OAuth  #15

 OffenWird überprüft
Ghostcat
 hat dieses Ticket geöffnet vor 2 Jahren in 💡 Features • 7 Kommentare
Ghostcat
 Dienstag, 02.08.2022, 20:09
  • Authentifizierung mittels externem Identitätsprovider, wenn Nutzer*in eigene Domain ansteuert (meinverein.login.campai.com oder so)
  • "Sign in with Google"/Google Workspace, Auth0, Okta etc.
  • Provisionierung von Konten: jede*r mit einer Mail-Adresse des Vereins kann sich registrieren, wenn aktiviert
Oliver
 Status geändert in Wird überprüft Sonntag, 08.10.2023, 09:11
Richard
 Mittwoch, 18.10.2023, 15:41

Gerne auch mit Möglichkeit, Password-Login (optional) zu deaktivieren. Also OAuth-Login only. Da wir bei unserem OAuth-Provider 2-Faktor-Authentifizierung aktiv haben, und das nen Stück sicherer ist.

Alexander Adam
 Mittwoch, 08.11.2023, 09:43

Unter campai kann jetzt auch die 2-Faktor Authentifizierung aktiviert werden.


Welchen OAuth-Provider habt ihr?

Richard
 Mittwoch, 08.11.2023, 09:49

Wir nutzen Microsoft (365) als Provider.


Super, dass ihr 2FA umgesetzt habt!


Der Vorteil von Single-Sign-On mit OAuth (Microsoft 365) wäre dann noch, dass man sich einmal Zugangsdaten spart. Wir haben das OAuth-Login auch in unserem Website-CMS und es ist schon sehr smooth mit einer eindeutigen Identität.

Alexander Adam
 Mittwoch, 08.11.2023, 10:23

Ok MS 365 kann unser Auth-System schon. Das deaktivieren anderer Zugangsmöglichkeiten geht leider nicht da die Login-Maske ja für alle campai Nutzer global ist. Wir könnten allerdings den Login zB mit MS 365 und Google freischalten würde das helfen?

Richard
 Mittwoch, 08.11.2023, 11:56

Es gibt nach meinem Verständis zwei Möglichkeiten:


  1. OAuth (Ms365, ggf. Google, ...) global für alle Campai-Nutzer aktivieren
  • Ihr (also Campai) erstellt in MS Azure eine Azure App, die als OAuth-Provider für alle Microsoft-Konten aller Domänen gültig ist.
  • Innerhalb von Campai überprüft ihr, ob die E-Mail-Adresse existiert, dann wird der Microsoft-Account zu dem Campai-Account verknüpft, und der Campai-Account authentifiziert.
  • Potentielles Problem: Account Hijacking: Grundsätzlich es möglich, in einer Microsoft Umgebung einen Account zu erstellen, z.B. mustermann@mein-verein.xyz, der nicht zu der tatsächlichen Person gehört. Das geht, weil man ja in MS lokale Domänen erstellen kann. Dann könnte man sich als jede Person in Campai einloggen. Die richtige Lösung wäre also, man müsste sich in Campai einloggen (ggf. mit Einmalpasswort), dann seine OAuth-Identity verknüpfen, fertig (das ist glaub ich gängige Praxis so). Wenn man dann Password-Login deaktivieren kann - perfekt.


  1. OAuth pro Organisation in Campai aktivieren
  • Eine andere Möglichkeit wäre es, jeder Organisation eine eigene Anmeldemaske zu geben. Dann kann jede Organisation ihre eigenen OAuth-Provider konfigurieren.
  • Jede Organisation muss dann eigene OAuth-Provider-Credentials hinterlegen (client_id, client_secret).
  • Das Problem mit dem Account Hijacking gibts dann so nicht, weil der eigenen Oauth-Provider nur Nutzer der eigenen Domäne zulässt.
Oliver
 hinzugefügt Benutzerverwaltung Label Freitag, 10.11.2023, 22:20
Florian Schmeding
 Samstag, 25.11.2023, 14:45

+1 das wäre sehr sehr hilfreich für uns, ich habe gerade eben erst das Gleiche vorgeschlagen:

https://community.campai.com/feedback/ticket/418

(nach LDAP und OIDC gesucht, aber nicht nach OAuth 😃)

Richard
 Sonntag, 17.03.2024, 15:46

Hi Florian, du redest wohl über Mitglieder bzw. über die Campai App?


Ich rede über die Benutzerkonten, die sich in app.campai.com anmelden können (alle Benutzer bei uns haben bereits einen Account in O365).

22
Je mehr Upvotes, desto höher ist die Wahrscheinlichkeit der Implementierung/Umsetzung
Weitere Aktionen
3 Abonnenten
Abonnieren, um Benachrichtigungen über Änderungen an diesem Ticket in deinem persönlichen Feed zu erhalten
Chatbot
Bot

Hallo! Wie kann ich dir heute helfen?