• Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen
    • Suche
    • Registrieren
    • Anmelden

    Authentifizierung mittels OAuth2

    ChurchTools Schnittstellen
    23
    59
    5.7k
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • sctechS
      sctech
      zuletzt editiert von

      Hallo zusammen

      Gibt es eine Möglichkeit, sich mittels OAuth2 gegen ChurchTools zu authentifizieren? Also so, dass ChurchTools als Provider/Server fungiert.

      Ich bin momentan daran, mir Überlegungen zu SSO in unserer IT-Infrastruktur (einheitliches Login und Session-Weitergabe an verschiedene Web-Applikationen) zu machen. Dabei wäre es interessant, ChurchTools als Master-System zu nutzen. Hat jemand schon mal etwas in diese Richtung umgesetzt?

      Danke für eure Antworten!

      1 Antwort Letzte Antwort Antworten Zitieren 8
      • jmrauenJ
        jmrauen ChurchToolsMitarbeiter
        zuletzt editiert von

        Das gibt es nicht direkt. Wir haben einen LDAP-Wrapper entwickelt, der befindet sich aber noch im Beta-Stadium. Diesen kann man per Node.js laufen lassen und simuliert einen LDAP-Server und CT ist das LDAP-Directory.
        Bei uns in der Elim in Hamburg machen wir dadurch z.B. die komplette WLAN-Zugriffssteuerung. Funktioniert echt prima!

        Ich denke mal es gibt dann bestimmt ein Server, der dann aus LDAP Authentifizierung ein OAuth2 anbietet. Das habe ich aber noch nicht weiter untersucht.

        Wenn Du daran Interesse hast schick mir eine PM oder schreibe den Support an.

        AndyA sctechS 2 Antworten Letzte Antwort Antworten Zitieren 0
        • AndyA
          Andy admin @jmrauen
          zuletzt editiert von

          @jmrauen Magst du das mit der WLAN-Zugriffsteuerung mal unter Tipps&Tricks ein wenig skizzieren? 😉

          1 Antwort Letzte Antwort Antworten Zitieren 0
          • sctechS
            sctech @jmrauen
            zuletzt editiert von

            @jmrauen Leider kann ich auf unserem Shared Hosting kein node.js installieren, deshalb habe ich an OAuth2 gedacht. Ansonsten könnte ich mir die Nutzung des LDAP Wrappers gut vorstellen.

            Muss der LDAP Wrapper zwingend auf dem gleichen Server wie ChurchTools installiert sein? Oder gäbe es die Möglichkeit, dass ich den LDAP Wrapper separat auf unserem Synology NAS (node.js installiert) ausführe?

            1 Antwort Letzte Antwort Antworten Zitieren 0
            • jmrauenJ
              jmrauen ChurchToolsMitarbeiter
              zuletzt editiert von

              Der Wrapper benötigt DB-Zugriff. Wenn Du das auf dem Webserver freischalten kannst dann sollte es auch auf der Synology laufen.

              1 Antwort Letzte Antwort Antworten Zitieren 0
              • chriszuercherC
                chriszuercher
                zuletzt editiert von

                Ich kapere mal den alten Thread. Gab es hier irgendwelche neue Entwicklungen bezüglich OAuth? Wir möchte unser CMS an Churchtool anbinden (um die events zu laden). Und da wäre ja ein OAuth Token der übliche Weg. Oder ein Authenticaiton Endpoint im API. Wie ist das aktuell in der App gelöst?

                davidschillingD B 2 Antworten Letzte Antwort Antworten Zitieren 1
                • davidschillingD
                  davidschilling ChurchToolsMitarbeiter @chriszuercher
                  zuletzt editiert von

                  @chriszuercher hier findest du die Doku zur Authentifizierung: https://hilfe.church.tools/wiki/0/API Authentifizierung

                  chriszuercherC 1 Antwort Letzte Antwort Antworten Zitieren 0
                  • chriszuercherC
                    chriszuercher @davidschilling
                    zuletzt editiert von

                    @davidschilling danke 😀

                    1 Antwort Letzte Antwort Antworten Zitieren 0
                    • F
                      Frank
                      zuletzt editiert von

                      @davidschilling das mit der API-Authentifizierung ist natürlich super. Ein Verfahren wie OAuth2 hätte aber schon noch weitere Vorteile.

                      Zum Beispiel bei der Communi App gibt es einen Login mit Churchtools-Account. Im Kleingedruckten steht dort, dass mein Passwort erst zum Communi-Server und dann zu euch geschickt wird. Das ist für den User etwas verunsichernd.

                      Dies ließe sich evtl. schon verbessern, ohne OAuth kompett implementieren zu müssen. Man müsste nur der Login-Seite als Parameter eine Redirect-URL mitgeben können, die nach erfolgreichem Login aufgerufen wird. Das würde dann schon reichen, um einen Login in Apps zu ermöglichen.
                      Ein weitere Vorteil wäre, dass dann Passwort-Manager direkt das richtige Passwort vorschlagen.

                      davidschillingD 1 Antwort Letzte Antwort Antworten Zitieren 0
                      • davidschillingD
                        davidschilling ChurchToolsMitarbeiter @Frank
                        zuletzt editiert von

                        @frank wir finden oauth auch ne gute Sache. Ist eher ne Prioritätsfrage. Aber könnte sein dass sich da in nächster Zeit etwas tut.

                        F 1 Antwort Letzte Antwort Antworten Zitieren 6
                        • F
                          Frank @davidschilling
                          zuletzt editiert von

                          @davidschilling cool! Dann +1 von mir 🙂

                          1 Antwort Letzte Antwort Antworten Zitieren 1
                          • fschrempfF
                            fschrempf
                            zuletzt editiert von

                            Um das Thema nochmal aufzugreifen: Ich bin der Meinung, dass mindestens eines der beiden folgenden Szenarien in Zukunft von ChurchTools unterstützt werden sollte.

                            1. ChurchTools fungiert als Verzeichnisdienst (via LDAP) und als Identity Provider (IdP, z. B. via SAML/OIDC) für andere Service Provider (SP), die dann ChurchTools für Single-Sign-On (SSO) nutzen können.

                            2. ChurchTools erlaubt es selbst als SP an einem externen Verzeichnisdienst und IdP (z. B. Keycloak) betrieben zu werden. D. h. Benutzerprofile, Gruppen, etc. werden mit einem externen LDAP-Server synchronisiert und die Authentifizierung erfolgt via SAML/OIDC.

                            Dadurch wäre es möglich weitere Dienste mit Hilfe von weit verbreiteten und state-of-the-art Protokollen anzubinden, ohne irgendwelche Workarounds, spezielle Wrapper, etc. einsetzen zu müssen. Um das Beispiel von Communi (s. o.) zu bemühen: Wenn Communi z. B. SSO via OIDC unterstützen würde, könnte man dann das auch dafür nutzen.

                            Die oben verlinkte API Authentifizierung hat ja mit dem Thema dieses Threads eigentlich überhaupt nichts zu tun, oder? Da geht es ja nur darum, wie ich API-Zugriffe auf ChurchTools authentifiziere. Das hilft ja nicht dabei zentrale Logins, bzw. zentrale Benutzerprofile für externe Dienste wie ein CMS, Nextcloud, etc. zu nutzen.

                            fschrempfF 1 Antwort Letzte Antwort Antworten Zitieren 0
                            • fschrempfF
                              fschrempf @fschrempf
                              zuletzt editiert von

                              Noch was: Wie funktioniert das eigentlich beim Gemeindemanagement Projekt der Evangelischen Landeskirche Württemberg? Da wird man zum Login auf den IdP der Landeskirche weitergeleitet und das scheint über OIDC zu funktionieren. Heißt das ChurchTools kann bereits mit einem externen IdP via OIDC/OAuth2 verwendet werden?

                              davidschillingD 1 Antwort Letzte Antwort Antworten Zitieren 0
                              • davidschillingD
                                davidschilling ChurchToolsMitarbeiter @fschrempf
                                zuletzt editiert von

                                @fschrempf Bei der Landeskirche Würrtemberg funktioniert das über SAML. Die Anbindung ist bisher spezifisch für die Landeskirche, wenn es dafür von anderen noch Bedarf gibt kann man darüber aber sicher nachdenken.

                                Wir sind auch gerade dabei OAuth 2 für CT zu implementieren. Sodass CT als OAuth 2 Provider genutzt werden kann.

                                fschrempfF F 3 Antworten Letzte Antwort Antworten Zitieren 4
                                • fschrempfF
                                  fschrempf @davidschilling
                                  zuletzt editiert von

                                  @davidschilling Danke für die Infos, das klingt super! Aktuell nutzen wir Keycloak als Identity Provider und binden Dienste via Single-Sign-On über SAML oder OAuth2 an. Es wäre klasse wenn wir in Zukunft stattdessen ChurchTools als IdP nutzen könnten. Ich denke OAuth2/OIDC würde uns zunächst ausreichen. SAML wäre aus meiner Sicht aktuell nicht unbedingt notwendig.

                                  1 Antwort Letzte Antwort Antworten Zitieren 1
                                  • B
                                    bwl21 @chriszuercher
                                    zuletzt editiert von

                                    @chriszuercher sagte in Authentifizierung mittels OAuth2:

                                    Ich kapere mal den alten Thread. Gab es hier irgendwelche neue Entwicklungen bezüglich OAuth? Wir möchte unser CMS an Churchtool anbinden (um die events zu laden). Und da wäre ja ein OAuth Token der übliche Weg. Oder ein Authenticaiton Endpoint im API. Wie ist das aktuell in der App gelöst?

                                    Was für ein CMS habt ihr? Wir haben das über die API mit Contao gemacht. Das ist ein Job, läuft einmal pro Stunde und synchronisiert CT-Events mit Contao Events

                                    1 Antwort Letzte Antwort Antworten Zitieren 0
                                    • fschrempfF
                                      fschrempf @davidschilling
                                      zuletzt editiert von

                                      @davidschilling sagte in Authentifizierung mittels OAuth2:

                                      Wir sind auch gerade dabei OAuth 2 für CT zu implementieren. Sodass CT als OAuth 2 Provider genutzt werden kann.

                                      Ich will nicht drängeln, aber gibt es eine ganz grobe Schätzung wann man mit dem Feature rechnen kann? Das würde uns bei der Planung sehr helfen.

                                      Hintergrund ist, dass wir auf ChurchTools umsteigen möchten und mit unserem bisherigen Auth-Provider (Keycloak) SSO via OAuth2 bzw. SAML möglich ist und ich die Nutzer bei einem Umstieg auf CT ungern mit einem "Rückschritt" konfrontieren möchte wo sie sich dann bei jedem Dienst separat (wenn auch dank LDAP mit den selben Zugangsdaten) anmelden müssten.

                                      B 1 Antwort Letzte Antwort Antworten Zitieren 2
                                      • B
                                        bwl21 @fschrempf
                                        zuletzt editiert von

                                        @fschrempf welche Dienste habt ihr denn auf diese Weise angekoppelt?

                                        fschrempfF 1 Antwort Letzte Antwort Antworten Zitieren 0
                                        • fschrempfF
                                          fschrempf @bwl21
                                          zuletzt editiert von

                                          @bwl21 Derzeit nur Nextcloud und DokuWiki.

                                          B 1 Antwort Letzte Antwort Antworten Zitieren 0
                                          • B
                                            bwl21 @fschrempf
                                            zuletzt editiert von bwl21

                                            @fschrempf ich hätte es gerne für nextcloud, contao und osticket ...

                                            aber die leute müssen sich ja trotzdem bei diesen Diensten anmelden, oder?

                                            fschrempfF 1 Antwort Letzte Antwort Antworten Zitieren 0
                                            • Erster Beitrag
                                              Letzter Beitrag