Login¶
Der Identity Provider der Egeli Informatik AG bietet den verbundenen Applikationen folgende Loginmöglichkeiten
- Anbindung eines externen IDPs (Unterstützung von OIDC)
- Login via Benutzername und Passwort (MFA möglich)
Die Loginmöglichkeiten werden im User Management verwaltet. Für eine Hilfestellung bei der Einrichtung besuche die Dokumentation User Management
Je nach Setup der Organisation können unterschiedliche Anforderungen bestehen zum Login. Unter Variationen werden die unterschiedlichen Möglichkeiten beschrieben.
Sessions¶
Wenn ein Benutzer sich einloggt, können mehrere Sessions enstehen. Die jeweilige Sessionlänge kann von der Applikation gesteuert werden und sich von anderen Sessions unterscheiden. Dies kann zu einem Konflikt zwischen Benutzerfreundlichkeit und Sicherheit führen. Zudem sind die Sessions von den Cookies abhängig. Bei der Entfernung der Cookies werden ebenfalls die Sessions terminiert.
Der Ablauf beim Login sieht wie folgt aus
- Die Applikation prüft, ob ihre Session noch gültig ist. Sobald die Session abgelaufen ist, leitet sie den Benutzer auf den IDP um.
- Der IDP hat ebenfalls eine Session. Wenn die Session gültig ist, wird der Benutzer wieder auf die Applikation umgeleitet und erhält dort eine neue Session. Ist die Session des IDPs ungültig, wird der Benutzer auf den externen IDP umgeleitet
- Beim externen IDP wird ebenfalls geprüft, ob er eine gültige Session hat. Falls nicht, muss der Benutzer seine Logindaten eingeben. Anschliessend wird der Benutzer auf den IDP umgeleitet, erhält dort eine neue Session und wird dann auf die Applikation umgeleitet und erhält ebenfalls eine neue Session.
flowchart LR
a("`externer IDP (3.)`") -- Federation --> b("`IDP (2.)`") -- Federation --> c("`Applikation (1.)`")