OIDC-Authentifizierung
Mit OpenID Connect (OIDC) kĂśnnen sich Nutzer mit einem bestehenden Unternehmenskonto bei CrispyCMS anmelden â zum Beispiel mit ihrem Microsoft-, Google- oder Keycloak-Konto. Das bedeutet: kein separates CrispyCMS-Passwort, kein manuelles Anlegen von Konten, und Mitarbeiter die das Unternehmen verlassen, verlieren automatisch den Zugang, sobald ihr Unternehmenskonto deaktiviert wird.
Diese Art der Anmeldung wird auch Single Sign-On (SSO) genannt.
Voraussetzungen
Bevor Sie OIDC aktivieren, brauchen Sie Zugangsdaten von Ihrem Identitätsanbieter. Gängige Anbieter sind:
- Microsoft Entra ID (ehemals Azure Active Directory) fĂźr Microsoft 365 / Unternehmenskonten
- Google Workspace fĂźr Google-Organisationskonten
- Keycloak, Auth0, Okta oder andere OIDC-kompatible Systeme
Wenden Sie sich an Ihre IT-Abteilung, um eine neue Anwendung im jeweiligen Anbieter anzulegen und die benĂśtigten Zugangsdaten zu erhalten.
Konfiguration
Die OIDC-Einstellungen finden Sie unter Einstellungen â Authentifizierung â OpenID Connect.
Grundeinstellungen
| Einstellung | Beschreibung |
|---|---|
| OIDC-Authentifizierung aktiviert | Schaltet die SSO-Anmeldung ein. Das normale Login-Formular bleibt weiterhin verfĂźgbar. |
| OIDC-Benutzer erstellen | Legt automatisch ein CrispyCMS-Konto an, wenn sich ein Nutzer zum ersten Mal Ăźber OIDC anmeldet und noch kein lokales Konto existiert. |
| Anmeldung ausblenden | Blendet das normale Passwort-Formular aus und leitet Nutzer direkt zum Identitätsanbieter weiter. |
â ď¸ Vorsicht bei âAnmeldung ausblendenâ: Testen Sie OIDC zuerst vollständig in einem privaten Browserfenster, bevor Sie diese Option aktivieren. Wenn OIDC nicht korrekt konfiguriert ist und das normale Login ausgeblendet ist, kĂśnnen Sie sich selbst aus dem System aussperren.
Verbindungsdaten (vom Identitätsanbieter)
Diese Werte erhalten Sie von Ihrer IT-Abteilung oder direkt aus der Konfiguration Ihres Identitätsanbieters:
| Feld | Beschreibung |
|---|---|
| OIDC-Client-ID | Die eindeutige Kennung Ihrer CrispyCMS-Anwendung beim Anbieter |
| OIDC-Client-Geheimnis | Ein geheimer SchlĂźssel â behandeln Sie ihn wie ein Passwort |
| OIDC-Umleitungs-URI | Die Adresse, an die der Anbieter nach erfolgreicher Anmeldung zurĂźckleitet. Standard: https://ihre-domain.de/admin/auth/oidc/callback. Dieser Wert muss exakt so beim Anbieter eingetragen sein. |
| Autorisierungs-Endpunkt | URL der Anmeldeseite des Anbieters |
| Token-Endpunkt | URL, Ăźber die CrispyCMS nach der Anmeldung ein Token abruft |
| Benutzerinfo-Endpunkt | URL, Ăźber die Nutzerdaten (Name, E-Mail etc.) abgerufen werden |
Bei vielen Anbietern (besonders Microsoft und Google) finden sich alle drei Endpunkte in einer sogenannten Discovery-URL (/.well-known/openid-configuration). Fragen Sie Ihre IT-Abteilung nach dieser URL.
Nutzerzuordnung (Mapping)
Da der Identitätsanbieter Nutzer anders identifiziert als CrispyCMS, muss festgelegt werden, welches Merkmal fßr die Zuordnung verwendet wird:
| Einstellung | Empfehlung |
|---|---|
| OIDC-Subjektattribut | Das Feld aus dem Nutzerprofil des Anbieters, das fĂźr die Zuordnung genutzt wird. Typisch: sub (eindeutige interne ID) oder email |
| OIDC-Subjekttyp | Welche Spalte in CrispyCMS verglichen wird: Benutzername oder E-Mail |
| OIDC-Standardrolle | Die Rolle, die neu erstellten SSO-Nutzern automatisch zugewiesen wird. Pflichtfeld â ohne diese Angabe schlägt die erste Anmeldung fehl. |
Empfehlung: Verwenden Sie email als Attribut und ordnen Sie es der E-Mail-Spalte in CrispyCMS zu. Das ist unkompliziert und funktioniert bei allen gängigen Anbietern zuverlässig.
Anmeldebutton anpassen
Den Text der OIDC-Schaltfläche auf der Anmeldeseite kĂśnnen Sie frei anpassen. Beispiele: âMit Microsoft-Konto anmeldenâ, âMit Firmenkonto anmeldenâ oder âSSO-Loginâ. Ein klarer Text hilft Nutzern zu verstehen, welches Konto sie verwenden sollen.
Typischer Ablauf nach der Einrichtung
- Nutzer ruft
/adminauf und sieht das Login-Formular (oder wird direkt weitergeleitet, wenn âAnmeldung ausblendenâ aktiv ist) - Nutzer klickt auf den OIDC-Anmeldebutton
- Browser leitet zum Identitätsanbieter (z.B. Microsoft-Anmeldeseite)
- Nutzer meldet sich mit seinem Unternehmenskonto an
- Anbieter leitet zurĂźck zu CrispyCMS mit einem Token
- CrispyCMS prĂźft das Token und meldet den Nutzer an
FĂźr den Nutzer sieht es aus wie eine normale Unternehmensanmeldung â CrispyCMS arbeitet unsichtbar im Hintergrund.
Häufige Probleme
Die Anmeldung schlägt fehl, obwohl die Zugangsdaten stimmen.
PrĂźfen Sie, ob die Umleitungs-URI exakt mit dem Wert Ăźbereinstimmt, der beim Identitätsanbieter hinterlegt ist â inklusive https://, Domain und Pfad. Auch ein fehlendes oder zusätzliches / am Ende kann den Fehler verursachen.
Neue Nutzer werden nicht automatisch angelegt. Stellen Sie sicher, dass âOIDC-Benutzer erstellenâ aktiviert und eine Standardrolle ausgewählt ist.
Ich habe mich ausgesperrt. Falls Sie weder Ăźber OIDC noch Ăźber das normale Login in das System kommen, wenden Sie sich an Ihren Systemadministrator â der Zugang kann auf Serverebene wiederhergestellt werden.