Single Sign-on

Mit dem drkserver-Single-Sign-on (SSO) kannst du alle Systeme nutzen, die für das drkserver-SSO eingerichtet sind. Beispiele sind die drkserver-App, das Handbuch und das Ticketsystem. Aber: Es ist auch möglich, dass dein Ortsverein, Kreis- oder Landesverband ein Online-System einrichtet und den drkserver-Login dafür benutzt. Das können beispielsweise ein Cloud-Speicher oder ein Chat-Tool sein. Das SSO ist kostenlos.

SSO-Authentication Client mit OAuth2 einrichten

Vorab: Jetzt wird´s ein bisschen technisch. Wenn du es bis hierher geschafft hast und sagst: "Klingt super, brauchen wir, aber ich weiß  nicht, wie´s geht.", dann sprich doch mit jemandem in deinem DRK-Umfeld, der/die technisch versiert ist um das SSO einzurichten. Oder du traust dich selbst weiter zu lesen. Das Einrichten und Verwenden des SSO ist kostenlos.

Damit das Single Sign-On auch mit deinem System funktionieren kann, musst du zunächst sicherstellen, dass das System, das du einsetzt, einen Identity-Provider mittels OAuth2 einbinden kann. Häufig gibt es dafür geeignete Programm-Erweiterungen, oder das System bringt die nötige Unterstützung direkt mit. Informationen erhältst du beim Hersteller der Fremdsoftware. Bitte habe Verständnis dafür, dass das drkserver-Team für das Fremdsystem keinen Support anbietet.

Aber vielleicht hast du ja Lust eine kleine Anleitung zu schreiben für dein System? Was war nötig um das Fremdsystem aufzusetzen? Wie hast du die Verbindung mit dem drkserver eingerichtet? Diese Anleitung könnte dann hier stehen - ein großer Mehrwert von dir für alle interessierten Anwender*innen.

Also: Wenn du sichergestellt hast, dass dein System ein SSO grundsätzlich ermöglicht, melde dich bitte beim drkserver-Team unter support(at)drkserver.org mit dem Betreff "SSO-Client einrichten". Schreibe unbedingt folgendes dazu:

• Name des Fremdsystems
• Kurzbeschreibung der geplanten Verwendung (z. B. erhoffte Vorteile für den Alltag)
• nötige Redirect-URLs (das erfragst du beim Hersteller der Fremdsoftware)
• Kontaktdaten eines Ansprechpartners oder einer Ansprechpartnerin (Name, E-Mail und DRK-Gliederung)

Wenn diese Infos beim drkserver-Team angekommen sind, schickt es dir die Zugangsdaten (client-ID und client-Secret) sowie weitere Informationen zum Einrichten des SSO.

Dann können sich Anwender*innen über das drkserver-SSO in deinem Fremdsystem anmelden. Das könnte über einen Link zu der Anmeldeseite passieren. Möglich wäre aber auch ein Button, wie du ihn von anderen Seiten kennst. Nur steht da dann nicht drauf "Mit Facebook anmelden" oder "Mit Google anmelden", sondern eben "Mit drkserver anmelden".

Authentifizierung und Autorisierung

Das hier beschriebene Verfahren zur Verwendung eines SSO-Clients dient ausschließlich der Authentifizierung, nicht der Autorisierung.

Authentifizierung (auch: Authentizierung) heißt ganz praktisch: Du meldest dich mit deiner drkserver-ID und deinem Passwort mittels SSO an einem beliebigen System an. Bevor du in das System reinkommst, prüft das Identitätsmanagment des drksevers, ob du bist, wer du bist - ob du also echt bist, authentisch. Wenn deine drkserver-ID mit dem Passwort übereinstimmt, bestätigt der drkserver gegenüber dem Fremdsystem deine Identität.

Autorisierung ist etwas anders. Hier geht es darum, dass ein System prüft, welche Rechte du hast - was du sehen, bearbeiten, löschen darfst. Die Autorisierung im drkserver wird über die Box "Benutzerrechte" geregelt. Jedes Fremdsystem muss sich, wie der drkserver auch, um die Berechtigungen seiner Benutzer*innen kümmern.

Du kannst das SSO also nicht auf eine bestimmte Personengruppe begrenzen. Die Zugriffsrechte in deinem System musst du in der Benutzerverwaltung deines Systems einrichten.