OAuth  #15

Gerne auch mit Möglichkeit, Password-Login (optional) zu deaktivieren. Also OAuth-Login only. Da wir bei unserem OAuth-Provider 2-Faktor-Authentifizierung aktiv haben, und das nen Stück sicherer ist.

Unter campai kann jetzt auch die 2-Faktor Authentifizierung aktiviert werden.

Welchen OAuth-Provider habt ihr?

Wir nutzen Microsoft (365) als Provider.

Super, dass ihr 2FA umgesetzt habt!

Der Vorteil von Single-Sign-On mit OAuth (Microsoft 365) wäre dann noch, dass man sich einmal Zugangsdaten spart. Wir haben das OAuth-Login auch in unserem Website-CMS und es ist schon sehr smooth mit einer eindeutigen Identität.

Ok MS 365 kann unser Auth-System schon. Das deaktivieren anderer Zugangsmöglichkeiten geht leider nicht da die Login-Maske ja für alle campai Nutzer global ist. Wir könnten allerdings den Login zB mit MS 365 und Google freischalten würde das helfen?

Es gibt nach meinem Verständis zwei Möglichkeiten:

1. OAuth (Ms365, ggf. Google, ...) global für alle Campai-Nutzer aktivieren

• Ihr (also Campai) erstellt in MS Azure eine Azure App, die als OAuth-Provider für alle Microsoft-Konten aller Domänen gültig ist.
• Innerhalb von Campai überprüft ihr, ob die E-Mail-Adresse existiert, dann wird der Microsoft-Account zu dem Campai-Account verknüpft, und der Campai-Account authentifiziert.
• Potentielles Problem: Account Hijacking: Grundsätzlich es möglich, in einer Microsoft Umgebung einen Account zu erstellen, z.B. mustermann@mein-verein.xyz, der nicht zu der tatsächlichen Person gehört. Das geht, weil man ja in MS lokale Domänen erstellen kann. Dann könnte man sich als jede Person in Campai einloggen. Die richtige Lösung wäre also, man müsste sich in Campai einloggen (ggf. mit Einmalpasswort), dann seine OAuth-Identity verknüpfen, fertig (das ist glaub ich gängige Praxis so). Wenn man dann Password-Login deaktivieren kann - perfekt.

2. OAuth pro Organisation in Campai aktivieren

• Eine andere Möglichkeit wäre es, jeder Organisation eine eigene Anmeldemaske zu geben. Dann kann jede Organisation ihre eigenen OAuth-Provider konfigurieren.
• Jede Organisation muss dann eigene OAuth-Provider-Credentials hinterlegen (client_id, client_secret).
• Das Problem mit dem Account Hijacking gibts dann so nicht, weil der eigenen Oauth-Provider nur Nutzer der eigenen Domäne zulässt.

+1 das wäre sehr sehr hilfreich für uns, ich habe gerade eben erst das Gleiche vorgeschlagen:

https://community.campai.com/feedback/ticket/418

(nach LDAP und OIDC gesucht, aber nicht nach OAuth 😃)

Hi Florian, du redest wohl über Mitglieder bzw. über die Campai App?

Ich rede über die Benutzerkonten, die sich in app.campai.com anmelden können (alle Benutzer bei uns haben bereits einen Account in O365).

Hallo, immer noch ein Anliegen bei uns, den Login auf admin.campai.com über SSO zu ermöglichen 😃

Ich bin dabei, bei uns im Verein Passwörter komplett abzuschaffen und komplett auf SSO umzustellen. Für die Sicherheit und Einfachheit. Wir nutzen Microsoft 365.

+1

Fände ich auch ne super Idee zumal Alexander Adam ja schon geschrieben hat, dass es das System zumindest mit MS 365 schon hergibt.
@Alexander könntest du den Login bei uns dafür freischalten?

Schauen wir uns die Woche an ist nicht ganz trivial wenn alles gut geht und nichts im Wege steht könnte es nächste Woche drin sein.

Update: Hatten es versucht aber gab ein paar Probleme. Werden diese diese Woche fixen und ab nächster Woche sollte es dann bereit stehen.

Hallo,

Das Ganze wurde veröffentlicht.

Hallo, vielen Dank für euren Einsatz!
Kann man bestehende Nutzer mit der neuen SSO-Identität verknüpfen? Aktuell erhalte ich den Fehler "E-Mail bereits vergeben" bei SSO-Login.

Hi,

Hmm nein das geht leider noch nicht 😦

lg

Alex

Hi,

ich habe auch Interesse an einer sso-Lösung für diverse Dienste im Verein. Kann jemand kurz zusammenfassen, was im Augenblick der Stand der Dinge ist?

Wo werden Benutzerkonten angelegt und verwaltet, so, dass ich mich mit den Daten bei campai anmelden kann?

Heyho, wollte nur mitteilen dass ich die Implementierung gerade nochmal getestet habe und es nicht zum laufen bekommen habe.

Da man derweil keine existierenden Benutzer mit einer Oauth-identity verknüpfen kann (fehlermeldung: email bereits vergeben), habe ich mich mal versucht mit einem neuen account (unbekannte email) zu registrieren, dann kam eine Fehlermeldung. Dann habe ich die E-Mail-Adresse eingeladen und dann nochmal versucht, mich anzumelden, selbige Fehlermeldung.

Was hingegen wunderbar funktioniert ist die Entra-Sync-Anwendung 😉

Hi!

Welchen SSO Provider für die neue Mail hast Du verwendet, Microsoft? Hast du einen Login oder ein Signup damit gemacht?

Soweit ich das verstehe müsste es doch gehen (bitte korrigiere mich):

- Neuen Nutzer über seine MS Mail einladen
- Nutzer macht einen Signup und nimmt die Einladung über SSO an
- Nutzerkonto ist jetzt mit SSO verbunden

Hallo,

Schritt 2, also der Signup, funktioniert leider nicht. Hier nochmal eine Bilderstrecke.

Ah ok verstande, ich lasse das mal anschauen

Hallo Richard,

Wir haben das intern geprüft können den Fehler aber nicht nachstellen. Wir haben unsere OpenID Server aber jetzt mit bessern Fehlermeldungen ausgestattet -- kannst du es nochmal versuchen und ggf die neue Fehlermeldung uns sagen?

Hallo, vielen Dank für euren Einsatz!
Kann man bestehende Nutzer mit der neuen SSO-Identität verknüpfen? Aktuell erhalte ich den Fehler "E-Mail bereits vergeben" bei SSO-Login.

Geht das mittlerweile ?

Nein, dafür müssten wir die Original-Email Adressen erst verifizieren etc ist also etwas komplexer. Am "einfachsten" wäre die eigene eMail Adresse ändern oder Nutzer löschen und sich dann via SSO anmelden.

Habs noch ein paar mal probiert. auch Admin Consent in Entra gegeben. Fehlermeldung lautet immer "Die Anmeldung mit Microsoft war nicht erfolgreich"

Hi Richard,

I'm a developer at campai, and I've been looking into the issue you reported.

We weren't able to reproduce the error on our side, but we suspect that it might be related to Microsoft authentication returning an unexpected error during the login process. To help us better understand what's going wrong, we've improved the logging and error messages in this area.

Could you please try logging in again? If the error occurs again, it would be very helpful if you could copy the URL of the error page and share it with us.

Thanks for your help and patience.

Guilherme

Hi Guilherme,

I hope this helps?

https://campai.blue-id.com/interaction/OaWRx5Y9Zeg2Ll_W0bLKE/microsoft/login?code=1.AUsAXdlYl-NlpU6yO-oS6-SbfLv6LwgJrUBDp5BKUysOJnYUAQBLAA.AgABBAIAAABVrSpeuWamRam2jAF1XRQEAwDs_wUA9P-U3VbAcdXA54DKQ3vXbvkJ0VvB8RCLyXJSwOyF_dk70bppqADZYJwY5VHOQ6PMlppFFdg6D_JckoU5H6xxnC6_FS-riscaLwwvmYbtkKkmt2o2PIJ-JtgC5KQdZs0W2W5KKKPKiTFxyohVlF3Y50MZIkFb_8lb3KSSf5Hw6Pt7t0Pmou_TkI_Gew9uBa0gP1FCejIsR4DREOc19PuA3NxOvCkka_B5zajnpUsSMFCT6HiXdkI2qspzJjHEzn00_NfR0BK8VkGPMTIjHQkUXMpH8l5_I3PqLb519BnA4ek1sT4R_ESo7uY48izSkoRe85qQj78TZ5zsfJNGoOrTcl-sTwBU4kgmNoQgUEFtXJGRzPwY8XPT_rarGfY4zsjEuUatokmMEQOYtYQYREr4aYkleNsL0sKztokHHxStpXWTASmvMPw6UDusElwkVugKFInx1Wx1jP95pde0dlDZoZ3sJzFc4pHvaZv6822GrNkWip5z2V6HxBKXPaDbr_v-Jhfpqn4WF9InP-0mM0jRkRYPTrCecBWqsbctSjguYqugvQ3rbOLgGMerKYUwGtYPY2n_06JzOEbuKKbuNQb39yGC1NTC7zohLh8t0PYTVaki7J6R78bX-EGFC-p0AhyXF1zDCp5echVMnBYa_gVQTSPpf7Qn4FxzsXjWlFyc_w7wsI5iEMj5kEJRh-IDUkEWWGhpxwxWHEu-T7h9Jw64vTxirzNCteJYgKgHvsRJUPxhIHeSSMsfU1PRSR_ypD0l_RYDBn-WKEVapi5IT_WWhMkCyHBYyyHixVJmyU_QNdfRL-lb5zKiFO6D22eR-rO-m47u1jwMTtDuPQxmKT6NEGQd9by4qhO9pfl-CYs2aOBQEjRowClVx8vhvLjbVHifYTQw4AY1aKqq-e0ZqQgoiecEodFSac-l&session_state=006be919-783a-2bfb-9cf0-5679da401fbf&state=OaWRx5Y9Zeg2Ll_W0bLKE|f356cf54c9e9e48188f008720b49bbf1ebd30909b44c8643d8469bd7a20304f6

It is a test account from my microsoft domain.

Best, Richard

Thanks for sending over the URL and the error message, that was really helpful.

Based on the information you provided, I've implemented a potential fix that should address the issue you encountered. While I can't say with complete certainty what exactly caused the problem, it seems to be related to how Microsoft sometimes provides user information during login.

I've made some adjustments to how we handle this and also improved the error messages in case something goes wrong again.

When you have a moment, please try logging in again and let me know if everything works as expected now.

Hi!

I was able to successfully register. The account was created.

Thank you!