OAuth (Open Authorization) ist ein Protokoll, das es Nutzern ermöglicht, sich per Single-Sign-On (SSO) sicher in Drittanbietersystemen zu authentifizieren, ohne ihre Zugangsdaten weitergeben zu müssen. ChurchTools unterstützt das OAuth-Protokoll, sodass du dich mit deinen ChurchTools-Login-Daten beispielsweise bei Systemen wie Nextcloud einloggen kannst.
Vorteile von OAuth #
- Sicherheit: Deine Zugangsdaten bleiben vertraulich und werden nicht an das Drittsystem übermittelt.
- Bequemlichkeit: Du kannst einen Login für mehrere Anwendungen verwenden und musst dir weniger Passwörter merken.
- Kontrolle: Du behältst die Kontrolle darüber, welche Systeme Zugriff auf deine ChurchTools-Daten haben und als Admin kannst du kontrollieren, wer Zugriff erhält und wer nicht.
Wie funktioniert OAuth? #
- Login im Drittsystem: Wenn du dich bei einem Drittsystem wie Nextcloud einloggst, wählst du „Login mit ChurchTools“ (Text kann variieren) aus.
- Weiterleitung zu ChurchTools: Du wirst auf die Login-Seite von ChurchTools weitergeleitet. Hier gibst du deine Zugangsdaten ein.
- Erlaubnis erteilen: Nach erfolgreichem Login wirst du gefragt, ob du dem Drittsystem Zugriff gewähren möchtest.
- Zugriff erteilen: Nach deiner Zustimmung stellt ChurchTools dem Drittsystem ein Zugriffstoken bereit. Dieses Token erlaubt dem Drittsystem, auf bestimmte Informationen zuzugreifen, ohne deine Zugangsdaten zu kennen.
- Rückleitung: Du wirst zum Drittsystem zurückgeleitet und bist eingeloggt.
Typische Anwendungsfälle #
- Dateiverwaltung: Sich mit ChurchTools bei Nextcloud einloggen.
- Kommunikation: Integration mit E-Mail-Diensten, die OAuth unterstützen.
- Verwaltungstools: Nutzung von Projektmanagement-Software mit deinem ChurchTools-Konto.
Häufige Fragen (FAQ) #
Welche Daten werden geteilt? Nur die Daten, die für die Nutzung des Drittsystems erforderlich sind. Du siehst vorab, welche Informationen freigegeben werden.
Ist OAuth das Gleiche wie Single-Sign-On? Nicht ganz. Single-Sign-On, kurz SSO, beschreibt das Ziel: eine zentrale Anmeldung für mehrere Systeme. OAuth ist eines der technischen Verfahren, mit dem solche Login-Szenarien umgesetzt werden können.
Ist OAuth sicher? Ja, OAuth ist ein bewährter Standard, der von vielen großen Unternehmen genutzt wird. Deine Zugangsdaten bleiben dabei immer sicher.
Wichtige Begriffe #
- Redirect URI – die Adresse des Clients, an die der Nutzer nach erfolgreichem Login zurückgeleitet wird. Über diese Rückleitung erhält der Client die Bestätigung, dass der Login erlaubt wurde.
- Client Identifier – eindeutige Kennung des Clients beim Server. Sie identifiziert den Client, enthält aber keine geheimen Informationen.
- Client Secret – Geheimes Passwort des Clients gegenüber dem Server. Es wird serverseitig verwendet, um den Client eindeutig zu authentifizieren, und darf niemals öffentlich oder im Browser verwendet werden.
- API-Basis-URL – Grundadresse der API, über die alle weiteren API-Anfragen laufen. Alle Endpunkte bauen technisch auf dieser URL auf.
- Autorisierungs-URL – Adresse, zu der der Nutzer für Login und Zustimmung vom Client zum Server weitergeleitet wird. Hier authentifiziert sich der Nutzer und erlaubt den Zugriff.
- Access-Token-URL – Server-Adresse, über die der Client ein Access-Token anfordert. Dieses Token wird für den Zugriff auf die API benötigt.
- Profil-URL – Server-Adresse, über die Profildaten des eingeloggten Nutzers abgerufen werden können. Der Zugriff ist nur mit einem gültigen Access-Token möglich.
- Scope – Berechtigungsumfang, den der Client beim Server anfragt. Er legt fest, auf welche Daten oder Funktionen das Drittsystem mit einem gültigen Access-Token zugreifen darf.