menu menu_open

    • Aktivierung Single Sign-On

      • Der wirHub lässt sich mit verschiedenen Authentifizierungsmethoden verbinden.

    • Debugging

    • Bei Problemen mit dem SSO kann ein erweiteres Debugging aktiviert werden, bei dem Login-Fehler und Antworten an die OAuth Provider protokolliert werden.

      AUTH_DEBUG=true

      Einträge können mit folgendem Befehl eingesehen werden:

      cat /tmp/login_response_debug_*

    • Microsoft Entra ID

    • Um Single Sign-On mit Microsoft Entra zu aktivieren, benötigen wir:

      • Client ID
      • Client Secret

      Es muss eine Entra ID App mit diesen Einstellungen erstellt werden:

      Berechtigungen „Microsoft Graph / user.read“
      2 Redirect URLs

      • https://domain/login/check-azure
      • https://domain

      Dadurch wird der erforderliche Client mit seiner ID und seinem Secret generiert.

      Die Konfiguration erfolgt in der .env.local

      OAUTH_ENABLED=true
      OAUTH_AZURE_ENABLED=true
      OAUTH_AZURE_CLIENT_ID={Client ID}
      OAUTH_AZURE_CLIENT_SECRET={Client Secret}

    • FAQ

      • Möglicherweise sind Benutzer-Profile nicht für die Anwendung freigegeben.

    • Microsoft AD FS

    • Um Single Sign-On mit Microsoft ADFS zu aktivieren, wird die Microsoft Azure AD Konfiguration verwendet und um folgende Einstellungen erweitert:

      OAUTH_AZURE_URL_ACCESS_TOKEN=https://{domain}/adfs/oauth2/token
      OAUTH_AZURE_URL_AUTHORIZATION=https://{domain}/adfs/oauth2/authorize
      OAUTH_AZURE_URL_INFOS=https://{domain}/adfs/userinfo
      OAUTH_AZURE_OPTION_SCOPE="openid profile email allatclaims"

      Wichtig: der Pfad /adfs muss zur Erkennung der abweichenden Verarbeitung in der Userinfo-URL vorhanden sein!

    • Keycloak

    • Die Integration von Keycloak ist in vielen Fällen (erfordert individuelles Image) möglich. Dazu benötigen wir für eine Client Application mit dem Access Type “confidential” folgende Daten:

      • Client ID
      • Client Secret

      Dazu werden folgende Angaben benötigt, die wir auch aus einem “.well-known” Link extrahieren können: 

      • Base URL
      • Realm
      • IdP Hint

       

    • Okta

    • Um Single Sign-On mit Okta über OAuth2 zu aktivieren, benötigen wir:

      • Client ID
      • Client Secret
      • Access Token URL
      • Authorization Token URL
      • User Info URL

      Die URLs können auch aus der Subdomain und der Authorization Server ID abgeleitet werden (siehe Konfigurationsbeispiel). Wurde kein individueller Authorization Server angelegt, lautet die ID “default”.

      Die Konfiguration erfolgt in der .env.local

      OAUTH_OKTA_ENABLED=true
      OAUTH_OKTA_CLIENT_ID={Client ID}
      OAUTH_OKTA_CLIENT_SECRET={Client Secret}
      OAUTH_OKTA_URL_ACCESS_TOKEN=https://{Subdomain}.okta-emea.com/oauth2/{authorizationServerId}/v1/token
      OAUTH_OKTA_URL_AUTHORIZATION=https://{Subdomain}.okta-emea.com/oauth2/{authorizationServerId}/v1/authorize
      OAUTH_OKTA_URL_INFOS=https://{Subdomain}.okta-emea.com/oauth2/{authorizationServerId}/v1/userinfo

    • OpenID Connect

    • Die Integration von OpenID Connect ist auf Anfrage möglich.

    keyboard_arrow_left
    IT-Sicherheit
    Releaseplan
    keyboard_arrow_right
    keyboard_arrow_upperson