Die folgenden Einstellungen konfigurieren die Authentifizierung von Benutzern. Standardmäßig wird der Authentifizierungsmechanismus des Servlet Containers bzw. Application Servers verwendet. Alternativ kann Single Sign On (SSO) mit OpenID Connect (OIDC) verwendet werden.
-
Die mobilen Apps für Android und iOS sind nicht kompatibel mit Single Sign On. Verwenden Sie die Einstellung
auth.type = REALM, um signoSign/Universal über die Apps zu nutzen. -
Für die Nutzung von Single-Sign-On ist die Einstellung des Schlüssels
web.ssmPublicUrlzwingend erforderlich.
auth.type
|
Beschreibung |
Legt den Typ der Authentifizierung fest. Für die Verwendung von OpenID Connect müssen die Schlüssel |
|
|
Mögliche Werte |
|
Der Authentifizierungsmechanismus des Servlet Containers bzw. Application Servers wird verwendet. |
|
|
Die Benutzer werden von einem Authorization Server mittels OpenID Connect authentifiziert. |
|
|
Standardwert |
|
|
auth.realm.forceLowerCaseUsername
|
Beschreibung |
Wenn diese Einstellung aktiviert ist, wird die Groß-/Kleinschreibung des Benutzernamens ignoriert. Benutzer "Max Mustermann" und "max mustermann" teilen sich die gleichen Daten im System, wie bspw. Dokumente. Beide Benutzer können sich aber anmelden, solange der Login-Mechanismus dies zulässt, aber signoSign/Universal verwendet intern den kleingeschriebenen Benutzernamen. |
|
|
Mögliche Werte |
|
Die Groß-/Kleinschreibung wird ignoriert. "Max Mustermann" und "max mustermann" sind derselbe Benutzeraccount. |
|
|
Die Groß-/Kleinschreibung wird berücksichtig. "Max Mustermann" und "max mustermann" sind unterschiedliche Benutzeraccounts. |
|
|
Standardwert |
|
|
auth.oidc.discoveryUrl
|
Beschreibung |
Die URL der OpenID Provider Metadata des Identity Servers. Die URL endet i. d. R. mit /.well-known/openid-configuration. Dieser Wert muss für die Verwendung von OpenID Connect festgelegt werden. |
|
Mögliche Werte |
Eine URL. |
|
Standardwert |
- |
auth.oidc.clientId
|
Beschreibung |
Der Identifier mit dem signoSign/Universal beim Identity Server registriert ist. Eine Anwendung, die OpenID Connect verwendet, muss beim Identity Server registriert sein, wobei dieser Identifier vergeben wird, der für den Authorization Code Flow benötigt wird. Dieser Wert muss für die Verwendung von OpenID Connect festgelegt werden. |
|
Mögliche Werte |
Eine beliebige Zeichenkette. |
|
Standardwert |
- |
auth.oidc.clientSecret
|
Beschreibung |
Das beim Identity Server festgelegte Geheimnis, welches signoSign/Universal für den Authorization Code Flow verwendet. Dieser Wert muss für die Verwendung von OpenID Connect festgelegt werden. |
|
Mögliche Werte |
Eine beliebige Zeichenkette. |
|
Standardwert |
- |
auth.oidc.scope
|
Beschreibung |
Die Scope Werte, die für den Authorization Code Flow verwendet werden. Für die grundlegende Funktionalität benötigt OpenID Connect den Wert openid. |
|
Mögliche Werte |
Eine beliebige Zeichenkette. |
|
Standardwert |
|
auth.oidc.usernameClaim
|
Beschreibung |
Der Wert (claim) im Token, aus dem der Benutzername entnommen wird. Wenn der Wert nicht vorhanden oder leer ist, ist ein Login an signoSign/Universal nicht möglich. |
|
Mögliche Werte |
Eine beliebige Zeichenkette. |
|
Standardwert |
|
Der Standardwert email ist ein Standard claim , der durch den scope email in den Token eingefügt wird. Wenn der Wert email nicht in auth.oidc.scope enthalten ist, sollte diese Einstellung überprüft werden.
auth.oidc.rolesClaim
|
Beschreibung |
Der Wert (claim) im Token, aus dem die Benutzerrollen entnommen werden. Wenn der Wert im Token nicht vorhanden, leer oder kein JSON Array ist, ist ein Login an signoSign/Universal nicht möglich. |
|
Mögliche Werte |
Eine beliebige Zeichenkette. |
|
Standardwert |
|
Der Standardwert roles ist kein Standard claim , weil OpenID Connect keinen Standard für Benutzerrollen definiert. Der Wert muss durch proprietäre Einstellung des Identity Servers und durch Verwendung von benutzerdefinierten Scopes in den Token eingefügt werden.
auth.oidc.tokenAudience
|
Beschreibung |
Aus Sicht des Identity Servers ist signoSign/Universal eine Ressource. Ein OAuth Access-Token wird immer für eine Ressource ausgestellt. Mit dieser Einstellung kann eine Liste von gültigen Ressourcen festgelegt werden. Die signoSign/Universal REST-API wird nur die Access-Token akzeptieren, dessen aud claim Wert in dieser Liste enthalten ist. Die Prüfung ist deaktiviert wenn kein Wert festgelegt ist. |
|
Mögliche Werte |
Eine kommaseparierte Liste von Identifiern. |
|
Standardwert |
- |
Wenn die signoSign/Universal REST-API öffentlich verfügbar ist, wird die Angabe dieser Liste aus Sicherheitsgründen dringend empfohlen. Eine öffentliche REST-API sollte immer prüfen ob ein Access-Token für die API ausgestellt wurde.
auth.oidc.tokenIssuer
|
Beschreibung |
Eine Liste von zusätzlichen vertrauenswürdigen Access-Token Ausstellern. Der Aussteller aus den OpenID Provider Metadata ist immer vertrauenswürdig. Die signoSign/Universal REST-API wird nur Access-Tokens akzeptieren, dessen iss claim Wert bekannt ist. |
|
Mögliche Werte |
Eine kommaseparierte Liste von Identifiern. |
|
Standardwert |
Der issuer aus OpenID Provider Metadata , wenn vorhanden. |