Dezentrale Authentifizierung mit OpenID Connect in WeCare Resolve
Warum OpenID Connect?
Reduzierung sensibler Anmeldedaten (Datenminimierung): Bei der Nutzung von OIDC speichert WeCare Resolve keine Passwörter oder kryptografischen Passwort-Hashes. Die Verantwortung für die sichere Überprüfung der Identität und die Durchsetzung von Sicherheitsrichtlinien (wie z. B. Multi-Faktor-Authentifizierung oder Passwort-Rotation) liegt vollständig beim gewählten Identitätsanbieter (IdP). Dies reduziert die Angriffsfläche der Anwendung, da bei einer potenziellen Kompromittierung der Anwendungsdatenbank keine Zugangsdaten entwendet werden können.
Geringere Hürden bei der Registrierung: Bei Nutzung von SSO greifen Nutzende auf WeCare Resolve mit ihren bereits bestehenden Organisations-Konten zu. Da keine Zugangsdaten erstellt werden müssen, ist der Registrierungsprozess deutlich vereinfacht.
OpenID und Identitätsanbieter (IdP)
Wenn die optionale OIDC-Funktion aktiviert ist, kann WeCare Resolve die Authentifizierung an einen externen Identitätsanbieter (IdPs) delegieren. Ein IdP ist ein unabhängiger Dienst (z. B. ein Active Directory eines Unternehmens, ein eID-System oder ein etablierter Single-Sign-On-Anbieter), der für die Verwaltung der Identitäten der Nutzenden zuständig ist.
Der OIDC-Anmeldeablauf funktioniert wie folgt:
Nutzende wählen auf der Anmeldeseite von WeCare Resolve die Option „Mit Identitätsanbieter anmelden“ aus.
Die Anwendung leitet die Nutzenden zum konfigurierten IdP weiter.
Der IdP authentifiziert die Nutzenden unter Verwendung seiner eigenen Sicherheitsprotokolle (MFA, etc.).
Nach erfolgreicher Authentifizierung sendet der IdP ein Identitäts-Token an WeCare Resolve zurück und gewährt Zugriff auf die Anwendung.
So konfigurieren Sie OpenID Connect in WeCare Resolve
Voraussetzungen
Ein Identitätsanbieter, der OpenID Connect unterstützt
Die vom IdP bereitgestellte Client-ID und Issuer-URL. Weiterhin:
ein Client-Secret, falls der Identitätsanbieter kein FAPI 2.0 unterstützt.
Schritt-für-Schritt-Konfiguration
Melden Sie sich in der Verwaltungsoberfläche an. Navigieren Sie zu Einstellungen > Anmeldung.
Aktivieren Sie die Option OpenID Connect (OIDC).
IdP-Anmeldedaten eingeben:
Aussteller: Geben Sie die URL des OIDC-Ausstellers ein.
Client-ID: Geben Sie die vom IdP generierte Client-ID ein.
Bei Nutzung von OIDC mit privatem Schlüssel:
- Geheimer Client-Schlüssel: Geben Sie das sicher generierte Client-Secret ein.
Anzeigename: Geben Sie den Namen für diesen IdP ein, der den Nutzenden auf der Anmeldeseite angezeigt werden soll.
Speichern Sie die Einstellungen.
Einstellungen im Identitätsanbieter (IdP) vornehmen
Damit die Kommunikation zwischen Ihrem IdP und WeCare Resolve funktioniert, müssen im IdP folgende Parameter für den Client hinterlegt werden:
- Redirect-URL (Callback): Hinterlegen Sie die URL Ihrer Instanz im Feld für erlaubte Weiterleitungs-URLs. Ersetzen Sie den Platzhalter
<...>durch die tatsächliche Domain und den Pfad der WeCare Resolve-Instanz:
https://<wecare-resolve-domain-path>/oidc/callback
Scopes: Stellen Sie sicher, dass der Client Zugriff auf die konfigurierten Scopes (Standard: openid, profile und email) hat.
Authentifizierungsmethode: Bei der Authentifizierung mit geheimem Schlüssel verwendet WeCare Resolve die Basic Authentication-Methode. Falls Sie FAPI 2.0 verwenden, stellen Sie sicher, dass Ihr Identitätsanbieter den Schlüsselalgorithmus unterstützt (ES256 oder PS256).