|
|
Nur Administratoren/Supervisor können OIDC für ein Formdesk-Konto aktivieren. Dafür muss mindestens ein OIDC-Profil erstellt werden.
Gehen Sie dazu in die Kontodetails (Schaltfläche „Account-Daten ändern“ unten in der Formularübersicht), Registerkarte „Sicherheit und Authentifikation", unter der Überschrift „OpenId-Profile". Die Profile für Google, Facebook und LinkedIn sind bereits standardmäßig definiert.
Diese Profile sind mit einer sozialen Plattform verknüpft. Wir nennen sie daher Social Logins.
Die Verknüpfung erfolgt auf Benutzerebene und wird für alle Formulare übernommen, wo eine Anmeldung (Log-in-Seite) erforderlich ist. Wenn Sie diese für Formdesk-Benutzer verwenden möchten, müssen Sie das Profil entsprechend einmalig anpassen. |
|
|
|
|
 |
|
|
Für jedes Profil, das Sie erstellen und zuweisen, hat die Log-in-Seite von Formdesk eine zusätzliche Anmeldeschaltfläche.
Mit der „+“ -Schaltfläche können Sie ein Profil erstellen. |
|
|
 |
|
|
URL-Weiterleitung oder Antwort-URL
Für eigene (non-social) IdP's ist es immer notwendig, eine URL innerhalb des Systems des IdP's anzugeben.
Für Formdesk ist dies: https://www.formdesk.com/api/rest/v1/oidc/return |
|
|
 |
|
Beispiel einer URL-Weiterleitung in Microsoft Azure AD. |
|
|
|
|
Benutzer sind Personen mit Zugriff auf das Formdesk-Konto. Diese sind im Bereich der Benutzerverwaltung sichtbar.
Es gibt zwei Arten von Benutzern:
Interne Benutzer
Interne Benutzer melden sich mit ihrem Formdesk-Benutzernamen und -Passwort (und eventuell einer zusätzlichen Verifizierung) an.
Externe Benutzer
Externe Benutzer melden sich über einen IdP an.
Ein externer Benutzer kann auf 4 Arten angelegt werden:
1. In der Benutzerverwaltung anlegen
Der Supervisor kann externe Benutzer im Bereich der Benutzerverwaltung anlegen. Dazu muss die externe Benutzerkennung bekannt sein. |
|
|
 |
|
|
2. Internes Benutzerkonto mit der IdP verknüpfen
Der Supervisor legt im Bereich der Benutzerverwaltung interne Benutzer an. Das interne Konto kann der Benutzer in ein externes Benutzerkonto umwandeln. |
|
|
3. Automatisch bei der ersten Anmeldung
Ein Benutzer, der sich über OIDC anmeldet, wird als externer Benutzer bezeichnet. Wenn sich jemand einloggt, der noch nicht sein internes Benutzerkonto mit einem OIDC-Profil verknüpft hat, für den kann automatisch ein externes Benutzerkonto erstellt/angelegt werden.
Voraussetzung ist, dass es sich nicht um ein Social Login handelt. Außerdem muss beim OIDC-Profil festgelegt werden, dass Benutzer automatisch angelegt werden können. |
|
|
 |
|
|
4. Automatisierung mittels der REST API/Verwenden der REST API:
Die REST API ist eine Schnittstelle mit der zwei unterschiedliche Softwareprogramme miteinander kommunizieren können, in diesem Fall mit Formdesk. Mit Hilfe unserer REST API können Benutzerkonten auch automatisch erstellt werden. Häufig geschieht dies aus den Identity Management Systemen heraus, so dass das Anlegen, Ändern und Deaktivieren oder Löschen von Benutzern zentral geregelt werden kann.
Bestehende interne Benutzerkonten in externe Benutzerkonten umwandeln (Migration)
Bestehende (interne) Benutzer können ihr Konto in ein externes Benutzerkonto konvertieren. Sie können jedoch auch zentral festlegen, dass interne Benutzer ihre Konten umwandeln müssen.
Nachdem sich der Benutzer angemeldet hat, kann das interne Konto in ein externes Benutzerkonto geändert werden. Hierfür muss der Benutzer das Recht haben, persönliche Daten zu ändern. Der Benutzer kann sich dann nicht mehr mit dem Formdesk-Benutzernamen und -Passwort anmelden. |
|
|
 |
|
|
Wenn die Umstellung von intern nach extern verpflichtend ist, wird bei der nächsten Anmeldung der Benutzer aufgefordert, das Konto in ein externes Benutzerkonto umzuwandeln. Die Einstellung erfolgt innerhalb der Benutzerverwaltung.
|
 |
|
|
|
Es gibt auch die Möglichkeit innerhalb der OIDC-Einstellung die Konvertierung für alle internen Benutzer mit einem einzigen Vorgang zu aktivieren. Dadurch werden alle Benutzerkonten von intern nach extern migriert. |
|
|
 |
|
|
|
Sie können Benutzer auch einzeln manuell anpassen, indem Sie in der Benutzerverwaltung die Einstellung von intern nach extern ändern. Für das externe Benutzerkonto benötigen Sie dann die externe Benutzerkennung. |
|
|
 |
|
|
Mithilfe unserer REST API können Sie auch die internen Benutzerkonten ändern.
Ein externes Benutzerkonto kann vom Benutzer selbst nicht in ein internes Benutzerkonto (zurück)konvertiert werden. Der Supervisor kann das in der Benutzerverwaltung vornehmen.
Anmelden
Benutzer melden sich an der Domäne des Formdesk-Kontos an: www.formdesk.de/<formlarordner>. Die Schaltflächen der OIDC-Profile sind hier verfügbar. |
|
|
 |
|
|
Es ist auch möglich, sich direkt bei einem OIDC-Profil anzumelden, indem Sie die folgende URL verwenden: www.formdesk.de/<formularordner>/oidc/<profilname>*
* Im Profilnamen sollten Leerzeichen durch einen Bindestrich (-) ersetzt und Akzente entfernt werden. |
|
|
|
|
Mit Formdesk können Sie Ihr Formular so gestalten, dass der Besucher Ihres Formulars seine früheren Eingaben sehen und bearbeiten kann. Dazu muss sich der Besucher in das Formular einloggen. Wir nennen ein solches Formular eine Log-in-Seite.
Die Log-in-Seite unterscheidet zwei Arten von Besuchern:
Interne Besucher
Dass sind Besucher, die sich mit einem Formdesk-Benutzernamen und -Passwort (und eventuell einer zusätzlichen Verifizierung) anmelden.
Externe Besucher
Hierbei handelt es sich um Besucher, die sich über einen IdP in ein Formdesk-Formular einloggen. In den Einstellungen der Log-in-Seite können Sie angeben, welche Sie für das betreffende Formular unterstützen möchten. |
|
|
 |
|
|
|
|
Ein externer Besucher kann auf vier Arten erstellt werden:
1. Automatisch bei der ersten Anmeldung
Das ist die häufigste Vorgehensweise. Beim Aufrufen des Formulars wird die Log-in-Seite angezeigt. Der Besucher meldet sich bei einem der verfügbaren Anbieter an. Wenn kein Konto für diesen Besucher existiert, wird automatisch ein Konto erstellt. Es ist wichtig, daß in den Einstellungen der Log-in-Seite das Anlegen neuer Besucher zugelassen wird. |
|
|
 |
|
|
2. Importieren
Sie können Anmeldeinformationen für eine Log-in-Seite aus einer Excel-Datei importieren. Siehe Handbuch für weitere Informationen. Anhand der importierten Daten kann der Besucher sich einloggen mit dem von Ihnen vorgegebenem Benutzernamen und Passwort oder mit den von Formdesk erstellten Log-in-Daten. Dieses Konto kann der Besucher in ein OIDC-Konto umwandeln. Der interne Besucher wird dann zu einem externen Besucher. |
|
|
 |
|
|
|
In den Einstellungen der Log-in-Seite muss festgelegt werden, dass der Besucher die persönlichen Daten ändern kann. |
|
|
 |
|
|
3. Automatisierung mittels der REST API/Verwenden der REST API (Bereitstellung):
Eine weitere Option zur Erstellung von Besucherkonten ist die automatisierte Generierung über unsere REST API. Mit dieser Schnittstelle können zwei unterschiedliche Softwareprogramme miteinander kommunizieren, in diesem Fall mit Formdesk. Häufig geschieht dies aus den Identity Management Systemen heraus, so dass das Anlegen, Ändern und Deaktivieren oder Löschen von Benutzern zentral geregelt werden kann. |
|
|
Verfügbare Besucherdaten (claims)
|
Sie können bestimmte Fragen innerhalb des Formulars automatisch mit Daten des Besuchers füllen. Diese Daten können Sie auch in (E-Mail-) Nachrichten anzeigen.
Wenn sich ein externer Besucher bei einem Formular anmeldet, erhält Formdesk eine Reihe von Daten von diesem Besucher. Mit dem Systemcode [_fd_ExternalClaim(claim)] können Sie diese Daten anzeigen. Claim steht für die Variable, wie sie vom Provider weitergegeben wird. Häufige Claims sind:
|
| Claim |
Beschreibung |
Beispiel |
| Name |
vollständiger Name |
John Doe |
| E-Mail |
E-Mail-Adresse |
John.doe@johndoe.com |
| Email verified |
verifizierte E-Mail-Adresse |
True / false |
| Family name |
Nachname |
Doe |
| Given name |
Vorname |
John |
| Locale |
PLZ |
10101 |
| Picture |
Link zum Profilfoto |
|
|
|
|
Syntax:
[_fd_ExternalClaim(claim)]
Beispiele für Anwendungen:
- Sie können als Standardwert für die Abfrage einer E-Mail-Adresse folgendes festlegen, sodass das Feld automatisch ausfüllt: [_fd_ExternalClaim(email)]
- Sie können eine Nachricht mit „Sehr geehrte/r…“ [_fd_ExternalClaim(name)] beginnen, um die Nachricht zu personalisieren.
|
 |
|
|
|
Die zuvor genannte Einstellung sorgt dafür, dass die E-Mail-Adresse automatisch in das entsprechende Feld innerhalb des Formulars eingetragen wird. |
|
|
 |
|
|
In der Anrede wird der Name des Absenders angegeben, der vom IdP übermittelt wurde.
Manchmal verwenden die IdP´s unterschiedliche Claims für dieselben Daten. Sie können mehrere Claims angeben, indem Sie diese durch ein Komma trennen.
Anmelden
Besucher gelangen über die URL www.formdesk.de/<formularordner>/<formular> zur Log-in-Seite. Die Schaltflächen der OIDC-Profile sind hier verfügbar.
|
|
|
 |
|
|
Es ist auch möglich, sich direkt an einem OIDC-Profil anzumelden:
www.formdesk.de/<formularenordner>/<formular>/oidc/<profilname>*
*Im Profilnamen sollten Leerzeichen durch einen Bindestrich (-) ersetzt und Akzente entfernt werden. |
|
|
|
|
|
|
Für jedes erstellte OIDC-Profil kann eine separate Bedingung angegeben/festgelegt werden. Damit lässt sich der Zugriff anhand von Benutzergruppen steuern.
Angenommen, ein Formdesk-Konto darf immer für eine bestimmte Benutzergruppe angelegt werden, und für andere Benutzer ist das nur mit ausdrücklicher Zustimmung erlaubt. Oder bei jeder Log-in-Seite muss angegeben werden, welche Besuchergruppe(n) sich anmelden darf/können.
Beim Hinzufügen eines neuen OIDC-Profils können Sie die Bedingungen angeben. Sie erstellen dann mehrere Profile mit unterschiedlichen Bedingungen.
Als Beispiel nehmen wir eine SURFconext-Verbindung einer Universität.
|
 |
 |
|
Nur Mitarbeiter |
 |
|
Jedes Mitglied der Beispiel Universität |
 |
|
Jedes Mitglied innerhalb der juristischen Fakultät der Beispiel Universität |
|
|
|
|
Ein gutes Identity and access management spielt vor allem in großen Organisationen eine immer wichtigere Rolle. Die Zugriffsrechte, wer welche Produkte und Dienste nutzen darf, soll zentral festgelegt werden. Zunehmend entsteht der Wunsch, nicht für jedes einzelne Produkt/Service neue Benutzeridentitäten anlegen zu müssen, Änderungen zu implementieren oder Benutzer beim Ausscheiden zu deaktivieren bzw. zu löschen. Mit OIDC stellt Formdesk dies ist auf zwei Arten sicher
REST API:
Mit dem Identity Management System werden Benutzer und Besucher angelegt, geändert und gelöscht bzw. deaktiviert. Unser REST API kommuniziert diese Informationen nach Formdesk. Hierfür sind die folgenden Informationen wichtig:
AddUser / AddVisitor
DeleteUser / DeleteVisitor
UpdateUser / Updatevisitor (auch zum deaktivieren)
Automatisch:
Der Einsatz der REST API ist nicht zwangsläufig notwendig, um das IAM anzuwenden. Erhält ein Benutzer innerhalb des Identity Management Zugriff auf Formdesk, dann wird dieser Benutzer automatisch bei der ersten Anmeldung an einer Log-in-Seite in Formdesk erstellt. Sollten sich die Daten des Benutzers ändern, werden sie bei der nächsten Anmeldung automatisch in Formdesk aktualisiert. Und sollte jemand nicht mehr beschäftigt sein, wird der Person innerhalb des Identity Management der Zugang erzogen, woraufhin auch eine erfolgreiche Authentifizierung in Formdesk nicht mehr möglich ist. |
|
|
|
|
|