- Authentifizierung mittels externem Identitätsprovider, wenn Nutzer*in eigene Domain ansteuert (meinverein.login.campai.com oder so)
- "Sign in with Google"/Google Workspace, Auth0, Okta etc.
- Provisionierung von Konten: jede*r mit einer Mail-Adresse des Vereins kann sich registrieren, wenn aktiviert
Gerne auch mit Möglichkeit, Password-Login (optional) zu deaktivieren. Also OAuth-Login only. Da wir bei unserem OAuth-Provider 2-Faktor-Authentifizierung aktiv haben, und das nen Stück sicherer ist.
Unter campai kann jetzt auch die 2-Faktor Authentifizierung aktiviert werden.
Welchen OAuth-Provider habt ihr?
Wir nutzen Microsoft (365) als Provider.
Super, dass ihr 2FA umgesetzt habt!
Der Vorteil von Single-Sign-On mit OAuth (Microsoft 365) wäre dann noch, dass man sich einmal Zugangsdaten spart. Wir haben das OAuth-Login auch in unserem Website-CMS und es ist schon sehr smooth mit einer eindeutigen Identität.
Ok MS 365 kann unser Auth-System schon. Das deaktivieren anderer Zugangsmöglichkeiten geht leider nicht da die Login-Maske ja für alle campai Nutzer global ist. Wir könnten allerdings den Login zB mit MS 365 und Google freischalten würde das helfen?
Es gibt nach meinem Verständis zwei Möglichkeiten:
- OAuth (Ms365, ggf. Google, ...) global für alle Campai-Nutzer aktivieren
- Ihr (also Campai) erstellt in MS Azure eine Azure App, die als OAuth-Provider für alle Microsoft-Konten aller Domänen gültig ist.
- Innerhalb von Campai überprüft ihr, ob die E-Mail-Adresse existiert, dann wird der Microsoft-Account zu dem Campai-Account verknüpft, und der Campai-Account authentifiziert.
- Potentielles Problem: Account Hijacking: Grundsätzlich es möglich, in einer Microsoft Umgebung einen Account zu erstellen, z.B. mustermann@mein-verein.xyz, der nicht zu der tatsächlichen Person gehört. Das geht, weil man ja in MS lokale Domänen erstellen kann. Dann könnte man sich als jede Person in Campai einloggen. Die richtige Lösung wäre also, man müsste sich in Campai einloggen (ggf. mit Einmalpasswort), dann seine OAuth-Identity verknüpfen, fertig (das ist glaub ich gängige Praxis so). Wenn man dann Password-Login deaktivieren kann - perfekt.
- OAuth pro Organisation in Campai aktivieren
- Eine andere Möglichkeit wäre es, jeder Organisation eine eigene Anmeldemaske zu geben. Dann kann jede Organisation ihre eigenen OAuth-Provider konfigurieren.
- Jede Organisation muss dann eigene OAuth-Provider-Credentials hinterlegen (client_id, client_secret).
- Das Problem mit dem Account Hijacking gibts dann so nicht, weil der eigenen Oauth-Provider nur Nutzer der eigenen Domäne zulässt.
+1 das wäre sehr sehr hilfreich für uns, ich habe gerade eben erst das Gleiche vorgeschlagen:
https://community.campai.com/feedback/ticket/418
(nach LDAP und OIDC gesucht, aber nicht nach OAuth 😃)
Hi Florian, du redest wohl über Mitglieder bzw. über die Campai App?
Ich rede über die Benutzerkonten, die sich in app.campai.com anmelden können (alle Benutzer bei uns haben bereits einen Account in O365).
Hallo, immer noch ein Anliegen bei uns, den Login auf admin.campai.com über SSO zu ermöglichen 😃
Ich bin dabei, bei uns im Verein Passwörter komplett abzuschaffen und komplett auf SSO umzustellen. Für die Sicherheit und Einfachheit. Wir nutzen Microsoft 365.
+1
Fände ich auch ne super Idee zumal Alexander Adam ja schon geschrieben hat, dass es das System zumindest mit MS 365 schon hergibt.
@Alexander könntest du den Login bei uns dafür freischalten?
Schauen wir uns die Woche an ist nicht ganz trivial wenn alles gut geht und nichts im Wege steht könnte es nächste Woche drin sein.
Update: Hatten es versucht aber gab ein paar Probleme. Werden diese diese Woche fixen und ab nächster Woche sollte es dann bereit stehen.
Hallo,
Das Ganze wurde veröffentlicht.
Hallo, vielen Dank für euren Einsatz!
Kann man bestehende Nutzer mit der neuen SSO-Identität verknüpfen? Aktuell erhalte ich den Fehler "E-Mail bereits vergeben" bei SSO-Login.
Hi,
Hmm nein das geht leider noch nicht 😦
lg
Alex
Hi,
ich habe auch Interesse an einer sso-Lösung für diverse Dienste im Verein. Kann jemand kurz zusammenfassen, was im Augenblick der Stand der Dinge ist?
Wo werden Benutzerkonten angelegt und verwaltet, so, dass ich mich mit den Daten bei campai anmelden kann?
Heyho, wollte nur mitteilen dass ich die Implementierung gerade nochmal getestet habe und es nicht zum laufen bekommen habe.
Da man derweil keine existierenden Benutzer mit einer Oauth-identity verknüpfen kann (fehlermeldung: email bereits vergeben), habe ich mich mal versucht mit einem neuen account (unbekannte email) zu registrieren, dann kam eine Fehlermeldung. Dann habe ich die E-Mail-Adresse eingeladen und dann nochmal versucht, mich anzumelden, selbige Fehlermeldung.
Was hingegen wunderbar funktioniert ist die Entra-Sync-Anwendung 😉
Hi!
Welchen SSO Provider für die neue Mail hast Du verwendet, Microsoft? Hast du einen Login oder ein Signup damit gemacht?
Soweit ich das verstehe müsste es doch gehen (bitte korrigiere mich):
- Neuen Nutzer über seine MS Mail einladen
- Nutzer macht einen Signup und nimmt die Einladung über SSO an
- Nutzerkonto ist jetzt mit SSO verbunden
Hallo,
Schritt 2, also der Signup, funktioniert leider nicht. Hier nochmal eine Bilderstrecke.
Ah ok verstande, ich lasse das mal anschauen
Hallo Richard,
Wir haben das intern geprüft können den Fehler aber nicht nachstellen. Wir haben unsere OpenID Server aber jetzt mit bessern Fehlermeldungen ausgestattet -- kannst du es nochmal versuchen und ggf die neue Fehlermeldung uns sagen?
Hallo, vielen Dank für euren Einsatz!
Kann man bestehende Nutzer mit der neuen SSO-Identität verknüpfen? Aktuell erhalte ich den Fehler "E-Mail bereits vergeben" bei SSO-Login.
Geht das mittlerweile ?
Nein, dafür müssten wir die Original-Email Adressen erst verifizieren etc ist also etwas komplexer. Am "einfachsten" wäre die eigene eMail Adresse ändern oder Nutzer löschen und sich dann via SSO anmelden.
Habs noch ein paar mal probiert. auch Admin Consent in Entra gegeben. Fehlermeldung lautet immer "Die Anmeldung mit Microsoft war nicht erfolgreich"
