Mit dem OpenID Connect Login-Dienst kann ein OpenID Connect Identity Provider an formcycle angebunden werden. Im folgenden werden die OpenID Connect spezifischen Konfigurationsoptionen beschrieben. Für allgemeine Informationen zu den Grundeinstellungen und zum Anlegen von Login-Diensten siehe Login-Dienste.

Inhalt

Konfiguration

Client ID

Eindeutige ID der Konfiguration. Diese erhalten sie von Ihrem Identity Provider.

Client secret

Geheimer Schlüssel mit dem sich der Client gegenüber dem Identity Provider authentifiziert. Diesen erhalten sie von Ihrem Identity Provider.

Discovery URI

URI, welche zur Ermittlung der Eigenschaften des Identity Providers verwendet wird. Diesen erhalten sie von Ihrem Identity Provider.

Scope

An dieser Stelle können Berechtigungen angegeben werden, welche formcycle beim Abfragen von Feldern beim Identity Provider benutzt.

Authentication method

Methode, mit welcher sich formcycle am Identity Provider authentifiziert.

Response type

Typ der Antwort des Identity Providers nach der Antwort durch formcycle.

Allow unsigned id tokens

Gibt an ob nicht signierte id_tokens erlaubt sind.

Prefered JWT algorithm (id_token)

Gibt den Algorithmus an, mit welchem der id_token verschlüsselt und signiert werden soll.

Weitere Einstellungen

Durch einem Klick auf Weitere Einstellungen können weitere Parameter für die Verbindung mit dem Identity Provider konfiguriert werden.

ACR-Werte (acr_values)

acr_values sind optionale Anfragen und müssen bei der Authentifizierung durch den Identity Provider nicht zwangsweise erfüllt werden. Der zurückgegebene ACR-Wert wird serverseitig nicht überprüft. Dies ist über die Zugriffsbeschränkung mittels Benutzer-Filter und der Zugriffslimitierung auf die entsprechende Benutzergruppe möglich.

Code-Challenge-Methode (PKCE)

Gibt die Methode für die Durchführung des PKCE (Proof Key for Code Exchange) an.

Response mode

Hier kann das Verfahren festgelegt werden, mit der der Identity Provider die Antwort der Anmeldung an formcycle übermittelt.

Max. authentication lifetime (Sekunden)

Maximale dauer einer bestehenden Anmeldung beim Identity Provider. Standardwert ist -1, was unendlich bedeutet.

Connection Timeout (Sekunden)

Maximale Dauer eines Verbindungsaufbaus zum Identity Provider, bevor dieser abgebrochen wird. Standardwert ist 500 Sekunden.

Max. clock skew (Sekunden)

Maximal erlaubter Unterschied zwischen den Systemuhrzeiten von FORMCYCLE-Server und dem Identity Provider. Standardwert ist 30 Sekunden.

Expire session with token

Einstellung, ob eine formcycle-Anmeldung mit Ablauf der Anmeldung am Identity Provider ablaufen soll. Diese Option ist standardmäßig deaktiviert.

Token expiration advance (Sekunden)

Zeitspanne, die eine FORMCYCLE-Anmeldung vor dem Identity Provider Token ablaufen soll. Standardwert ist 0 Sekunden.

Weitere Parameter

Zusätzlich zu den auf der Oberfläche vorhandenen Parametern können an dieser Stelle in der Tabelle weitere Parameter hinzugefügt werden. Es muss jeweils eine Property und ein dazugehöriger Wert eingegeben werden.

Direkter Client aktiviert (HTTP Header)

Wenn aktiviert wird ein direkter OpenId Connect Client verfügbar sein. Ein direkter OpenId Connect Client führt seine Authentifizierungslogik direkt auf dem Request zu einer geschützten Ressource (z.B. ein Formular) aus, indem dieser Request-Header mit JWTs (JSON Web token) analysiert.

Direkter Client aktiviert (Cookie)

Wenn aktiviert, wird ein direkter OpenId Connect Client verfügbar sein. Ein direkter OpenId Connect Client führt seine Authentifizierungslogik direkt auf dem Request zu einer geschützten Ressource (z.B. das Formular) aus, indem dieser übertragene Cookies mit JWTs (JSON Web Token) analysiert.