| Weboberfläche der STARFACE | Menüpunkt "Admin" | Menüpunkt "Erweiterte Einstellungen" | Reiter "OAuth-LoginExterner IdP" |
|---|
| | |  Image Removed Image Added |
In diesem Reiter kann der Zugriff für alle Benutzer mit Administrationsrechten auf der STARFACE auf die Authentifizierung via OAuth umgestellt werden. Eine allgemeine Erklärung zum Aufbau und der Funktionsweise des Protokolls OAuth findet sich auf Wikipedia.Nachdem der Zugriff via OAuth für die Administratoren konfiguriert worden ist, können sich nur noch die Administratoren für den Zugriff von Benutzern und/oder Administrationen auf die STARFACE die OAuth Authentifizierung bei einem externen Identity Provider (IdP) konfiguriert werden. Ist der Zugriff bei eiem externen IdP für die Benutzer und/oder Administratoren konfiguriert, können sich die Benutzer und/oder Administratoren nur noch mit den Zugangsdaten anmelden, die beim OAuth-Provider externen IdP hinterlegt sind. Diese Funktionalität steht Externer IdP für Benutzer ohne Administrationsrechte nicht zur Verfügung.Es muss mindestens immer noch ein Administratorenzugang als Ausnahme konfiguriert sein, der sich alternativ mit den Zugangsdaten anmelden kann die auf der STARFACE hinterlegt sind (siehe "Ausnahmeregel"). Im ersten Schritt werden die folgenden Prüfungen vorgenommen: | Hinweis |
|---|
Hinweis: Es ist zu beachten, dass die E-Mail-Adresse für den jeweiligen Benutzer und/oder Administrator auf der STARFACE und beim OAuth-Provider IdP absolut gleich und eindeutig sein muss. |
Im oberen Bereich des Reiters müssen die folgenden Einstellungen vorgenommen werden: Image Removed zweiten Schritt muss der genutzte externe IdP ausgewählt werden. Es stehen die folgenden OAuth-Provider IdP zur Verfügung: - Microsft Azure AD
- Google Identity
- Anderer
| Hinweis |
|---|
Hinweis: Wird als OAuth-Provider "Anderer" ausgewählt, muss ein Name für den Provider eingetragen werden. |
Die folgenden Eingabefelder müssen mit den Daten des OAuth-Providers befüllt werden. Im dritten Schritt wird die eigentliche Konfiguration vorgenommen: | Feldname | Beschreibung |
|---|
| OAuth-Konfigurationsname | In diesem Eingabefeld muss ein eindeutiger Name für die Konfiguration vergeben werden. | | Client |
| Feldname | Beschreibung |
|---|
Client-| ID | In diesem Eingabefeld wird die eindeutige Kennung eingetragen, die eine Verbindung zum |
OAuth-Server herstellt| externen IdP herstellt und von diesem zur Verfügung gestellt wird. | | Client |
Geheimnisin | In diesem Eingabefeld muss das Client-Geheimnis eingetragen werden. Dieser Schlüssel stellt die Authentizität der STARFACE gegenüber dem |
OAuth-Server Aussteller | Verzeichnis (tenant) ID* oder Issuer URL | In diesem Eingabefeld muss die |
Aussteller-URL des OAuth Servers eingetragen werden. Weitere Informationen bezüglich der Microsoft Anmeldedaten finden sich unter dem folgenden Link: Link zu Microsoft Weitere Informationen bezüglich der Google Anmeldedaten sich unter dem folgenden Link: Link zu Google | Adresse des externen IdPs eingetragen werden, der den Token-Aussteller eindeutig definiert (z.B. https://accounts.google.com oder https://login.microsoftonline.com/{Tenant-ID}/v2.0). |
Im vierten Schritt wird die Das Feld "PBX-Callback-URL" unter der Überschrift "Authentifizierung" enthält bereits die entsprechenden URL und kann nicht geändert werdenangezeigt. Dieses Feld dient ausschließlich dazu, die Callback-URL für die Eintragung beim OAuth Provider externen IdP kopieren zu können.. Die "PBX-Callback-URL" kann nicht verändert werden. Via der Schaltfläche "PreFlightCheck Preflight-Test starten" kann die gesamte Konfiguration einmal vollständig getestet werden. Nur wenn der Test erfolgreich verläuft, kann die Konfiguration übernommen werden. Externer IdP für Administratoren Im ersten Schritt werden die folgenden Prüfungen vorgenommen: | Hinweis |
|---|
Hinweis: Es ist zu beachten, dass die E-Mail-Adresse für den jeweiligen Benutzer und/oder Administrator auf der STARFACE und beim externen IdP absolut gleich und eindeutig sein muss. |
Im zweiten Schritt muss mindestens ein Administrator ausgewählt Unter der Überschrift "Ausnahmeregel" muss nach dem erfolgreichen PreFlightCheck mindestens ein Administrator angegeben werden, der sich auch weiterhin mit den Zugangsdaten die auf der STARFACE hinterlegt sind anmelden kann, wenn z.B. der OAuth-Provider externe IdP nicht zur Verfügung steht. Es können auch mehrere Administratoren hinterlegt werden, wobei die hier hinterlegte Administratoren immer beide Zugangsarten angezeigt bekommen bei der Anmeldung im Administrationsbereich. | Hinweis |
|---|
Hinweis: Eine automatische Prüfung stellt sicher, dass der letzte hier konfigurierte Administratorbenutzer nicht gelöscht werden kann, bevor bis ein weiterer Administrator an dieser Stelle ein weiterer Administrator hinzugefügt worden ist. |
Im dritten Schritt muss der genutzte externe IdP ausgewählt werden. Es stehen die folgenden IdP zur Verfügung: - Microsft Azure AD
- Google Identity
- Anderer
Im vierten Schritt wird die eigentliche Konfiguration vorgenommen: | Feldname | Beschreibung |
|---|
| OAuth-Konfigurationsname | In diesem Eingabefeld muss ein eindeutiger Name für die Konfiguration vergeben werden. | | Client ID | In diesem Eingabefeld wird die eindeutige Kennung eingetragen, die eine Verbindung zum externen IdP herstellt und von diesem zur Verfügung gestellt wird. | | Client-Secret | In diesem Eingabefeld muss das Client-Geheimnis eingetragen werden. Dieser Schlüssel stellt die Authentizität der STARFACE gegenüber dem externen IdP sicher. | | Verzeichnis (tenant) ID* oder Issuer URL | In diesem Eingabefeld muss die Adresse des externen IdPs eingetragen werden, der den Token-Aussteller eindeutig definiert (z.B. https://accounts.google.com oder https://login.microsoftonline.com/{Tenant-ID}/v2.0). |
Im fünften Schritt wird die "PBX-Callback-URL" angezeigt. Dieses Feld dient ausschließlich dazu, die Callback-URL für die Eintragung beim externen IdP kopieren zu können. Die "PBX-Callback-URL" kann nicht verändert werden. Via der Schaltfläche "Preflight-Test starten" kann die gesamte Konfiguration einmal vollständig getestet werden. Nur wenn der Test erfolgreich verläuft, kann die Konfiguration übernommen werden. Weitere Informationen bezüglich der Microsoft Anmeldedaten finden sich unter dem folgenden Link: Link zu Microsoft Weitere Informationen bezüglich der Google Anmeldedaten sich unter dem folgenden Link: Link zu Google | 
