04.12.2024

One access to rule them all: OAuth 2.0

Passwort eintippen war gestern: Hinterlegen Sie Ihre Daten einmal und melden Sie sich per OAuth 2.0 mit einem Klick an. Lesen Sie mehr dazu!

Ab synedra HCM Version 24 „Herakles“ können Sie die Anmeldung an Ihren Systemen vereinheitlichen und über Ihren eigenen OpenID Connect (OIDC)-Provider abwickeln (z. B. Google, Azure, Keycloak). Dank OAuth 2.0 gelingt das mühelos und sorgt für eine einheitliche Lösung für alle synedra Klienten. Der Clou: Sie haben die Kontrolle und können optional die Nutzung von Zwei-Faktor-Authentifizierung (2FA) aktivieren.

Diese Anmeldemethode steht Ihnen in unseren Desktop- sowie Web-Klienten ab unserem Release „Herakles“ zur Verfügung.

Was ist OAuth und wie funktioniert Single Sign-on?

OAuth 2.0, kurz für Open Authorization, ist ein offenes Protokoll zum sicheren Austausch von Anmeldeinformationen zwischen verschiedenen Diensten. Es ermöglicht, dass sich Benutzer*innen z. B. in synedra View direkt mit Ihrem Google-Konto anmelden, ohne dass Ihr Passwort offengelegt oder gespeichert wird. Dafür verwendet OAuth 2.0 Zugriffstokens. So wird Benutzer*innen ein sicherer und nahtloser Zugang zu unseren Klienten ermöglicht.

Single Sign-on (SSO) mit OAuth: OAuth fungiert in unserem Fall als Single Sign-on Lösung, die den Anmeldeprozess vereinfacht. Mit einem einzigen, OAuth-kompatiblen Konto (z. B. Google) können Sie auf alle verbundenen Klienten zugreifen.

Was macht unser OAuthServer?

Die Authentifizierung von Benutzer*innen übernimmt der synedra OAuthServer, der hierbei als OAuth2-Klient agiert. Standardmäßig stellt er Zugriffstokens für den Aufrufenden bereit. Optional kann über OpenID Connect ein ID-Token abgefragt werden, um eine AIM-Benutzersitzung und zusätzliche Berechtigungen zu erstellen. Bei SMART on FHIR-Anbindungen können außerdem FHIRCast-Events genutzt werden, um weitere Berechtigungen hinzuzufügen.

Zusätzlich authentifiziert der OAuthServer Prozesse mithilfe des Client Credentials Workflows und unterstützt andere synedra Backend-Server als Ressourcen-Server. Dafür überprüft er Zugriffstokens und erstellt darauf basierend AIM-Sitzungen. Derzeit werden JSON Web Tokens (JWT) gemäß IUA unterstützt.

Diese Kombination aus OpenID Connect mit OAuth 2.0 ermöglicht alle erforderlichen Funktionen für Single Sign-on (SSO).

Vorteile der OAuth-Anmeldung als Single Sign-on (SSO) Lösung

OAuth als Single Sign-on Lösung bietet viele Vorteile:

  • Sicherheit: Da die Anmeldung über ein seit mehr als einem Jahrzehnt bewährtes System erfolgt, bleiben Ihre Passwörter geschützt und werden nicht an Dritte weitergegeben.
  • Zeitsparend und bequem: Sie müssen sich kein neues Passwort merken – nutzen Sie einfach ein bestehendes Konto.
  • Einheitlicher Zugriff: Ein einziges Konto reicht aus, um sich bei verschiedenen Klienten in synedra HCM anzumelden.
  • Flexibler Zugriff: Sie können sich auf verschiedenen Geräten schnell anmelden, ohne dass Sie sich erneut registrieren müssen.

Noch nicht modern genug?

Sollte Ihnen diese Anmeldemethode noch nicht modern genug sein, bieten wir Ihnen dank unserer Kooperation mit Worldline auch die Möglichkeit, sich mit Ihrem Fingerabdruck anzumelden. Wie das Ganze funktioniert und was Sie hierfür benötigen, erfahren Sie bei Ihrer synedra Kundenbetreuerin, Ihrem synedra Kundenbetreuer.

FAQ zur OAuth-Anmeldung

  1. Welche Informationen werden geteilt?
    Keine sensiblen Informationen werden geteilt oder von unseren Klienten gespeichert. Anstatt Daten zu speichern, werden Zugriffstoken verwendet, um die Identität der Benutzerin, des Benutzers zu überprüfen.

  2. Kann ich OAuth auch später hinzufügen?
    Ja, Sie können OAuth jederzeit als eine zusätzliche Anmeldemöglichkeit einrichten, auch wenn Sie schon ein Konto haben.

  3. Wie kann ich eine Anmeldung über OAuth einrichten?
    Die Konfiguration von SSO via OAuth 2.0 ist lizenzpflichtig und wird vom synedra Support-Team oder Ihrer synedra Kundenbetreuerin, Ihrem synedra Kundenbetreuer gemeinsam mit dem hausinternen AIM-Support durchgeführt.

  4. Ist diese Anmeldemethode sicher?
    Ja, OAuth ist ein weitverbreiteter Standard und bietet eine sichere Möglichkeit, sich bei verschiedenen Diensten anzumelden, ohne Passwörter zu teilen. Der Zugang erfolgt nur über die von Ihnen bestätigten Berechtigungen.

  5. Was ist, wenn ich den Zugriff auf mein Drittanbieter-Konto verliere?
    Wenden Sie sich hierfür an den konfigurierten Identitätsanbieter, z. B. Google. Für die Passwortverwaltung ist synedra in diesem Fall nicht zuständig.

Fazit

Mit der OAuth-Integration ist der Anmeldeprozess bei unseren Produkten schneller und einfacher denn je. Als Single Sign-on Lösung ermöglicht OAuth Ihnen, mit nur einem Konto auf mehrere Klienten zuzugreifen – probieren Sie es aus und erleben Sie die Vorteile einer modernen Anmeldemethode!

 

Quellen:

https://auth0.com/de/intro-to-iam/what-is-oauth-2

https://www.tools4ever.de/glossar/was-ist-open-authorization-oauth/