OAuth  #15

 OffenWird überprüft
Ghostcat
 hat dieses Ticket geöffnet vor 3 Jahren in 💡 Features • 14 Kommentare
Ghostcat
 Dienstag, 02.08.2022, 20:09
  • Authentifizierung mittels externem Identitätsprovider, wenn Nutzer*in eigene Domain ansteuert (meinverein.login.campai.com oder so)
  • "Sign in with Google"/Google Workspace, Auth0, Okta etc.
  • Provisionierung von Konten: jede*r mit einer Mail-Adresse des Vereins kann sich registrieren, wenn aktiviert
Oliver
 Status geändert in Wird überprüft Sonntag, 08.10.2023, 09:11
Richard
 Mittwoch, 18.10.2023, 15:41

Gerne auch mit Möglichkeit, Password-Login (optional) zu deaktivieren. Also OAuth-Login only. Da wir bei unserem OAuth-Provider 2-Faktor-Authentifizierung aktiv haben, und das nen Stück sicherer ist.

Alexander Adam
 Mittwoch, 08.11.2023, 09:43

Unter campai kann jetzt auch die 2-Faktor Authentifizierung aktiviert werden.


Welchen OAuth-Provider habt ihr?

Richard
 Mittwoch, 08.11.2023, 09:49

Wir nutzen Microsoft (365) als Provider.


Super, dass ihr 2FA umgesetzt habt!


Der Vorteil von Single-Sign-On mit OAuth (Microsoft 365) wäre dann noch, dass man sich einmal Zugangsdaten spart. Wir haben das OAuth-Login auch in unserem Website-CMS und es ist schon sehr smooth mit einer eindeutigen Identität.

Alexander Adam
 Mittwoch, 08.11.2023, 10:23

Ok MS 365 kann unser Auth-System schon. Das deaktivieren anderer Zugangsmöglichkeiten geht leider nicht da die Login-Maske ja für alle campai Nutzer global ist. Wir könnten allerdings den Login zB mit MS 365 und Google freischalten würde das helfen?

Richard
 Mittwoch, 08.11.2023, 11:56

Es gibt nach meinem Verständis zwei Möglichkeiten:


  1. OAuth (Ms365, ggf. Google, ...) global für alle Campai-Nutzer aktivieren
  • Ihr (also Campai) erstellt in MS Azure eine Azure App, die als OAuth-Provider für alle Microsoft-Konten aller Domänen gültig ist.
  • Innerhalb von Campai überprüft ihr, ob die E-Mail-Adresse existiert, dann wird der Microsoft-Account zu dem Campai-Account verknüpft, und der Campai-Account authentifiziert.
  • Potentielles Problem: Account Hijacking: Grundsätzlich es möglich, in einer Microsoft Umgebung einen Account zu erstellen, z.B. mustermann@mein-verein.xyz, der nicht zu der tatsächlichen Person gehört. Das geht, weil man ja in MS lokale Domänen erstellen kann. Dann könnte man sich als jede Person in Campai einloggen. Die richtige Lösung wäre also, man müsste sich in Campai einloggen (ggf. mit Einmalpasswort), dann seine OAuth-Identity verknüpfen, fertig (das ist glaub ich gängige Praxis so). Wenn man dann Password-Login deaktivieren kann - perfekt.


  1. OAuth pro Organisation in Campai aktivieren
  • Eine andere Möglichkeit wäre es, jeder Organisation eine eigene Anmeldemaske zu geben. Dann kann jede Organisation ihre eigenen OAuth-Provider konfigurieren.
  • Jede Organisation muss dann eigene OAuth-Provider-Credentials hinterlegen (client_id, client_secret).
  • Das Problem mit dem Account Hijacking gibts dann so nicht, weil der eigenen Oauth-Provider nur Nutzer der eigenen Domäne zulässt.
Oliver
 hinzugefügt Benutzerverwaltung Label Freitag, 10.11.2023, 22:20
Florian Schmeding
 Samstag, 25.11.2023, 14:45

+1 das wäre sehr sehr hilfreich für uns, ich habe gerade eben erst das Gleiche vorgeschlagen:

https://community.campai.com/feedback/ticket/418

(nach LDAP und OIDC gesucht, aber nicht nach OAuth 😃)

Richard
 Sonntag, 17.03.2024, 15:46

Hi Florian, du redest wohl über Mitglieder bzw. über die Campai App?


Ich rede über die Benutzerkonten, die sich in app.campai.com anmelden können (alle Benutzer bei uns haben bereits einen Account in O365).

Richard
 Donnerstag, 12.12.2024, 09:49

Hallo, immer noch ein Anliegen bei uns, den Login auf admin.campai.com über SSO zu ermöglichen 😃


Ich bin dabei, bei uns im Verein Passwörter komplett abzuschaffen und komplett auf SSO umzustellen. Für die Sicherheit und Einfachheit. Wir nutzen Microsoft 365.

info
 Samstag, 22.02.2025, 17:12

+1

Fände ich auch ne super Idee zumal Alexander Adam ja schon geschrieben hat, dass es das System zumindest mit MS 365 schon hergibt.
@Alexander könntest du den Login bei uns dafür freischalten?

Alexander Adam
 Dienstag, 25.02.2025, 15:01

Schauen wir uns die Woche an ist nicht ganz trivial wenn alles gut geht und nichts im Wege steht könnte es nächste Woche drin sein.

Alexander Adam
 Mittwoch, 26.02.2025, 08:37

Update: Hatten es versucht aber gab ein paar Probleme. Werden diese diese Woche fixen und ab nächster Woche sollte es dann bereit stehen.

Alexander Adam
 Mittwoch, 05.03.2025, 08:50

Hallo,


Das Ganze wurde veröffentlicht.

Richard
 Mittwoch, 05.03.2025, 21:24

Hallo, vielen Dank für euren Einsatz!
Kann man bestehende Nutzer mit der neuen SSO-Identität verknüpfen? Aktuell erhalte ich den Fehler "E-Mail bereits vergeben" bei SSO-Login.

Alexander Adam
 Mittwoch, 12.03.2025, 17:32

Hi,


Hmm nein das geht leider noch nicht 😦


lg

Alex

24
Je mehr Upvotes, desto höher ist die Wahrscheinlichkeit der Implementierung/Umsetzung
Weitere Aktionen
4 Abonnenten
Abonnieren, um Benachrichtigungen über Änderungen an diesem Ticket in deinem persönlichen Feed zu erhalten
Chatbot
Bot

Hallo! Wie kann ich dir heute helfen?