Wir sind nun am Ende dieser dreiteiligen Artikelserie zum Thema Authentifizierung angelangt. Zum Abschluss betrachten wir, wie die verschiedenen auf Nudgis verfügbaren Authentifizierungsdienste konfiguriert werden.

Inhaltsverzeichnis

1/ LOKAL

1A/ ABONNEMENT

1B/ E-MAIL-SAMMLUNG

2/ LTI

3/ CAS

4/ SAML

5/ LDAP

6/ OPENID CONNECT UND SOZIALE AUTHENTIFIZIERUNG

Lokal

Die lokale Authentifizierung ist die Standardauthentifizierung für Nudgis. Wenn die Verbindungsseite auf einen externen Dienst weitergeleitet wird, bleibt die lokale Verbindung unter https://my.nudgis.url/login-local/ verfügbar.

Der erste Parameter auf der Seite wird verwendet, um die Verwendung eines starken Passworts zu erzwingen:

- Mindestens 12 Zeichen.
- Mindestens drei verschiedene Arten von Zeichen werden verwendet, einschließlich Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen.
- Keine häufig verwendeten Passwörter (wie "qwerty").
- Keine Ähnlichkeit mit Benutzerattributen (mehr als 30 % der Zeichen müssen sich von Benutzername, Vorname, Nachname und E-Mail-Adresse unterscheiden).

Lokale Konten können manuell von einem Administrator erstellt werden, es ist jedoch auch möglich, Benutzern die Erstellung ihrer Konten autonom per Abonnement zu gestatten.

Abonnement

Aktivieren Sie die Option „Abonnement zulassen“, um Benutzern die Registrierung auf der Website zu ermöglichen. Wenn Sie einen Validierungsschritt durch einen Administrator hinzufügen möchten, aktivieren Sie die Option zur Kontovalidierung. Sie können im nächsten Feld E-Mail-Adressdomänen angeben, die keine Validierung erfordern. Die E-Mail-Liste für die Erstellung lokaler Konten wird verwendet, um eine E-Mail-Benachrichtigung an die eingegebenen Adressen zu senden, wenn ein Benutzer ein Konto über das Abonnementformular erstellt.

LTI

Die Konfiguration und Verwendung von LTI wird in einem speziellen Bereich behandelt, den wir Sie einladen zu konsultieren, um mehr über dieses Thema zu erfahren.

CAS

Voraussetzungen: Der Nudgis-Server und der CAS-Authentifizierungsserver müssen über den Port HTTPS/443 kommunizieren können, die Domäne des Authentifizierungsservers muss aus Sicht des Nudgis-Servers gültig sein und der Authentifizierungsserver muss für Benutzer erreichbar sein (gültige Domäne und offener Port).

Um den CAS-Dienst zu konfigurieren, aktivieren Sie ihn zunächst und wählen Sie den Namen aus, der auf der Authentifizierungsseite angezeigt wird.

Geben Sie die URL des Authentifizierungsservers in das folgende Feld ein und wählen Sie die Version aus.

Die Option zur Überprüfung des SSL-Zertifikats sollte deaktiviert werden, wenn Ihr CAS-Authentifizierungsserver ein selbstsigniertes Zertifikat verwendet.

Die Option zur vollständigen Abmeldung ermöglicht es Ihnen, sich vom CAS-Server abzumelden, wenn Sie sich von Nudgis abmelden.

Wenn Sie den Dienst als Standardauthentifizierung verwenden möchten, werden Benutzer durch Klicken auf die Schaltfläche „Verbinden“ zu Ihrem CAS weitergeleitet (die klassische Authentifizierungsseite bleibt mit dem Suffix /login-local/ zugänglich).

Der letzte Parameter ermöglicht es Ihnen schließlich, das Öffnen Ihrer CAS-Server-Authentifizierungsseite in Iframes zu autorisieren.

SAML

Der nächste Authentifizierungsdienst ist SAML.

Voraussetzungen: In der SAML-Nomenklatur ist Nudgis ein „Dienstanbieter (SP)“ und der Authentifizierungsserver ein „Identitätsanbieter (IdP)“. Der SP und der IdP müssen für Benutzer und untereinander per HTTPS erreichbar sein. Die Metadaten auf jedem Server müssen vom jeweils anderen Server lesbar sein.

Um den Dienst zu konfigurieren, aktivieren Sie ihn. Sie können auch eine Debugging-Option aktivieren, die Details zu Anfragen in Protokolldateien anzeigt.

Sie können dann den Namen des Authentifizierungsdienstes ändern, der auf der Anmeldeseite angezeigt wird.

Wenn Ihr IdP Zugriff auf Nudgis-Metadaten benötigt, aktivieren Sie die entsprechende Option. Für die Konfiguration auf der Nudgis-Seite können Sie eine Metadatendatei oder eine URL verwenden. Die Verwendung einer Datei verbessert die Leistung, muss jedoch ersetzt werden, wenn sie sich auf dem IdP ändert.

Die folgenden Parameter betreffen Fälle, in denen mehrere IdPs in der Metadatendatei vorhanden sind, sowie spezifische Parameter für bestimmte Anbieter.

Als nächstes folgen die Parameter für Attribute und die Feldzuordnung zwischen dem IdP und Nudgis:

Die letzten Parameter ermöglichen es Ihnen schließlich, den Dienst als Standardauthentifizierung zu definieren (was beim Zugriff auf die Anmeldeseite zu einer Weiterleitung führt) und verschiedene Sicherheitsoptionen anzupassen.

Beachten Sie, dass bei gleichzeitiger Aktivierung des LDAP-Dienstes mit SAML, LDAP zum Abrufen von Benutzerattributen und SAML zur Authentifizierung verwendet wird.

LDAP

Der nächste in Nudgis verfügbare Dienst ist der LDAP Dienst.

Voraussetzungen: Der LDAP-Server muss über die Nudgis-Frontends erreichbar sein, die Domäne muss gültig und der Port offen sein (es ist möglich, eine IP anstelle einer Domäne für den LDAP-Server zu verwenden). Die Standard-LDAP-Ports sind 389 für LDAP und 636 für LDAPS.

Dieser erste Rahmen zeigt eine Zusammenfassung der Dienstkonfiguration. Ein Tool zum Testen der Authentifizierung ist ebenfalls hinter der Schaltfläche „Einstellungen testen“ verfügbar, das auch die vom LDAP-Server zurückgegebenen Attribute anzeigt.

Schauen wir uns nun die Konfiguration des Dienstes an. Aktivieren Sie den Dienst und geben Sie dann die Server-URL an (Nudgis unterstützt LDAP und LDAPS). Aktivieren Sie die TLS-Initialisierung, wenn Sie Anfragen an den Server verschlüsseln möchten. Sie können auch wählen, ob die Gültigkeit des Zertifikats bei Aktivierung von TLS überprüft werden soll, oder ein Zertifikat im CRT-Format bereitstellen, wenn das Zertifikat nicht von einer anerkannten Stelle signiert wurde.

Der nächste Parameter aktiviert oder deaktiviert SASL.

Die maximale Wartezeit und die Anzahl der Elemente pro Seite können zur Verwaltung von Leistungsproblemen verwendet werden.

Geben Sie abschließend einen Benutzernamen (im DN-Format) und ein Passwort an, die zum Ausführen von Suchanfragen auf dem LDAP-Server verwendet werden.

Als nächstes folgen die Parameter bezüglich der Attribute und der Übereinstimmung, die zwischen den zurückgegebenen Attributen und den Feldern des Benutzers in Nudgis hergestellt werden soll.

Der letzte Parameter oben ermöglicht LDAP-Suchen in der Nudgis-API. Dies ist besonders relevant, wenn Benutzer Konten von den Seiten für Kanal- und Medienberechtigungen suchen und hinzufügen können sollen.

Im Anschluss können Sie die Parameter und Filter für die LDAP-Suche konfigurieren. Wir gehen hier nicht ins Detail, da die Tooltips bereits ausreichende Informationen und Beispielwerte bieten. Zögern Sie nicht, diese zu konsultieren, wenn Sie unsicher sind.

Der letzte Block der Seite wird schließlich zur Konfiguration der täglichen Synchronisierung verwendet. Diese findet nachts statt und ermöglicht den automatischen Import von Benutzern und möglicherweise deren Gruppen. Wenn Sie möchten, werden Gruppen und Benutzer, die im LDAP-Verzeichnis nicht mehr existieren, automatisch gelöscht.

Sie können auch Kanäle für Gruppen erstellen, die über die Synchronisierung importiert wurden. Benutzer in den Gruppen erhalten Zugriffsrechte auf den entsprechenden Kanal.

OpenID Connect und soziale Authentifizierung

Die verbleibenden Authentifizierungsdienste basieren alle auf Oauth2.

Voraussetzungen: Die Nudgis- und Authentifizierungsserver müssen über HTTPS (Port 443) zugänglich sein. Die Server müssen miteinander kommunizieren können (gültige Domäne und offener Port).

Beginnen wir damit, wie OpenID Connect konfiguriert wird.

Auch hier haben Sie die Möglichkeit, den Dienst zu aktivieren oder zu deaktivieren, den Namen des Dienstes zu ändern, der auf der Anmeldeseite angezeigt wird, oder ihn als Standardauthentifizierung festzulegen, um die Weiterleitung beim Zugriff auf die Anmeldeseite zu automatisieren.

Geben Sie die URL, den Schlüssel und das Geheimnis an. Standardmäßig prüft OpenID Connect auf das Vorhandensein eines „preferred_username“-Schlüssels, Sie können diesen Schlüssel jedoch im Feld „Benutzernamenschlüssel“ überschreiben.

Die Standard-Anwendungsfelder sind „openid“, „profile“ und „email“; Sie können diese ignorieren, indem Sie das letzte Kontrollkästchen auf der Seite aktivieren und zusätzliche Felder in „Scopes“ hinzufügen (Werte müssen durch Kommas getrennt werden).

Schließlich benötigt jeder soziale Authentifizierungsdienst (Authentifizierung basierend auf Konten sozialer Netzwerke) einen Schlüssel (oder eine ID) und ein Geheimnis. Sie finden auch einen Weiterleitungslink, der möglicherweise von der Drittanwendung benötigt wird, wie dies bei Google der Fall ist. Bei Bedarf können Sie schließlich mit dem letzten Kontrollkästchen eine spezielle Authentifizierungsgruppe für Ihre Benutzer erstellen. Standardmäßig sind die einzigen existierenden Authentifizierungsgruppen „Authentifiziert“ und „Nicht authentifiziert“.

Um sie zu erhalten, konsultieren Sie bitte die Dokumentation der betreffenden Dienste:

• Facebook : https://developers.facebook.com/
• Google : https://developers.google.com/identity/oauth2/web/guides/get-google-api-clientid?hl=fr
• Twitter : https://developer.x.com/en/docs/apps/overview
• Microsoft Azure AD : https://learn.microsoft.com/fr-fr/entra/identity-platform/quickstart-register-app#add-credentials

Benutzer, Gruppen und Authentifizierungsdienste haben nun keine Geheimnisse mehr vor Ihnen! Sobald Sie die Dienste Ihrer Wahl konfiguriert haben, können sich Ihre Benutzer ganz einfach bei Nudgis anmelden.

Weiterlesen: „So navigieren Sie in Nudgis“