Kontext
Bei MENU gibt es viele verschiedene Domänen, die für unterschiedliche Funktionen und Produkte innerhalb unseres Ökosystems genutzt werden. Das bedeutet, dass du jedes Mal, wenn du zwischen den Domänen wechselst, dich neu anmelden musst.
Das und die Migration vom CMS zum Management Center (MC) hat uns dazu gebracht, endlich das zu tun, was wir schon immer wollten, nämlich die Dinge einfacher und verständlicher zu gestalten.
Nach diesem Motto haben wir eine einheitliche Anmeldefunktion für alle Benutzer entwickelt. Dabei handelt es sich um unsere Version des Single Sign-On oder SSO, das du sicher schon kennst. Das bedeutet, dass du jetzt über einen einzigen Punkt Zugang zu allen vertrauenswürdigen Domänen erhalten kannst.
Bitte beachte: Im Moment gilt dies nur für CMS und MC. Außerdem hast du die Möglichkeit, dich zu anderen MENU-Anwendungen weiterleiten zu lassen. Für diese musst du dich jedoch weiterhin anmelden, bis sie mit SSO verbunden sind.
Single Sign-On (SSO) - was ist das?
SSO ist eine gängige Integrationslösung, die weltweit von vielen Unternehmen genutzt wird, unabhängig von deren Branche und Unternehmensgröße. Ein SSO-System ermöglicht eine einheitliche Anmeldeauthentifizierung für Anwendungssysteme. Benutzer können sich einmal anmelden und erhalten Zugang zu allen Anwendungssystemen, die vertrauenswürdig sind.
Was nützt mir das?
SSO verbessert nicht nur das Benutzererlebnis, sondern es reduziert auch Sicherheitsrisiken und Verwaltungskosten. Somit sparst du Zeit, da du dich nur einmal über das „Haupttor“ anmelden musst. Dieses Tor weiß, dass ausgewählte Anwendungen und Webseiten sicher sind, und lässt dich daher einfach in alle anderen Anwendungen und Webseiten, die vertrauenswürdig sind, hinein.
So sieht die Liste der vertrauenswürdigen Anwendungen aus (obere rechte Ecke im MC). Bei MENU nennen wir das Application Tray oder App Tray.
Mehr dazu erfährst du in diesem Artikel.
Bitte beachten: Wie bereits erwähnt, funktioniert die einheitliche Anmeldung derzeit nur für MC und CMS. In Zukunft kannst du vom Admin-Panel im Management Center aus auch auf das Customization Center, die Marketing-Webseite sowie die Wissensdatenbank zugreifen. Derzeit musst du dich aber noch selbstständig anmelden, bis alles ins SSO integriert wurde.
Über die Sicherheit musst du dir auch keine Gedanken machen. Es handelt sich hier nicht nur um einen sogenannten „geschlossenen Vertrauenskreislauf“ zwischen dem Haupttor und den anderen Tools, sondern auch um einen einzigen Anmeldezyklus bei dem du dir keine Vielzahl von Anmeldedaten und Passwörtern merken musst!
Sicherheit
Wir müssen hier kurz in die Tiefe gehen. Das SSO-System besteht aus einem SSO-Server und SSO-Clients. Der SSO-Server und die SSO-Clients authentifizieren gemeinsam die Anmeldeanfragen. Der SSO-Server erstellt und verwaltet Zertifikate. Die SSO-Clients werden zusammen mit den Anwendungssystemen eingesetzt, um eine Schnittstelle für die Zertifikatsauthentifizierung zu schaffen, über die die Anwendungssysteme mit dem SSO-Server kommunizieren können.
Schritt-für-Schritt-Authentifizierungsablauf
Jetzt lass uns das Ganze etwas einfacher formulieren. Im Folgenden erfährst du, wie der Vorgang tatsächlich abläuft, und unten siehst du ein Diagramm, das den Ablauf darstellt:
-
Ein Benutzer geht zu der Anwendung, auf die er zugreifen möchte: dem CMS. Das CMS ist in diesem Fall der Service-Provider, also Dienstanbieter.
-
Der Service Provider, in diesem Fall also das CMS, sendet ein Token, das bestimmte Informationen über den Benutzer enthält (die E-Mail-Adresse und den application_key-Header für diesen Benutzer) an das SSO-System, also den Identitätsanbieter oder den Authentifizierungsdienst. In diesem Fall ist es das Management Center (MC). Das sieht dann ungefähr so aus: Das CMS fragt das MC - Hey, bitte authentifiziere diesen Benutzer für mich, damit ich weiß, dass ich ihm Zugang gewähren darf
-
Der Identitätsanbieter (MC) überprüft zuerst, ob der Benutzer bereits authentifiziert wurde:
Fall das zutrifft, wird dem Benutzer der Zugang zum Dienstanbieter (CMS) gewährt.
Bitte beachte: Wurde der Benutzer bereits authentifiziert, sprich man von einer globalen Sitzung. Anschließend sendet der Server ein Authentifizierungs-Token an die „domain1“ und die Sitzungscookies werden im Cookie-Speicher des Browsers abgelegt. In diesem Fall erfolgt Schritt 5 als nächstes -
Falls der Benutzer sich noch nicht angemeldet hat (also noch nicht authentifiziert wurde), wird er aufgefordert, dies zu tun, indem er die vom Identitätsanbieter (MC) geforderten Anmeldedaten angibt. Bei MENU ist das lediglich die E-Mail-Adresse, mit der der passwortlose magische Link generiert wird. In diesem Fall erfolgt Schritt 3 als nächstes
-
-
Der Identitätsanbieter (MC) überprüft die Anmeldedaten, indem er die E-Mail-Adresse und den application_key-Header des Benutzers sendet. Der Authentifizierungsdienst sendet ein signiertes Token an den Dienstanbieter (CMS) zurück, in dem bestätigt wird, dass dieser Benutzer korrekt identifiziert wurde und er den Zugang erhalten kann.
-
Der Benutzer wird nun auf die ursprüngliche Domäne, also zum (CMS) weitergeleitet. Das Token wird über den Browser des Benutzers an den Dienstanbieter (CMS) weitergeleitet. Im Falle einer erfolgreichen Überprüfung, senden wir ein signiertes JWT (JSON Web Token) mit den Profilinformationen des Benutzers zurück.
-
Das Token, das der Dienstanbieter (CMS) erhält wird entsprechend dem Vertrauensverhältnis, das zwischen dem Dienstanbieter (CMS) und dem Identitätsanbieter (MC) während der Erstkonfiguration eingerichtet wurde, überprüft. Anschließend wird eine lokale Sitzung auf Basis der JSON-Web-Token-Nutzdaten erstellt. Das CMS-Cookie wird ebenfalls im Browser gespeichert.
-
Der Benutzer erhält den Zugang zum Dienstanbieter (CMS).
-
Wenn der Benutzer versucht, auf einen anderen Dienstanbieter als dem CMS zuzugreifen, wird dieser als neuer Dienstanbieter behandelt. Das bedeutet, dass eine entsprechende Vertrauensbeziehung mit der SSO-Lösung eingerichtet sein muss. Wenn dies der Fall ist, folgt der Authentifizierungsablauf demselben Ablauf
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.