| Weboberfläche der STARFACE | Menüpunkt "Admin" | Menüpunkt "Erweiterte Einstellungen" | Reiter " oAuth Login" |
|---|---|---|---|
 |  |  | |
Definition
OAuth (Open Authorization) ist ein offenes Protokoll, das für eine sichere API-Autorisierung entwickelt wurde. Es wird hauptsächlich auf Websites verwendet, um Drittanbietenden den Zugriff auf Benutzerdaten zu ermöglichen, ohne dass der Anwender sein Passwort eingeben muss.
Wie funktioniert OAuth?
Zugriffstoken sorgen dafür, dass OAuth sicher verwendet werden kann. Ein Zugriffstoken ist ein Datenelement, das Informationen über den Benutzer und die Ressource enthält, für die das Token vorgesehen ist. Ein Token enthält auch bestimmte Regeln für die Datenfreigabe.
Beispielsweise können Sie Fotos aus Ihrem Profil für soziale Medien mit einer Fotobearbeitungs-App teilen, möchten aber nur, dass sie Zugriff auf einige Ihrer Fotos hat. Außerdem muss es nicht auf Ihre Direktnachrichten oder Freundesliste zugreifen. Das Token autorisiert nur den Zugriff auf die Daten, die Sie genehmigen. Es kann auch Regeln geben, die festlegen, wann die Anwendung den Token verwenden kann – für eine einmalige oder wiederkehrende Verwendung – und ein Ablaufdatum.
Weiter Beispiele und ergänzende Informationen bezüglich OAuth sind hier zu finden.
Weitere Informationen bezüglich einer Ersteinrichtung für ein OAuth-System sind hier zu finden. (Schritt-für-Schritt-Anleitung von Microsoft Azure)
Glossar
- Access-Token: Ein kurzlebiges Token, das verwendet wird, um einem Client kurzfristig den Zugriff auf Benutzerressourcen zu gewähren.
- Anwendungs-ID (Client-ID): Beschreibt eine eindeutige Kennung für die Anwendung, die sich mit dem OAuth-Server verbindet und die den Zugang zu Benutzerressourcen steuert.
- Callback-URL: Die URL, zu der der Benutzer nach erfolgreicher Authentifizierung weitergeleitet wird, um das Token zu erhalten.
- Client Geheminis: Ein sicherer Schlüssel, der dazu dient, die Authentizität der Anwendung gegenüber dem OAuth-Server zu bestätigen und sicherzustellen, dass nur autorisierte Clients Zugriff erhalten.
- Password: Die Benutzerdaten (Benutzername und Passwort) werden genutzt, um ein Token zu bekommen, das den Zugriff auf Ressourcen ermöglicht.
- Aussteller-URL: Hierbei handelt es sich um den Aussteller des Tokens. Diese werden verwendet, da URLs wegen des Domain-Systems eindeutig und gut zuzuordnen sind.
- Refresh-Token: Ein Token, das verwendet wird, um ein neues Access-Token zu erhalten, ohne dass der Benutzer sich erneut anmelden muss.
- Verzeichnis-ID (Mandant): Eine eindeutige Kennung für eine Organisation oder einen Kunden in Microsoft Azure, relevant für die Verwaltung von Berechtigungen und Ressourcen.
Beispiel
Wenn eine Firma Microsoft Azure nutzt, hat diese Firma eine eigene Verzeichnis-ID. Alle Anwendungen und Dienste, die für diese Firma eingerichtet werden, verwenden diese ID, um sicherzustellen, dass nur befugte Mitarbeiter auf die Ressourcen zugreifen können.
Scope
Scopes definieren den Zugriffsumfang eines Access Tokens. Sie legen auch fest, welche Daten und welche Aktionen durch das Token erlaubt sind. Sie stellen sicher, dass eine Anwendung nur die minimal erforderlichen Berechtigungen erhält.
OAuth-Login Konfiguration
Diese Funktion ist nur für Admins nutzbar. User können diese Funktion nicht nutzen.
Klicke im Menüpunkt "Erweiterte Einstellungen" auf den Reiter "OAuth Login". Klicke auf die Checkbox "Konfigurieren Sie den empfohlenen OAuth-Login als hochsichere Login-Methode".
Alle Konfigurationsmöglichkeiten unterhalb der Checkbox können nun bearbeitet werden.
- Hier ist der OAuth-Provider per Dropdown-Menü auswählbar. Wird "Anderer" ausgewählt, so muss in dem neu erscheinenden Feld der Name des Providers eingetragen werden.
Weitere Informationen bezüglich der Microsoft Anmeldedaten sind hier und den folgenden Unterordnern zu finden.
Weitere Informationen bezüglich der Google Anmeldedaten sind hier zu finden.
2. In dem Feld "Client-ID" wird eine eindeutige Kennung eingetragen, die eine Verbindung zum OAuth-Server herstellt.
3. Hier muss das Client-Geheimnis eingetragen werden, dieser Schlüssel stellt die Authentizität der Anwendung gegenüber dem OAuth-Server sicher.
4. Hier muss die Aussteller-URL eingetragen werden.
5. Das Feld "PBX-Callback-URL" ist unter "Authentifizierung" bereits mit der entsprechenden URL automatisch ausgefüllt und kann nich geändert werden.
6. Die "Ausnahmeregel" sollte auch gelesen und beachtet werden.
Sind alle benötigten Felder korrekt ausgefüllt, so klickt man auf den Button "PreFlightCheck starten".
Wenn der Test erfolgreich ist, wird auf den Button "Übernehmen" geklickt, um die Konfiguration zu speichern.