OAuth und OpenID Connect SSO

Hinweis: SSO für Anwendungen ist nur mit dem Endpoint MFA.

OAuth ist ein Autorisierungsprotokoll, das authentifizierten Ressourcenzugriff zwischen Servern und Diensten ermöglicht, ohne Anmeldedaten zu teilen. OpenID Connect ist eine Identity-Schicht auf dem OAuth-Framework.

Die grundlegenden Komponenten im Ablauf von OAuth und OpenID Connect sind:

Server: Dieser überprüft die Benutzeranmeldedaten und stellt den Schlüssel zur Anmeldung bereit. In unserem Fall fungiert ADSelfService Plus als Server.
Client-Anwendung: Dies ist die Anwendung, bei der sich ein Benutzer anzumelden versucht.
Benutzer: Dies ist das Konto, das sich bei der Client-Anwendung anmelden möchte.

OAuth 2.0

So ermöglicht OAuth SSO:

Wenn sich ein Benutzer bei einer Anwendung anmelden möchte, sendet diese eine Autorisierungsanfrage an ADSelfService Plus. Der Benutzer wird dann zur Anmeldeseite von ADSelfService Plus weitergeleitet, wo er die Anmeldedaten eingibt.
Nach erfolgreicher Überprüfung wird ein Autorisierungscode von ADSelfService Plus an die Anwendung gesendet.
Die Anwendung sendet den Autorisierungscode zurück an ADSelfService Plus, um den Zugriffstoken und den Aktualisierungstokenzu erhalten. Der Zugriffstoken dient als zeitlich begrenzter Schlüssel für den Zugriff des Benutzers auf geschützte Ressourcen der Anwendung. Der Aktualisierungstoken ist ein dauerhafter Schlüssel, mit dem nach Ablauf des Zugriffstokens ein neuer Zugriffstoken angefordert werden kann.
Nun sendet die Anwendung eine Benutzerinfo-Anfrage zusammen mit dem Zugriffstoken als Identitätsnachweis an ADSelfService Plus. Die Antwort auf diese Anfrage liefert die Benutzerprofildetails, die zur Vervollständigung des Anmeldevorgangs benötigt werden.
Nach erfolgreicher Überprüfung der Benutzerdetails auf Seiten der Anwendung wird der Benutzer bei der Anwendung angemeldet.

OpenID Connect

OpenID Connect ähnelt OAuth SSO, jedoch wird hier ein ID-Token verwendet. Der ID-Token enthält die Signatur von ADSelfService Plus und die Benutzerdetails. Es gibt zwei mögliche Szenarien bei der Verwendung von OpenID Connect SSO.

Anwendung-initiiertes oder Service Provider (SP)-initiiertes Login: Dieser Anmeldeversuch wird von der Zielanwendung aus gestartet.
ADSelfService Plus-initiiertes oder Identity Provider (IdP)-initiiertes Login: Dieser Anmeldeversuch wird von ADSelfService Plus aus gestartet.

Lassen Sie uns den Ablauf in beiden Fällen verstehen.

Anwendung-initiiertes Login

Ein Benutzer versucht, sich bei einer Anwendung anzumelden. Die Anwendung sendet eine Autorisierungsanfrage an ADSelfService Plus. Der Benutzer wird zur Anmeldeseite von ADSelfService Plus weitergeleitet.
Der Benutzer gibt hier seine Anmeldedaten ein. Nach erfolgreicher Überprüfung wird ein Autorisierungscode von ADSelfService Plus an die Anwendung gesendet.
Die Anwendung sendet den Autorisierungscode zurück an ADSelfService Plus, um den ID-Tokenausgestellt. Dieses Token enthält die Benutzerdetails, die für die Vervollständigung des Anmeldevorgangs erforderlich sind.
Nach Überprüfung der Signatur von ADSelfService Plus im ID-Token ruft die Anwendung die Benutzerdetails aus dem ID-Token ab.
Schließlich wird der Benutzer nach erfolgreicher Überprüfung der Benutzerdetails auf Seiten der Anwendung bei der Anwendung angemeldet.

ADSelfService Plus-initiiertes Login

Ein Benutzer meldet sich erfolgreich bei ADSelfService Plus an, wechselt zum Tab Anwendungen und klickt auf die gewünschte Anwendung.
In diesem Fall sendet ADSelfService Plus eine ID-Token direkt an die Anwendung.
Nach Überprüfung der Signatur von ADSelfService Plus im ID-Token ruft die Anwendung die Benutzerdetails aus dem ID-Token ab.
Nach erfolgreicher Überprüfung der Benutzerdetails auf Seiten der Anwendung wird der Benutzer bei der Anwendung angemeldet.

Unterstützte Scopes

Scopes definieren den Zugriffsgrad, der vom Service Provider für den Zugriff auf eine Ressource angefordert werden kann. Diese müssen vom Administrator entsprechend aktiviert werden. ADSelfService Plus unterstützt die folgenden Scopes:

openid: Stellt fest, dass es sich um eine OpenID Connect-Anfrage handelt. Dies ist ein obligatorischer Scope für OpenID Connect Authentifizierungsanfragen.
profile: Fordert die Profilansprüche des Benutzers an (Vorname und Nachname).
email: Fordert das E-Mail-Attribut des Benutzers an.
offline_access: Fordert den Aktualisierungstoken an, mit dem neue Zugriffstoken erhalten werden können.

Unterstützte Anwendungen

Zurück nach oben

Vorheriges Thema Nächstes Thema

Danke!

Ihre Anfrage wurde an das technische Support-Team von ADSelfService Plus übermittelt. Unser technisches Support-Team wird Sie so schnell wie möglich unterstützen.

Brauchen Sie technische Unterstützung?

Geben Sie Ihre E-Mail-Adresse ein
Experten sprechen

Finden Sie nicht, wonach Sie suchen?

Besuchen Sie unsere Community

Stellen Sie Ihre Fragen im Forum.
Zusätzliche Ressourcen anfordern

Senden Sie uns Ihre Anforderungen.
Benötigen Sie Unterstützung bei der Implementierung?

Probieren Sie OnboardPro