OIDC mit Workspace

Einleitung

OpenID Connect OIDC ist ein Identitätsprotokoll, das auf OAuth 2.0 aufbaut und eine sichere Authentifizierung sowie Autorisierung für Web- und Mobile-Anwendungen ermöglicht.
Es erlaubt Nutzer:innen, sich sicher bei verschiedenen Diensten anzumelden, während Dienstanbieter gleichzeitig auf verifizierte Identitätsinformationen zugreifen können.

In dieser Anleitung wird die Konfiguration von OIDC in Relution am Beispiel von Google Workspace erläutert.

Einrichtung Projekt und Client (Google Cloud Console)

Zunächst muss in der Google Cloud Console eine Anwendung registriert werden, um die erforderlichen Anmeldedaten zu erhalten.

  1. Melden Sie sich unter console.cloud.google.com an.

  2. Erstellen Sie ein neues Projekt oder wählen Sie ein bestehendes aus. Neues Projekt in der Google Cloud Console erstellen oder auswählen

    Projektdetails in der Google Cloud Console eingeben und bestätigen

  3. Navigieren Sie im Menü zu APIs & Services > OAuth consent screen und konfigurieren Sie diesen bei Bedarf. OAuth Consent Screen in Google Cloud Console unter APIs und Services konfigurieren

  4. Wechseln Sie zu Credentials, klicken Sie auf Create Credentials und wählen Sie OAuth client ID. OAuth Client ID in Google Cloud Console unter Credentials erstellen

  5. Wählen Sie als Application type die Option Web application. Web application als Application type für OAuth Client in Google Cloud auswählen

  6. Hinterlegen Sie unter Authorized JavaScript origins Ihre Server-URL (z. B. https://support.relution.io). Hinweis: Das Feld für die Authorized redirect URIs lassen Sie vorerst offen oder tragen vorläufig die URL ein; diese wird später mit einem spezifischen Pfad aus Relution aktualisiert. Server-URL als Authorized JavaScript Origin in Google Cloud OAuth Client eintragen

  7. Nach dem Speichern wird die Client ID angezeigt. Kopieren Sie diese. Generierte Client ID nach Speichern in Google Cloud Console kopieren

  8. Bearbeiten Sie den neu erstellten Client erneut, um die Details einzusehen. Erstellten OAuth Client in Google Cloud Console zur Detailansicht öffnen

  9. Kopieren Sie das Client Secret. Bewahren Sie ID und Secret für die spätere Verwendung in Relution sicher auf. Client Secret aus Google Cloud Console OAuth Client Details kopieren

Einrichtung SSO (Google Admin Console)

Parallel dazu muss das Single Sign-On (SSO) Profil in der Admin-Konsole hinterlegt werden.

  1. Navigieren Sie zur Google Admin Console.

  2. Erstellen Sie unter Security > Authentication > SSO with third-party IdP ein neues OIDC Profil. SSO Profil mit OIDC in Google Admin Console unter Security Authentication anlegen

  3. Geben Sie die Client ID und das Client Secret aus dem vorherigen Kapitel ein.

    • Verwenden Sie für die Issuer URL sowie die Change password URL Ihre Relution Server-URL (z. B. https://support.relution.io). Client ID und Client Secret im Google Admin Console OIDC Profil hinterlegen

OIDC Einrichtung in Relution

Nun werden die gesammelten Daten in Relution eingepflegt, um die Brücke zu Google zu schlagen.

  1. Öffnen Sie in Relution die OIDC-Einstellungen unter Einstellungen → OpenID Connect. OIDC Einstellungen in Relution unter OpenID Connect öffnen

  2. Tragen Sie die Client ID und das Client Secret in die entsprechenden Felder ein.

  3. Verwenden Sie unter Server URIs > Discovery-Endpunkt die folgende URL: https://accounts.google.com.

  4. Speichern Sie die Konfiguration kurz ab und öffnen Sie diese erneut, um die generierten Felder zu sehen.

  5. Kopieren Sie die nun angezeigte Redirect-URL aus den Relution-Einstellungen. Generierte Redirect-URL aus Relution OIDC Einstellungen kopieren

  6. Wechseln Sie zurück zur Google Cloud Console.

  7. Bearbeiten Sie Ihren OAuth-Client und aktualisieren Sie das Feld Authorized redirect URIs mit der URL, die Sie gerade aus Relution kopiert haben. Relution Redirect-URL als Authorized Redirect URI im Google OAuth Client eintragen

    Generierte Redirect-URL aus Relution OIDC Einstellungen

Hinweise

Backchannel Logout

Relution unterstützt den Backchannel Logout ab der Server-Version 5.32.0.

Szenario: Ein:e Benutzer:in ist über SSO bei mehreren Anwendungen gleichzeitig angemeldet. Sobald die Abmeldung beim zentralen SSO-Dienst erfolgt, sorgt der Backchannel Logout dafür, dass auch die Sitzungen in Relution und anderen angebundenen Anwendungen im Hintergrund sicher beendet werden.