Drittanbieter-Login auch für das ACP

  • App
    WoltLab Suite Core

    Moin,

    es ist sehr inkonsistent, dass man für über Drittanbieter registrierte Nutzer weiterhin ein lokales Passwort anlegen muss, damit sich diese im ACP einloggen können (sofern sie natürlich einer Gruppe angehören, die die Berechtigung hat, auf das ACP zuzugreifen). Dazu sei gesagt, dass es bei uns der Normalfall ist, dass Nutzer über einen von uns selbst zentral für die Firma betriebenen Identätsprovider im WoltLab registriert werden.

    Mit den Änderungen von WoltLab 5.4 in Bezug auf das Session-Management dürfte dieser Umstand noch problematischer werden.

    Wie seht ihr das?

    Gruß

    Julius

  • Hallo,

    wenn man Drittanbieterlogin auch im ACP zulassen würde, würde man die komplette Sicherheit der Webseite in die Hände des Drittanbieters legen. Ich bin der Meinung, dass der Drittanbieterlogin bei Admins nichts zu suchen hat und das sollte bitte auch nicht geändert werden.

  • wenn man Drittanbieterlogin auch im ACP zulassen würde, würde man die komplette Sicherheit der Webseite in die Hände des Drittanbieters legen.

    Das ist nachvollziehbar, allerdings ist der Drittanbieter-Login in unserem Fall eigentlich keiner, weil in unserem Fall ein zentraler OpenID-Connect-kompatibler IdP von uns selbst betrieben wird. Dieser erhöht im Gegenteil sogar die Sicherheit, weil nur ein Account für unsere Dienste benötigt wird (das WoltLab-Forum ist nur ein Dienst von vielen) und somit Nutzer sich nur diesen einen Zugang merken müsssen. Außerdem kontrolliert dieser IdP zentral, welcher Nutzer in welcher Anwendung welche Rechte hat und eine zentrale Sperrung wird dort ebenfalls vorgenommen. Die Sicherheit ist folglich sogar besser als wenn dies in jeder Anwendung für sich erledigt werden müsste.

    Es geht hier nicht um einen Login via Google oder Facebook!

  • Hallo,

    das ändert trotzdem nichts daran, dass ich gegen eine prinzipielle Implementierung von Drittanbieterlogins im ACP bin. Wenn das für deine Zwecke notwendig ist, kannst du das ja für dein Projekt auch einfach als Plugin umsetzen.

    • Offizieller Beitrag

    Hallo,

    Mit den Änderungen von WoltLab 5.4 in Bezug auf das Session-Management dürfte dieser Umstand noch problematischer werden.

    tatsächlich wird das unproblematischer. Da die Session ab WoltLab Suite 5.4 zwischen Frontend und Administration geteilt ist, ist man technisch bereits in der Administrationsoberfläche eingeloggt, wenn man im Frontend eingeloggt ist. Wenn die Integration mit dem Drittanbieter sauber in wcf1_user.authData vermerkt ist, dann entfällt in WoltLab Suite 5.4 auch die Reauthentifizierung, da diese naturgemäß mangels Kennwort mit einem Drittanbieter nicht benutzbar ist.

    Entsprechend vermerke ich das Thema hier als „Implementiert in 5.4“, auch wenn die sozialen Anbieter (Google und Co) bei Zugriff auf die Administrationsoberfläche weiterhin nicht eingerichtet werden können.

  • Tim Düsterhus 4. Juni 2021 um 09:30

    Hat das Label 5.4.x hinzugefügt.
  • Tim Düsterhus 4. Juni 2021 um 09:30

    Hat das Label Umgesetzt hinzugefügt.
  • Hallo,

    Da die Session ab WoltLab Suite 5.4 zwischen Frontend und Administration geteilt ist, ist man technisch bereits in der Administrationsoberfläche eingeloggt, wenn man im Frontend eingeloggt ist.

    Irgendwie verwirrt mich der Satz. Wenn die Session zwischen Frontend und ACP geteilt ist, warum ist man dann technisch bereits im ACP eingeloggt, wenn man im Frontend eingeloggt ist?

  • Da die Session ab WoltLab Suite 5.4 zwischen Frontend und Administration geteilt ist, ist man technisch bereits in der Administrationsoberfläche eingeloggt, wenn man im Frontend eingeloggt ist.

    Hm, wie so bekomme ich dann in der Beata 1 (ohne Drittanbieter-Login) immer die Aufforderung zur erneuten Authentifizierung?

    lg,

    Chris

    • Offizieller Beitrag

    Hallo,

    das ist eine „Re-Authentifizierung“, kein Login. Das ist das gleiche System wie beispielsweise bei der Verwaltung der Mehrfaktor-Authentifizierung. Aus Sicherheitsgründen wird zur Verwendung der Administrationsoberfläche – wie bislang auch – ein Kennwort eingefordert. Technisch ist man aber bereits eingeloggt, deswegen entfällt auch das Eingabefeld für den Benutzernamen.

  • Hallo Tim Düsterhus

    vielen Dank für deine Klarstellung! Damit sind die neuen vereinigten Sessions tatsächlich eine Erleichterung!

    Ich habe die Beta 1 auch fix installiert und es funktioniert auch mit dem von uns eingesetzten OpenID Connect Plugin so wie du es beschrieben hast: Der Nutzer ist ohne weitere Anmeldung im ACP angemeldet, sofern er ein Admin ist. Grundsätzlich könnte man allerdings auch in diesem Fall ein erneutes Einloggen über den Drittanbieter auslösen und so eine Reauthentifizierung des Nutzers erreichen, aber fürs erste reicht mir das so.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!