OIDC mit Workspace

Einleitung

OpenID Connect OIDC ist ein Identitätsprotokoll, das auf OAuth 2.0 aufbaut und eine sichere Authentifizierung sowie Autorisierung für Web- und Mobile-Anwendungen ermöglicht.
Es erlaubt Nutzer:innen, sich sicher bei verschiedenen Diensten anzumelden, während Dienstanbieter gleichzeitig auf verifizierte Identitätsinformationen zugreifen können.

In dieser Anleitung wird die Konfiguration von OIDC in Relution am Beispiel von Google Workspace erläutert.

Einrichtung Projekt und Client (Google Cloud Console)

Zunächst muss in der Google Cloud Console eine Anwendung registriert werden, um die erforderlichen Anmeldedaten zu erhalten.

  1. Melden Sie sich unter console.cloud.google.com an.

  2. Erstellen Sie ein neues Projekt oder wählen Sie ein bestehendes aus. picture

    picture

  3. Navigieren Sie im Menü zu APIs & Services > OAuth consent screen und konfigurieren Sie diesen bei Bedarf. picture

  4. Wechseln Sie zu Credentials, klicken Sie auf Create Credentials und wählen Sie OAuth client ID. picture

  5. Wählen Sie als Application type die Option Web application. picture

  6. Hinterlegen Sie unter Authorized JavaScript origins Ihre Server-URL (z. B. https://support.relution.io). Hinweis: Das Feld für die Authorized redirect URIs lassen Sie vorerst offen oder tragen vorläufig die URL ein; diese wird später mit einem spezifischen Pfad aus Relution aktualisiert. picture

  7. Nach dem Speichern wird die Client ID angezeigt. Kopieren Sie diese. picture

  8. Bearbeiten Sie den neu erstellten Client erneut, um die Details einzusehen. picture

  9. Kopieren Sie das Client Secret. Bewahren Sie ID und Secret für die spätere Verwendung in Relution sicher auf. picture

Einrichtung SSO (Google Admin Console)

Parallel dazu muss das Single Sign-On (SSO) Profil in der Admin-Konsole hinterlegt werden.

  1. Navigieren Sie zur Google Admin Console.

  2. Erstellen Sie unter Security > Authentication > SSO with third-party IdP ein neues OIDC Profil. picture

  3. Geben Sie die Client ID und das Client Secret aus dem vorherigen Kapitel ein.

    • Verwenden Sie für die Issuer URL sowie die Change password URL Ihre Relution Server-URL (z. B. https://support.relution.io). picture

OIDC Einrichtung in Relution

Nun werden die gesammelten Daten in Relution eingepflegt, um die Brücke zu Google zu schlagen.

  1. Öffnen Sie in Relution die OIDC-Einstellungen unter Einstellungen → OpenID Connect. picture

  2. Tragen Sie die Client ID und das Client Secret in die entsprechenden Felder ein.

  3. Verwenden Sie unter Server URIs > Discovery-Endpunkt die folgende URL: https://accounts.google.com.

  4. Speichern Sie die Konfiguration kurz ab und öffnen Sie diese erneut, um die generierten Felder zu sehen.

  5. Kopieren Sie die nun angezeigte Redirect-URL aus den Relution-Einstellungen. picture

  6. Wechseln Sie zurück zur Google Cloud Console.

  7. Bearbeiten Sie Ihren OAuth-Client und aktualisieren Sie das Feld Authorized redirect URIs mit der URL, die Sie gerade aus Relution kopiert haben. picture

    picture

Hinweise

Backchannel Logout

Relution unterstützt den Backchannel Logout ab der Server-Version 5.32.0.

Szenario: Ein:e Benutzer:in ist über SSO bei mehreren Anwendungen gleichzeitig angemeldet. Sobald die Abmeldung beim zentralen SSO-Dienst erfolgt, sorgt der Backchannel Logout dafür, dass auch die Sitzungen in Relution und anderen angebundenen Anwendungen im Hintergrund sicher beendet werden.