Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Identity and Access Management (IAM) der DLRG

Inhalt

FAQ

Kann ich mich mit dem DLRG Account an meinen eigenen Diensten anmelden?

...

  • OAuth 2.0
  • OpenID Connect (OIDC) 

Nähere Informationen zu den beiden Protokollen können in einer Vielzahl im Internet gefunden werden. Unter anderem über OAuth oder OIDC. Im Normalfall bringt die verwendete Software für den Client auch eine eigene Dokumentation mit nützlichen Hinweisen und einer Anleitung zur Einrichtung mit.

Wo finde ich den Antrag für einen OIDC oder OAuth 2.0 Client?

Den Antrag findet ihr unten auf der Seite Hilfe & Support mit dem IAM-Button. Anschließend könnt ihr auswählen, ob ihr einen neuen Client beantragen oder einen bestehenden anpassen wollt.

Muss ich den Antrag nutzen?

Ja, der Antrag muss sowohl für neue Clients, als auch für die Änderung bestehender verwendet werden. Dadurch wird sichergestellt, dass ihr die notwendigen Berechtigungen in der jeweiligen Gliederung besitzt.

Welche Voraussetzungen muss ich für den Antrag erfüllen?

Für den Antrag über Hilfe & Support (sonstiges, allgemeine AnfrageIAM) müsst ihr

  • Die Gliederung, zu welcher der Antrag zugeordnet werden soll, im ISC ausgewählt haben
  • Mit eurem DLRG Account angemeldet sein, welcher das Recht Internet-Webmaster oder IAM-Admin in der Gliederung besitzt

...

Im Antrag über Hilfe & Support (sonstiges, allgemeine AnfrageIAM) müssen die nachfolgenden Informationen vorhanden sein.

  • EDV-Nummer der Gliederung
  • Name des Clients
  • Beschreibung des Clients
  • Art des Clients
    • Native (z.B. Mobile und Desktop Apps)
    • Single Page Web Applications (z.B. mit Angular, React, Vue)
    • Regular Web Applications (z.B. Node.js, Java, PHP)
  • Root URL (Grundlegende URL des Dienstes z.B. https://client.de)
  • Redirect/Callback URL (Callback zur Auswertung der Token z.B. https://client.de/callback.php. TLS muss verwendet werden.)

Diese Informationen werden im entsprechenden Support Formular abgefragt.

Welche Informationen erhalte ich nach erfolgreicher Prüfung des Antrags?

...

Synology unterstützt aktuell (Dezember 2021) kein Login über OAuth 2.0 oder OIDC. Es gibt lediglich den OAuth Service, welcher jedoch ein eigener OAuth Server ist und kein Client.

Welche Scopes können verwendet werden?

Es stehen standardmäßig die Scopes profile und email zur Verfügung. Zusätzlich kann der Scope openid zur Nutzung des OIDC-Protokolls verwendet werden.


Warnung
titleIn Bearbeitung

Der Login mit dem DLRG Account an externen Diensten wurde überarbeitet. Diese Dokumentation ist dadurch stellenweise veraltet und wird aktuell überarbeitet. 

...

  • oAuth2 ist ein Protokoll, welches dem Nutzer ermöglicht, mehrere (externe) Dienste, die einer Anmeldung bedürfen, mit nur einem DLRG-Account zu nutzen. Das kann z. B. interessant sein, wenn eine Gliederung eine eigene Cloud (nicht die DLRG-Cloud) betreibt und möchte, dass sich die Mitglieder der Gliederung über den DLRG-Account anmelden können. So müssen sich die Mitglieder nicht mehrere Zugangsdaten merken.
    • ein gutes Beispiel für oAuth ist z.B. die Möglichkeit, sich mit seinem Facebook-Account bei Spotify anzumelden. Hier kommt ebenfalls oAuth zum Einsatz
  • Das Anmeldeverfahren mit oAuth2 ist besonders sicher, da u. a. der externe Dienst nicht in den Besitz von Account-Passwörter gelangt und der Nutzer eine Kontrolle darüber hat, welche seiner Daten er für die Weitergabe freigibt.

Einrichtung

  • Die Einrichtung muss vom Betreiber des externen Dienstes, z. B. die Gliederung mit eigener Cloud, selbst vorgenommen werden.
  • Es erfolgt seitens des AK-IT kein Support bei der Einrichtung von oAuth2 auf eigenen Servern!

Wie

...

Um oAuth2 nutzen zu können, benötigt man eine Client-ID und ein Passwort, manchmal auch Client-Secret genannt. Beides bekommt man vom AK-IT auf Antrag mitgeteilt.

Der Antrag erfolgt formlos über https://hilfe.dlrg.net und muss zwingend von einer DLRG-Funktionsadresse gestellt werden bzw. für AK-IT nachvollziehbar sein, dass die anfragende Person im Auftrag des Gliederungsvorstands handelt.

In der Mail müssen folgende Angaben enthalten sein:

  • URL des externen oAuth-Clients/Dienstes
    → hier muss die genaue URI angegeben werden, auf die der oAuth-Server von AK-IT seine Antwort auf die Authorisierungsanfrage sendet
  • Bezeichnung des Dienstes (z. B. Cloud, Forum, usw.) für eine interne Zuordnung
  • Zweck des Dienstes, falls nicht ersichtlich

Welche Rechte kann oAuth2 gewähren?

Zum aktuellen Zeitpunkt kann über oAuth2 folgende Rechte gewährt werden:

  • profile: das Recht, Benutzername, Vor- und Zuname des Nutzers abfragen zu dürfen
  • email: das Recht, die E-Mail-Adresse des Nutzers abfragen zu dürfen

Weitere Rechte werden zukünftig folgen.

Wie funktioniert oAuth2?

Die Funktion von oAuth2 erklären wir am Beispiel einer Gliederung, OG Musterstadt, die eine eigene Cloud betreibt.

Der Webmaster der OG Musterstadt hat auf seinem Cloud-Server den oAuth2-Client mit der beantragten Client-ID und dem Client-Passwort eingerichtet, so dass sich Mitglieder mit ihrem DLRG-Account in der Cloud der OG Musterstadt anmelden können.

Die Mitglieder rufen die Internetseite der Cloud auf, beispielhaft https://cloud.dlrg-musterstadt.de, und klicken dort als Anmeldemöglichkeit auf „mit DLRG-Account anmelden“.
Nun werden sie automatisch auf die Anmeldeseite des offiziellen DLRG-Servers geleitet auf dem der oAuth2-Server läuft. Über die im für die Weiterleitung zuständigen Link enthaltenen Daten (kryptische Zahlen- und Buchstabenfolgen) wird dem oAuth2-Server mitgeteilt, dass sich jemand mit seinem DLRG-Account in der Cloud der OG-Musterstadt anmelden möchte, welche Rechte die Cloud sich geben lassen möchte und auf welche Internetseite der Benutzer nach erfolgter Anmeldung zurückgeleitet werden soll.
Nach erfolgter Eingabe des Anmeldenamens und -passworts wird dem Mitglied in einer weiteren Abfrage aufgezeigt, welche Daten die Cloud übermittelt bekommen möchte. In diesem Fall den Benutzernamen, Vor- und Zunamen sowie die E-Mail-Adresse. Dies muss das Mitglied bestätigen und wird auf die Seite der Cloud zurück geleitet, auf der es nun angemeldet ist.

...

Dem Endanwender macht oAuth2 das Leben deutlich einfacher, da man sich nicht mehr diverse Anmeldenamen und -passwörter für alle möglichen Dienste merken muss.
Einem potenziellen Angreifer wird es durch das Hin- und Herschicken von kryptischen Zeichen und das ständige Rückversichern (ähnlich Asterix und Obelix beim römischen Amt) sehr schwer bis quasi unmöglich gemacht die Anmeldedaten des Benutzers/Mitgliedes abzufangen und böswillig zu nutzen.

Technische Erklärung

Die Anbindung erfolgt gemäß oauth2 Standard gegen https://iam.dlrg.net/auth/realms/master 

Die Einrichtung muss du die Gliederung selbst erfolgen - es erfolgt keinen Support durch den AK IT bei der Einrichtung in anderen Diensten.