearbeiten):

 

Szenario 1: User-Management im XignIn-Manager

Einstellungen:

  • Einladung erforderlich (XignIn-Manager)Aktiviert
  • Lokalen Benutzer automatisch anlegen (DRACOON)Aktiviert

Ist im XignIn-Manager-Dienst die Einstellung Einladung erforderlich aktiviert, dann sind nur spezielle Xign.Me-Benutzer dazu berechtigt, den Authentifizierungs-QR-Code zu scannen und sich zu authentifizieren (alle, die zuvor dem Dienst per Einladung hinzugefügt wurden; über die XignIn-Manager-Dienst-Funktion Einladung versenden kann ein Benutzer dem Dienst hinzugefügt werden.)
Bei der ersten erfolgreichen Authentifizierung an DRACOON wird der Benutzer in DRACOON erstellt, falls er dort noch nicht existiert.
Durch diesen Mechanismus werden die DRACOON-Benutzer auf die im XignIn-Manager-Dienst konfigurierten Benutzer limitiert.

 

Szenario 2: öffentlicher Zugang zu DRACOON

Einstellungen:

  • Einladung erforderlich (XignIn-Manager)Deaktiviert
  • Lokalen Benutzer automatisch anlegen (DRACOON)Aktiviert

Ist im XignIn-Manager-Dienst die Einstellung Einladung erforderlich deaktiviert, dann sind ALLE Xign.Me-Benutzer, die existieren, dazu berechtigt, den Authentifizierungs-QR-Code zu scannen und sich zu authentifizieren (dadurch ist die Authentifizierung „öffentlich“).
Da bei DRACOON das automatische Anlegen eines Benutzers bei der ersten Authentifizierung aktiviert ist, kann sich somit JEDER Benutzer aus Xign.Me bei DRACOON einen Account erstellen.

 

Szenario 3: User-Management im XignIn-Manager und in DRACOON

Einstellungen:

  • Einladung benötigt (XignIn-Manager)Aktiviert
  • Lokalen Benutzer automatisch anlegen (DRACOON)Deaktiviert

Ist im XignIn-Manager-Dienst die Einstellung Einladung erforderlich aktiviert, dann sind nur spezielle Xign.Me-Benutzer dazu berechtigt, den Authentifizierungs-QR-Code zu scannen und sich zu authentifizieren (alle, die zuvor dem Dienst per Einladung hinzugefügt wurden; über die XignIn-Manager- Dienst-Funktion Einladung versenden kann ein Benutzer dem Dienst hinzugefügt werden.)
Da in DRACOON die Benutzer NICHT automatisch angelegt werden, müssen diese auch dort vorher (mit derselben E-Mail-Adresse) vom DRACOON-Benutzermanager eingetragen werden.


Szenario 4: User-Management in DRACOON, Nutzer von Xign.Me müssen Anforderung von DRACOON erfüllen

Einstellungen:

  • Einladung benötigt (XignIn-Manager)Deaktiviert
  • Lokalen Benutzer automatisch anlegen (DRACOON)Deaktiviert

Ist im XignIn-Manager-Dienst die Einstellung Einladung erforderlich deaktiviert, dann sind ALLE Xign.Me-Benutzer, die existieren, dazu berechtigt, den Authentifizierungs-QR-Code zu scannen und sich zu authentifizieren (dadurch ist die Authentifizierung „öffentlich“).
Da in DRACOON das automatische Anlegen eines Benutzers bei der ersten Authentifizierung deaktiviert ist, MUSS der Xign.Me-Benutzer bereits einen Benutzer-Account in DRACOON mit derselben E-Mail-Adresse besitzen, um sich komplett anmelden zu dürfen. Andernfalls würde der Benutzer nach der Authentifizierung eine Fehlermeldung erhalten.
Bei diesem Szenario liegt das Management der Benutzer in DRACOON – dort müssen alle Benutzer mit derselben E-Mail-Adresse zuvor vom Benutzermanager angelegt werden (bzw. das Login-Mapping der Benutzer, wie sie im XignIn-Manager hinterlegt sind, damit die User wiedergefunden werden).

Verwandte Beiträge

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.