Single Sign-on

Anmelden mit dem drkserver - an Systemen, die nicht der drkserver sind. Das geht über das Single Sign-on, kurz SSO. Lerne hier Beispiele kennen aus Ortsvereinen, Gemeinschaften, Kreis- und Landesverbänden. Und erfahre, wie du das SSO für dein System vor Ort einrichtest. Das SSO ist kostenlos.

David Leeder ist Leiter und Zugführer einer Einsatzeinheit im Landkreis Konstanz. Die Einheit nutzt den SSO für die Webseite.

“Weniger Passwortstress: Freut das Gedächtnis”

Nicht nur im Landkreis Konstanz, auch anderswo im DRK ist SSO ein Thema. "Gerade für die ältere Generation, aber auch für junge Menschen, die nicht in digitalen Jobs unterwegs sind, gibt es nichts Schlimmeres als auch noch zehn verschiedene Accounts fürs Ehrenamt zu haben", sagt Stefan Fricke, stellvertretender technischer Leiter der Wasserwacht im Landesverband Nordrhein.

Marcel Notbohm aus dem OV Negenborn in Niedersachsen sagt: "Ein zentrales Login bedeutet auch weniger Passwortstress für die Nutzer – ein Login, viele Dienste. Das freut nicht nur die Admins, sondern auch das Gedächtnis."

“Akzeptanz war schnell da”

Im OV Lingenfeld in Rheinland-Pfalz melden sich die DRK´ler*innen bei einer Software namens Sitzungsprofi mit ihren drkserver-Daten an. Sitzungsprofi "hatte bereits ein "Login mit dem DLRG" implementiert", sagt Thomas Karn vom OV Lingenfeld. "So war auch schnell die Akzeptanz da ein "Login mit dem drkserver" zu implementieren."

Spart Zeit, reduziert Fehler

Der OV Negenborn nutzt das SSO schon seit mehreren Jahren für eine selbst gehostete Nextcloud. "Prinzipiell kann jede Person mit Zugang zum drkserver auch unsere Cloud nutzen - ganz ohne Registrierungsaufwand", sagt Marcel. Das spare nicht nur Zeit, sondern reduziere auch Fehlerquellen.

Bessere Zusammenarbeit über Verbandsgrenzen hinweg

Besonders gefällt Marcel das SSO beim Zusammenarbeiten über Verbandsgrenzen hinweg. “Auch externe Personen mit einer Akte im drkserver können sofort auf freigegebene Ordner oder Informationen in unserer Cloud zugreifen - ganz ohne ein zusätzliches Konto.”

Der OV Negenborn bietet für die Anmeldung zur selbst gehosteten Nextcloud diese Seite an.

So sieht die Anmeldemaske für die Aktiven aus der Einsatzeinheit 2 im Landkreis Konstanz aus.

Zur App "Sitzungsprofi" können sich DRK´ler*innen aus dem OV Lingenfeld so anmelden.

Einfacher für Admins

Und auch denjenigen, die die Daten verwalten, helfe das Single Sign-On. Das findet auch Thomas aus dem OV Lingenfeld. "Um Nutzungsakzeptanz zu schaffen war es uns wichtig eine gemeinsame Benutzerverwaltung zu nutzen, so dass nicht für jede Anwendung immer eigene Benutzer und Passwörter gepflegt werden müssen."

Hilfe vom drkserver-Team

Für Marcel aus dem OV Negenborn macht sich hier auch der Service des drkserver-Teams bezahlt: "Wir können uns auf die inhaltliche Pflege unserer Daten konzentrieren, denn die Benutzer-Authentifizierung liegt vollständig in den Händen des DRK-Server-Teams. Das erhöht die Sicherheit, senkt den Aufwand und gibt uns mehr Zeit für das Wesentliche."

SSO-Authentication Client mit OAuth2 einrichten

Vorab: Jetzt wird´s ein bisschen technisch. Wenn du es bis hierher geschafft hast und sagst: "Klingt super, brauchen wir, aber ich weiß nicht, wie´s geht.", dann sprich doch mit jemandem in deinem DRK-Umfeld, der/die technisch versiert ist um das SSO einzurichten. Oder du traust dich selbst weiter zu lesen. Das Einrichten und Verwenden des SSO ist kostenlos.

Damit das Single Sign-On auch mit deinem System funktionieren kann, musst du zunächst sicherstellen, dass das System, das du einsetzt, einen Identity-Provider mittels OAuth2 einbinden kann. Häufig gibt es dafür geeignete Programm-Erweiterungen, oder das System bringt die nötige Unterstützung direkt mit. Informationen erhältst du beim Hersteller der Fremdsoftware. Bitte habe Verständnis dafür, dass das drkserver-Team für das Fremdsystem keinen Support anbietet.

Wenn du sichergestellt hast, dass dein System ein SSO grundsätzlich ermöglicht, melde dich bitte beim drkserver-Team unter support(at)drkserver(dot)org mit dem Betreff "SSO-Client einrichten". Schreibe unbedingt folgendes dazu:

Name des Fremdsystems
Kurzbeschreibung der geplanten Verwendung (z. B. erhoffte Vorteile für den Alltag)
nötige Redirect-URLs (das erfragst du beim Hersteller der Fremdsoftware)
Kontaktdaten eines Ansprechpartners oder einer Ansprechpartnerin (Name, E-Mail und DRK-Gliederung)

Wenn diese Infos beim drkserver-Team angekommen sind, schickt es dir die Zugangsdaten (client-ID und client-Secret) sowie weitere Informationen zum Einrichten des SSO.

Dann können sich Anwender*innen über das drkserver-SSO in deinem Fremdsystem anmelden. Das könnte über einen Link zu der Anmeldeseite passieren. Möglich wäre aber auch ein Button, wie du ihn von anderen Seiten kennst. Nur steht da dann nicht drauf "Mit Facebook anmelden" oder "Mit Google anmelden", sondern eben "Mit drkserver anmelden".

Authentifizierung und Autorisierung

Das hier beschriebene Verfahren zur Verwendung eines SSO-Clients dient ausschließlich der Authentifizierung, nicht der Autorisierung.

Authentifizierung (auch: Authentizierung) heißt ganz praktisch: Du meldest dich mit deiner drkserver-ID und deinem Passwort mittels SSO an einem beliebigen System an. Bevor du in das System reinkommst, prüft das Identitätsmanagment des drksevers, ob du bist, wer du bist - ob du also echt bist, authentisch. Wenn deine drkserver-ID mit dem Passwort übereinstimmt, bestätigt der drkserver gegenüber dem Fremdsystem deine Identität.

Autorisierung ist etwas anders. Hier geht es darum, dass ein System prüft, welche Rechte du hast - was du sehen, bearbeiten, löschen darfst. Die Autorisierung im drkserver wird über die Box "Benutzerrechte" geregelt. Jedes Fremdsystem muss sich, wie der drkserver auch, um die Berechtigungen seiner Benutzer*innen kümmern.

Du kannst das SSO also nicht auf eine bestimmte Personengruppe begrenzen. Die Zugriffsrechte in deinem System musst du in der Benutzerverwaltung deines Systems einrichten.