Skip to content

OIDC-Authentifizierung

Überblick

OpenID Connect (OIDC) ermöglicht die sichere Authentifizierung über externe Identitätsanbieter wie:

  • 🔐 Keycloak
  • ☁️ Azure AD / Microsoft Entra ID
  • 🛡️ Auth0
  • 🏢 Okta
  • 🌐 Google Workspace

Vorteile

Single Sign-On Funktionen

  • Zentrale Authentifizierung über bestehende Unternehmenskonten
  • Automatische Benutzerregistrierung bei Erstanmeldung
  • Sichere Standardverfahren nach OAuth 2.0 / OIDC
  • SSO-Modus mit automatischer Weiterleitung

Konfiguration der OIDC-Einstellungen

Zugriff auf die Einstellungen

Die OIDC-Konfiguration finden Sie im CMS-Administrationsbereich unter: SystemeinstellungenAuthentifizierungOIDC-Authentifizierung

Verfügbare Einstellungen

Grundkonfiguration

OIDC-Authentifizierung aktiviert

Master-Schalter

Zweck: Aktiviert die OIDC-Authentifizierung für Ihre CrispyCMS-Instanz

Aktiviert: OIDC-Login wird verfügbar
Deaktiviert: Nur lokale Anmeldung möglich

OIDC Benutzer erstellen

Automatische Registrierung

Zweck: Einen neuen Benutzer erstellen, wenn der OIDC-Benutzer nicht in CrispyCMS vorhanden ist

  • Aktiviert: Neue Benutzer werden automatisch angelegt
  • Deaktiviert: Nur bereits existierende Benutzer können sich anmelden

Client-Konfiguration

OIDC-Client-ID

Client-Identifikation

Zweck: Client-ID für die OIDC-Authentifizierung

  • Format: Alphanumerische Zeichenkette
  • Quelle: Vom Identitätsanbieter bereitgestellt
  • Beispiel: crispycms-client-123
OIDC-Client-Geheimnis

Vertrauliche Daten

Zweck: Client-Geheimnis für die OIDC-Authentifizierung

  • Sicherheit: Wird verschlüsselt gespeichert
  • Quelle: Vom Identitätsanbieter bereitgestellt
  • Wichtig: Nie öffentlich zugänglich machen

Endpoint-Konfiguration

OIDC-Umleitungs-URI

Callback-URL

Anzeige: Automatisch generierte Callback-URL

Format: https://ihre-domain.de/admin/auth/oidc/callback

Verwendung: Diese URL muss exakt in Ihrem OIDC-Anbieter konfiguriert werden

OIDC-Autorisierungsendpunkt

Authorization Endpoint

Zweck: Autorisierungsendpunkt für die OIDC-Authentifizierung

  • Quelle: Erhalten Sie dies von Ihrem OIDC-Anbieter
  • Beispiel: https://login.microsoftonline.com/tenant-id/oauth2/v2.0/authorize
OIDC-Tokenendpunkt

Token Endpoint

Zweck: Tokenendpunkt für die OIDC-Authentifizierung

  • Quelle: Erhalten Sie dies von Ihrem OIDC-Anbieter
  • Beispiel: https://login.microsoftonline.com/tenant-id/oauth2/v2.0/token
OIDC-Benutzerinfo-Endpunkt

UserInfo Endpoint

Zweck: Benutzerinfo-Endpunkt für die OIDC-Authentifizierung

  • Quelle: Erhalten Sie dies von Ihrem OIDC-Anbieter
  • Beispiel: https://graph.microsoft.com/oidc/userinfo

Benutzer-Mapping

OIDC-Subjektattribut

Benutzeridentifikation

Zweck: Attribut, das als Benutzeridentifikator verwendet werden soll

Optionen: - sub - Standard-OIDC-Subject (empfohlen) - email - E-Mail-Adresse als Identifikator

OIDC-Subjekttyp

Zuordnungstyp

Zweck: Welche Spalte zur Authentifizierung verwendet werden soll

Dropdown-Optionen: - Benutzername - Zuordnung über Benutzername - E-Mail - Zuordnung über E-Mail-Adresse

Benutzeroberfläche

Text für die OIDC-Anmeldetaste

Anpassung der Benutzeroberfläche

Zweck: Text, der auf der OIDC-Anmeldeschaltfläche angezeigt werden soll

Beispiele: - "Mit Microsoft anmelden" - "Mit Firmen-Account anmelden" - "SSO Login"

OIDC-Standardrolle

Benutzerberechtigungen

Zweck: Rolle, die Benutzern zugewiesen wird, die sich über OIDC anmelden

Dropdown: Standardrolle auswählen

  • Wichtig: Bestimmt die Grundberechtigungen neuer Benutzer
  • Empfehlung: Restriktive Rolle wählen, später bei Bedarf erweitern

Erweiterte Optionen

Anmeldung ausblenden

SSO-Modus

Zweck: Automatische Weiterleitung zum OIDC-Anbieter, blendet das Anmeldeformular aus

⚠️ Vorsicht: - Aktivieren Sie diese Option erst nach erfolgreichen Tests - Halten Sie eine Admin-Session offen - Stellen Sie sicher, dass die OIDC-Konfiguration funktioniert

Passwort vergessen aktiviert

Passwort-Reset

Zweck: Dieses Element ist ein Arbeitsprozess und wird in einer zukünftigen Version verfügbar sein

  • Status: In Entwicklung
  • Funktion: Ermöglicht Passwort-Reset für lokale Konten

Einrichtung Schritt für Schritt

1. Identitätsanbieter konfigurieren

IdP-Setup Checkliste

  1. Neue Applikation in Ihrem OIDC-Provider erstellen
  2. Redirect-URI konfigurieren: https://ihre-domain.de/admin/auth/oidc/callback
  3. Authorization Code Flow aktivieren
  4. Scopes freigeben: mindestens openid, empfohlen: email, profile
  5. Client-ID und Client-Secret notieren
  6. Endpoints dokumentieren

2. CrispyCMS konfigurieren

Konfigurationsreihenfolge

  1. OIDC-Authentifizierung aktiviert
  2. Client-Daten eingeben (ID, Secret)
  3. Endpoints konfigurieren
  4. Benutzer-Mapping festlegen
  5. Standardrolle auswählen
  6. Button-Text anpassen
  7. Einstellungen speichern

3. Testen und Validieren

Sicherheitstests

Vor der Aktivierung von "Anmeldung ausblenden":

  1. 🔧 Admin-Session offen lassen
  2. 🕵️ Inkognito-Fenster für Tests nutzen
  3. OIDC-Login testen
  4. 👤 Benutzererstellung prüfen
  5. 🛡️ Rollenverteilung validieren
  6. 🔄 Mehrfache Anmeldungen testen

Fehlerbehebung

Häufige Probleme

Redirect-URI Fehler

Lösung: Überprüfen Sie, dass die Callback-URL exakt im OIDC-Provider konfiguriert ist

Token-Validierung fehlgeschlagen

Lösung: Prüfen Sie Client-ID, Client-Secret und Endpoint-URLs

Benutzer wird nicht erstellt

Lösung: Aktivieren Sie "OIDC Benutzer erstellen" und prüfen Sie die Standardrolle

Login-Loop

Lösung: Deaktivieren Sie temporär "Anmeldung ausblenden" über die Datenbank

Technische Fehlercodes

Häufige OIDC-Fehler

  • invalid_redirect_uri → Callback-URL prüfen
  • invalid_client → Client-ID/Secret oder Grant Type falsch
  • invalid_scope → Scope fehlt oder nicht erlaubt
  • Leerer Benutzername/E-Mail → falsche Kombination aus Subjekt-Attribut und Subjekt-Typ

Wichtiger Sicherheitshinweis

Testen Sie die OIDC-Konfiguration gründlich, bevor Sie den SSO-Modus aktivieren. Halten Sie immer eine funktionsfähige Admin-Session offen, um bei Problemen Änderungen vornehmen zu können.