- Authentifizierung mittels externem Identitätsprovider, wenn Nutzer*in eigene Domain ansteuert (meinverein.login.campai.com oder so)
- "Sign in with Google"/Google Workspace, Auth0, Okta etc.
- Provisionierung von Konten: jede*r mit einer Mail-Adresse des Vereins kann sich registrieren, wenn aktiviert
Gerne auch mit Möglichkeit, Password-Login (optional) zu deaktivieren. Also OAuth-Login only. Da wir bei unserem OAuth-Provider 2-Faktor-Authentifizierung aktiv haben, und das nen Stück sicherer ist.
Unter campai kann jetzt auch die 2-Faktor Authentifizierung aktiviert werden.
Welchen OAuth-Provider habt ihr?
Wir nutzen Microsoft (365) als Provider.
Super, dass ihr 2FA umgesetzt habt!
Der Vorteil von Single-Sign-On mit OAuth (Microsoft 365) wäre dann noch, dass man sich einmal Zugangsdaten spart. Wir haben das OAuth-Login auch in unserem Website-CMS und es ist schon sehr smooth mit einer eindeutigen Identität.
Ok MS 365 kann unser Auth-System schon. Das deaktivieren anderer Zugangsmöglichkeiten geht leider nicht da die Login-Maske ja für alle campai Nutzer global ist. Wir könnten allerdings den Login zB mit MS 365 und Google freischalten würde das helfen?
Es gibt nach meinem Verständis zwei Möglichkeiten:
- OAuth (Ms365, ggf. Google, ...) global für alle Campai-Nutzer aktivieren
- Ihr (also Campai) erstellt in MS Azure eine Azure App, die als OAuth-Provider für alle Microsoft-Konten aller Domänen gültig ist.
- Innerhalb von Campai überprüft ihr, ob die E-Mail-Adresse existiert, dann wird der Microsoft-Account zu dem Campai-Account verknüpft, und der Campai-Account authentifiziert.
- Potentielles Problem: Account Hijacking: Grundsätzlich es möglich, in einer Microsoft Umgebung einen Account zu erstellen, z.B. mustermann@mein-verein.xyz, der nicht zu der tatsächlichen Person gehört. Das geht, weil man ja in MS lokale Domänen erstellen kann. Dann könnte man sich als jede Person in Campai einloggen. Die richtige Lösung wäre also, man müsste sich in Campai einloggen (ggf. mit Einmalpasswort), dann seine OAuth-Identity verknüpfen, fertig (das ist glaub ich gängige Praxis so). Wenn man dann Password-Login deaktivieren kann - perfekt.
- OAuth pro Organisation in Campai aktivieren
- Eine andere Möglichkeit wäre es, jeder Organisation eine eigene Anmeldemaske zu geben. Dann kann jede Organisation ihre eigenen OAuth-Provider konfigurieren.
- Jede Organisation muss dann eigene OAuth-Provider-Credentials hinterlegen (client_id, client_secret).
- Das Problem mit dem Account Hijacking gibts dann so nicht, weil der eigenen Oauth-Provider nur Nutzer der eigenen Domäne zulässt.
+1 das wäre sehr sehr hilfreich für uns, ich habe gerade eben erst das Gleiche vorgeschlagen:
https://community.campai.com/feedback/ticket/418
(nach LDAP und OIDC gesucht, aber nicht nach OAuth 😃)
Hi Florian, du redest wohl über Mitglieder bzw. über die Campai App?
Ich rede über die Benutzerkonten, die sich in app.campai.com anmelden können (alle Benutzer bei uns haben bereits einen Account in O365).